.gif)
[3줄 요약]
1. ‘프랙 보고서’ 저자 세이버(Saber) 인터뷰
2. ‘KIM’은 중국 정부 위해 일하는 근로자, 대만도 공격...북한 연계 정황도
3. “윤리적 해커에 대한 좋은 대우가 범죄자 전환 막아”
[보안뉴스 강현주 기자] “한국 정부와 기업을 해킹한 국가 배후 위협자 ‘KIM’은 중국 정부를 위해 일하는 정규직(Full time job) 근로자로 급여를 받고 해킹 업무를 하고 있을 가능성이 큽니다. 동시에 북한의 이익에도 동조하는 것으로 보입니다. 목적은 돈이 아니라 그의 지도자에게 힘을 부여하는 것입니다.”
<보안뉴스>는 지난주부터 일명 ‘프랙(Phrack) 보고서’라 불리는 ‘APT Down-The North Korea Files’의 저자인 ‘세이버’와 이메일 대화를 통해 인터뷰를 이어갔다.
▲‘APT Down-The North Korea Files’ 저자 세이버 가상 이미지 [자료: 보안뉴스]
KIM 목적은 돈 아닌 ‘힘’…“정보 수집으로 지도자에 힘 실어주기 위해”
‘세이버’(Saber)와 ‘사이보그’(Cyb0rg)라는 활동명을 쓰는 독립해커들은 중국 또는 북한 배후로 추정되는 공격자(‘KIM’으로 통칭)의 컴퓨터를 해킹해 한국 정부와 기업에 대한 해킹 근거들을 찾아냈다. 이를 공개하기 전 먼저 6월 16일 방첩사를 시작으로 7월 17일 통일부, 한국인터넷진흥원(KISA)에 이메일을 보내 대응이 필요함을 알렸다.
세이버는 “KIM의 컴퓨터를 해킹해 얻은 것을 개인적으로 간직하는 것보다 공개하는 것이 해결책을 찾는 데 더 낫다”는 판단으로 8월 8일 이 보고서를 프랙에 발표했다고 밝혔다. 이후 두달 후 10월 17일, 국가정보원과 행정안전부는 프랙 보고서 내용을 인정하면서 대응 현황을 발표했다.
세이버는 “공격자 서버에서 한국 정부와 기업 시스템에 접근할 수 있는 인증키와 이메일 피싱 공격 증거들을 발견했다”며 “돈이 아닌 정보 수집을 위한 것으로 보인다”며 “한국 행안부의 ‘온나라’를 해킹하는 큰 이점 중 하나는 정부 내부 문서를 읽을 수 있다는 것”이라고 설명했다.
그는 “이는 그의 지도자에게 ‘힘’을 실어주기 위한(Empower his leader) 목적일 것”이라고 말했다.
▲‘APT Down-The North Korea Files’ 보고서 이미지 [자료: 보고서 캡처]
“돈 받고 일하는 중국 배후 근로자로 북한 이익에도 동조…대만도 공격”
그렇다면 KIM의 ‘지도자’가 누구일까?
세이버와 사이보그가 작성한 보고서는 KIM을 북한 배후라고 의심하면서도, 중국 국경일에는 활동이 없었던 점 등 여러 이유로 중국 배후 가능성도 지적했었다.
이번 인터뷰에서 세이버는 “한국 정부와 기업을 해킹한 KIM은 국가 배후 위협 행위자로, 중국 정부를 위해 정규직(Full time job) 근로자로 급여을 받고 일하고 있을 가능성이 크다”고 추정했다.
“KIM이 중국에 거주하고 있으며, 중국 정부의 이익을 면밀히 추종하고, 다른 중국 정부 연계 그룹이 사용하는 ‘스폰키메라’(SpawnChimera)와 같은 일부 해킹 도구에 접근 권한이 있음을 확인했다”는 게 이유다.
