“미 정부, 북한 '비글보이즈' 공격 세계금융체제에 대한 위협 간주”

미 CISA·재무부·FBI·사이버사령부, 26일 북한 해킹그룹 '비글보이즈' 활동 재개 합동 경보

미 정부는 북한 해킹조직 비글보이즈의 공격을 전 세계 금융 체제에 대한 위협으로 간주했다고 미 전문가가 평가했습니다. 이번 정부 합동 경보를 통해 ‘비글보이즈’ 활동이 더 이상 효과적이지 않을 것이라는 메시지를 보냈다는 분석도 나왔습니다. 김시영 기자의 보도입니다.

제니 전 애틀랜틱 카운슬 사이버 국정계획 구상 담당 객원 연구원은 27일 VOA와의 전화통화에서, 이번 경보는 미국 정부가 단순히 북한에 ‘은행 한 곳을 터는 행동을 중지하라’고 경고한 것이 아니라고 강조했습니다.

[녹취:전 연구원] “They are not regarding this just as ‘Hey, you robbed one bank, so please stop.’ Their thinking of this is more as sort of as a ‘systemic risk’ on financial institutions all over the world. And they're afraid that this is going to lose confidence in our financial institutions, which is I think a much more serious take on North Korean cyber threats.”

이번에 비글보이즈 활동 재개에 대해 경보를 발령한 정부 부처들은 이 문제를 세계금융체제에 대한 일종의 위협으로 간주한 것이라는 설명입니다.

전 연구원은 미 정부는 금융 체제 전반에 대한 신뢰도 실추라는 위험을 초래한다는 측면에서, 북한의 사이버 위협을 보다 심각하게 받아들이고 있다고 말했습니다.

그러면서 사이버 안보 당국은 북한이 새 해킹 수법을 개발하는 속도보다 빠르게 이들의 수법을 발견하고 대중에 공개해야 한다고 제안했습니다.

전 연구원은 북한이 ATM 전산망 해킹 같은 비교적 낮은 수준의 사이버 공격을 통해 지속적 이득을 보기를 바라고 있다며,

하지만 이런 공격이 세계금융체제에 중대한 피해를 일으킬 정도로 지속된다면 향후 보다 강력한 대응에 직면할 것이라고 내다봤습니다.

미국의 사이버 안보전략 전문가인 리차드 하크넷 신시내티대학교 교수는 세계 각국 은행자동화기기(ATM) 전산망을 노린 북한 해커 단체 비글보이즈의 공격 수법은 상당히 발전된 형태라고 지적했습니다.

[녹취:하크넷 교수] “I am not saying that it was easy. They were able to develop an exploit a vulnerability within the ATM network. Once you're able to do that and then aligns with your goal which is the theft of resources.”

해킹 공격에 이용되는 악성코드를 띄워놓은 노트북 컴퓨터 화면.

이 같은 수법은 결코 단순하거나 쉬운 것이 아니며, 일단 한 번 공격할 수 있게 되면 ‘자원 탈취’라는 목적을 달성할 수 있다는 설명입니다.

그런 면에서 미 정부는 이번 부처 합동 경보를 통해 북한의 공격 수법을 공개함으로써 주도권을 확보했다고 평가했습니다.

[녹취:하크넷 교수] “This is an example of gaining the initiative by resetting the conditions to stay to the North Korean cyber actor, ‘you no longer have these capabilities that are going to be effective,’ because these defenses are now going to be able to anticipate your use of these exploits.”

이제는 그들이 사용하는 수법을 예상할 수 있게 된 만큼, 비글보이즈가 더 이상 효과적인 역량을 갖지 못할 것이라는 메시지를 보낼 수 있다는 겁니다.

하크넷 교수는 또 이번 경보는 정부 부처간 통합된 ‘지속적 개입’의 중요성을 다시 한 번 보여주는 기회였다고 말했습니다.

매튜 하 민주주의수호재단 사이버 안보 담당 연구원은 북한 해커들은 금융 사이버 작전을 심층적이고 난해한 간첩 작전 처럼 수행해 왔다고 지적했습니다.

[녹취:하 연구원] “North Korean hackers have been using these operations, not so much just as a simple stuff, but almost as a deep, convoluted espionage operation where they carefully mapping out and studying these networks not being detected”

북한 해커들이 주의를 기울인 계획과 표적 전산망들에 대한 사전 학습을 통해 보안망으로부터 발각되지 않을 수 있었다는 겁니다.

아울러 표적 전산망에 깔린 바이러스 감염 예방 프로그램을 무력화하고 망 내부로부터 전체 시스템을 조작하고 통제할 수 있도록 훈련 받았다고 덧붙였습니다.

하 연구원은 북한 해커들이 금융 사이버 범죄를 수행하는 과정에서 다른 해외 사이버 범죄 단체나 조직적 범죄 단체와 공조하거나 지원을 받을 가능성을 제기했습니다.

[녹취:하 연구원] “North Korea could be working with or contracting out to either criminal cyber groups or in a past point they might have been working with organized criminal groups to carry out particularly ATM transfers because part of my concern is that this requires some human interaction into sort of carrying out these cash transfers.”

하 연구원은 ATM 기기에서 현금을 이체하는 작업에는 일종의 사람 간의 상호작용이 요구된다는 점을 근거로 들었습니다.

실제로 이번 비글보이즈 관련 사이버 경보에는 ‘TA505’와 같은 제3자 외부 해킹 단체가 협업 또는 계약을 통해 표적 전산망에 대한 초기 침투를 지원했을 가능성이 언급됐습니다.

하 연구원은 이번 합동 경보를 통해 북한이 외부의 사이버 범죄 세력과 얼마나 잘 연결돼 있는지를 알 수 있다고 말했습니다.

VOA뉴스 김시영입니다.