끊이지 않는 북한의 사이버 범죄…"허위 이메일 통해 악성코드 전파"

지난 2017년 12월 백악관에서 북한의 워너크라이 사이버 공격에 대한 미국 정부의 조사 결과를 발표하는 기자회견이 열렸다.

북한의 불법 해킹 활동이 근절되지 않은 채 많은 나라들에게 피해를 입히고 있습니다. 미 수사당국은 북한 해커들이 허위 이메일을 보내는 방식으로 악성코드를 전파해 온 것으로 파악하고 있습니다. 함지하 기자가 전해 드립니다.

최근 북한의 불법 사이버 활동이 한국을 중심으로 활발하게 벌어지고 있다는 소식이 잇따라 전해지고 있습니다.

한국의 하태경 국회의원이 18일 기자회견을 통해 한국원자력연구원이 북한 추정 세력에 의해 해킹 공격을 당했다고 밝힌 데 이어, 20일 한국 언론들은 북한 해커들이 지난해 신형 잠수함 등을 건조하는 한국의 대우조선해양에서 일부 자료를 탈취했다고 보도했습니다.

또 사이버보안업체인 '카스퍼스키(Kaspersky)’는 지난 15일 발표한 보고서를 통해 해킹그룹 ‘안다리엘’이 악성코드를 전파하는 방식으로 한국 기업 등을 공격했다고 지적하기도 했습니다.

‘안다리엘’은 북한 정찰총국의 해커부대로 알려진 ‘라자루스’의 하위 조직으로, 미 재무부는 지난 2019년 안다리엘과 라자루스를 제재 대상으로 지정한 바 있습니다.

북한 해커들의 사이버 공격은 주로 공격대상 컴퓨터에 바이러스와 같은 악성코드를 심는 방식으로 이뤄집니다.

실제로 카스퍼스키에 따르면 안다리엘은 한국 기업들을 공격하면서 ‘참가신청서양식’이라는 제목의 문서 파일에 악성 코드를 심어 기업 관계자 등에게 보냈습니다.

하지만 관계자들이 이 파일을 열면 컴퓨터들은 공격자의 명령에 따라 다양한 기능을 수행하게 되고, 이 때 국가기관이나 기업에서 민감한 문건이 유출되거나 금융기관에 예치된 거액의 자금이 다른 계좌로 이체되는 사건이 발생하는 것으로 알려졌습니다.

또 ‘랜섬웨어’로 불리는 공격도 행해지는데, 이는 사용자의 컴퓨터 활동을 통제한 뒤 일정 금액을 지불해야만 풀어준다고 협박하는 사이버 범죄입니다.

과거 북한은 2017년 ‘워너크라이’ 랜섬웨어 공격을 통해 150개 나라 20만 대의 컴퓨터를 감염시킨 뒤 일부 피해자들로부터 몸값을 챙기기도 했습니다.

이 같은 북한의 불법 사이버 활동은 다국적 사이버보안업체는 물론 미 수사당국 등의 자료를 통해 구체적인 수법과 범행 방식 등이 지속적으로 드러나고 있습니다.

비록 자신의 신원이나 접속지역을 감춘 채 범행을 저지를 수 있는 사이버 범죄의 특성상 공격의 주체를 특정하기 쉽지 않지만, 미 수사당국 등은 해커들이 남긴 작은 흔적을 역추적하는 방식으로 북한과의 연계성을 확인한 겁니다.

이를 가장 잘 보여주는 미 수사당국의 문서 중 하나가 북한 해커 3명에 대한 기소장입니다.

미 검찰은 지난 2월 북한 해커 박진혁과 김일, 전창혁에 대한 기소 사실을 공개하면서, 앞서 2018년 작성된 179쪽 분량의 대배심 기소장을 함께 공개한 바 있습니다.

이에 따르면 이들 해커들은 미국의 ‘핫메일’이나 ‘지메일’ 등 서비스를 이용해 수십여 개의 이메일 주소를 활용했는데, 수사당국이 확인한 일부 이메일을 통해 구체적인 해커들의 신원과 이들이 소속된 조직의 이름 등이 드러났습니다.

특히 박진혁의 경우 북한에 있을 당시 일부 이메일 계정을 개설한 정황이 확인됐으며, 이후 페이스북 등 여러 서비스를 해당 이메일 등을 통해 이용했습니다.

또 북한의 해킹조직을 지원해 온 ‘조선엑스포 합작회사’에 소속됐을 당시엔 생년월일과 각종 컴퓨터 기술 등이 명시된 그의 이력서가 미 수사당국에 확보되기도 했습니다.

기본적으로 북한 해커들은 사이버 공격을 감행할 때 특정 인물이나 회사 등을 사칭한 이메일을 보내는 것으로 알려졌습니다.

이를 테면 페이스북과 같은 서비스를 사칭해 ‘당신의 계정에 문제가 생겼으니 조치를 취하라’는 식의 이메일을 보내거나 피해자가 관심이 있을 만한 자료를 이메일에 첨부하는 방식입니다.

문제는 이런 이메일이 안내하는 버튼을 누르거나 자료를 다운로드 받을 경우, 해커들이 해당 컴퓨터를 조종할 수 있는 악성코드가 설치된다는 점입니다.

실제로 박진혁 등의 기소장에는 북한이 이 같은 방식으로 미국의 ‘소니영화사’를 해킹해 정보를 탈취하고 방글라데시 중앙은행으로부터 거액을 탈취한 사례가 소개돼 있습니다.

이에 따르면 북한 해커들은 취업지망생을 사칭한 이메일을 방글라데시 중앙은행 관계자 등에게 수십 차례 보내면서, 이력서로 연결되는 링크에 ‘악성코드’를 심었습니다.

이를 통해 방글라데시 중앙은행이 사용하는 국제은행간통신협회(SWIFT)의 핵심 시스템에 접속해 1억 달러가 넘는 돈을 가로챘다는 겁니다.

다만 최근 영국의 ‘BBC’ 방송은 북한이 1억 달러 중 일부를 자체적으로 송금하는 과정에서 철자를 틀리게 적거나 중간 거래책인 중국인이 잠적하는 바람에 잃고, 또 방글라데시 정부의 회수 노력 등으로 약 3천500만 달러만 손에 쥐게 됐다고 전했습니다.

현재 미국 정부는 북한의 사이버 범죄 활동을 예의 주시하며 관련자를 기소하고 관련 자금을 몰수하는 등의 노력을 기울이고 있습니다.

미 법무부는 박진혁 등 3명에 대한 기소 외에도 북한이 가상화폐 거래소를 탈취해 거둔 자금 등에 대해 몰수 소송을 제기한 상태입니다.

존 디머스 법무부 국가안보 담당 차관보는 지난해 북한의 불법 행위 근절 도구의 하나로 법무부의 조치가 활용되고 있다고 확인한 바 있습니다.

[녹취: 디머스 차관보] “The big change is the shift from counter terrorism work to the nation state trheats..."

법무부 내 국가안보 부서가 테러 대응에 초점을 맞췄던 2006년 설립 초기와 달리 현재는 러시아, 이란, 중국, 북한 등 4개 적대국이 야기하는 위협에 중점을 두고 있다는 겁니다.

디머스 차관보는 최근 온라인 화상 토론회에서 ‘랜섬웨어 해커들에게 피난처를 제공하는 나라들에 어떤 압박을 가하고 있느냐’는 질문에 “우리는 러시아와 중국, 이란, 북한에서 이 문제를 목격했다”고 대답하면서 유럽과 아시아 등 같은 생각을 가진 나라들이 협력해야 한다고 말했습니다.

VOA 뉴스 함지하입니다.