세이버는 KIM의 북한 연계 가능성도 언급했다. “북한과의 연관성도 완전 배제할 수 없다”며 “한국 통일부를 공격하는 등 북한의 이익에도 동조하는 것으로 여겨지며, 또한 중국과 북한이 동맹국이라는 점으로도 설명된다”고 밝혔다.
프랙 보고서 발표 이후 국내외 보안 전문가들 다수는 중국 배후 가능성을 높이 두고 있다. 대만 보안 기업 팀T5(TeamT5)의 경우 프랙 보고서가 지목한 공격자가 중국 배후일 가능성이 높다고 가장 먼저 분석한 바 있다. 대만을 끊임없이 공격해 온 중국 공격자들을 잘 파악하고 있다는 게 팀T5의 설명이다.
또 세이버에 따르면, KIM은 한국뿐 아니라 대만도 공격했다. 이는 KIM이 중국 배후일 가능성을 높여주는 대목이다.
세이버는 “KIM의 서버를 들여다 봤을 때 대만 기업을 공격한 흔적도 있어 이들에게도 대응이 필요하다는 메일을 보냈다”며 “하지만 한국에 대한 공격 흔적에 비해 훨씬 적었기 때문에 무엇을 했는지 정확히 말하긴 어렵다”고 밝혔다.
“윤리적 해커에 대한 좋은 대우가 범죄자 전환 줄여”
세이버는 KIM을 향해 “당신은 해커도 아니다”라며 비난했다. “자신의 정부와 지도자의 정치적 이득을 위해 도덕적으로 어긋나는 행위를 한다”는 점이 도전과 실험을 좋아하는 해커들과는 다르다는 지적이다.
글로벌 경기가 악화될수록 일자리고 줄고, 실력있는 해커들이 범죄의 유혹에 빠진다는 경제 전문가들의 분석에 대해 세이버는 “전적으로 동의한다”며 “(윤리적) 해커들에 대한 나라와 기업의 정당한 대우는 이들의 범죄자 전환을 막을 수 있다”고 말했다.
세이버는 한국의 사이버 위협 실태에 대해 “대한민국은 북한과 그 동맹국들의 관점에서 중요하고 전략적인 표적으로, 분명히 더 많은 공격이 있을 것”이라며 “다만 공격이 성공할지 아닐지는 또 다른 문제”라고 말했다.
세이버는 “모든 공격을 막는 것은 거의 불가능하며, 사이버 보안과 직원 교육 등에 많은 비용을 지출하는 정부나 기업조차도 때때로 ‘성공적으로’ 침해를 당한다”며 “확실히 개선될 수 있는 부분은 탐지 메커니즘과 공격 대응이며, 더 많은 감사(Audit)가 있어야 한다”고 조언했다. 이어 “한국 정부는 현재 이 문제를 해결하기 위해 노력하고 있는 것 같다”고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
1. ‘프랙 보고서’ 저자 세이버(Saber) 인터뷰
2. ‘KIM’은 중국 정부 위해 일하는 근로자, 대만도 공격...북한 연계 정황도
3. “윤리적 해커에 대한 좋은 대우가 범죄자 전환 막아”
[보안뉴스 강현주 기자] “한국 정부와 기업을 해킹한 국가 배후 위협자 ‘KIM’은 중국 정부를 위해 일하는 정규직(Full time job) 근로자로 급여를 받고 해킹 업무를 하고 있을 가능성이 큽니다. 동시에 북한의 이익에도 동조하는 것으로 보입니다. 목적은 돈이 아니라 그의 지도자에게 힘을 부여하는 것입니다.”
<보안뉴스>는 지난주부터 일명 ‘프랙(Phrack) 보고서’라 불리는 ‘APT Down-The North Korea Files’의 저자인 ‘세이버’와 이메일 대화를 통해 인터뷰를 이어갔다.
▲‘APT Down-The North Korea Files’ 저자 세이버 가상 이미지 [자료: 보안뉴스]
KIM 목적은 돈 아닌 ‘힘’…“정보 수집으로 지도자에 힘 실어주기 위해”
‘세이버’(Saber)와 ‘사이보그’(Cyb0rg)라는 활동명을 쓰는 독립해커들은 중국 또는 북한 배후로 추정되는 공격자(‘KIM’으로 통칭)의 컴퓨터를 해킹해 한국 정부와 기업에 대한 해킹 근거들을 찾아냈다. 이를 공개하기 전 먼저 6월 16일 방첩사를 시작으로 7월 17일 통일부, 한국인터넷진흥원(KISA)에 이메일을 보내 대응이 필요함을 알렸다.
세이버는 “KIM의 컴퓨터를 해킹해 얻은 것을 개인적으로 간직하는 것보다 공개하는 것이 해결책을 찾는 데 더 낫다”는 판단으로 8월 8일 이 보고서를 프랙에 발표했다고 밝혔다. 이후 두달 후 10월 17일, 국가정보원과 행정안전부는 프랙 보고서 내용을 인정하면서 대응 현황을 발표했다.
세이버는 “공격자 서버에서 한국 정부와 기업 시스템에 접근할 수 있는 인증키와 이메일 피싱 공격 증거들을 발견했다”며 “돈이 아닌 정보 수집을 위한 것으로 보인다”며 “한국 행안부의 ‘온나라’를 해킹하는 큰 이점 중 하나는 정부 내부 문서를 읽을 수 있다는 것”이라고 설명했다.
그는 “이는 그의 지도자에게 ‘힘’을 실어주기 위한(Empower his leader) 목적일 것”이라고 말했다.
▲‘APT Down-The North Korea Files’ 보고서 이미지 [자료: 보고서 캡처]
“돈 받고 일하는 중국 배후 근로자로 북한 이익에도 동조…대만도 공격”
그렇다면 KIM의 ‘지도자’가 누구일까?
세이버와 사이보그가 작성한 보고서는 KIM을 북한 배후라고 의심하면서도, 중국 국경일에는 활동이 없었던 점 등 여러 이유로 중국 배후 가능성도 지적했었다.
이번 인터뷰에서 세이버는 “한국 정부와 기업을 해킹한 KIM은 국가 배후 위협 행위자로, 중국 정부를 위해 정규직(Full time job) 근로자로 급여을 받고 일하고 있을 가능성이 크다”고 추정했다.
“KIM이 중국에 거주하고 있으며, 중국 정부의 이익을 면밀히 추종하고, 다른 중국 정부 연계 그룹이 사용하는 ‘스폰키메라’(SpawnChimera)와 같은 일부 해킹 도구에 접근 권한이 있음을 확인했다”는 게 이유다.
세이버는 KIM의 북한 연계 가능성도 언급했다. “북한과의 연관성도 완전 배제할 수 없다”며 “한국 통일부를 공격하는 등 북한의 이익에도 동조하는 것으로 여겨지며, 또한 중국과 북한이 동맹국이라는 점으로도 설명된다”고 밝혔다.
프랙 보고서 발표 이후 국내외 보안 전문가들 다수는 중국 배후 가능성을 높이 두고 있다. 대만 보안 기업 팀T5(TeamT5)의 경우 프랙 보고서가 지목한 공격자가 중국 배후일 가능성이 높다고 가장 먼저 분석한 바 있다. 대만을 끊임없이 공격해 온 중국 공격자들을 잘 파악하고 있다는 게 팀T5의 설명이다.
또 세이버에 따르면, KIM은 한국뿐 아니라 대만도 공격했다. 이는 KIM이 중국 배후일 가능성을 높여주는 대목이다.
세이버는 “KIM의 서버를 들여다 봤을 때 대만 기업을 공격한 흔적도 있어 이들에게도 대응이 필요하다는 메일을 보냈다”며 “하지만 한국에 대한 공격 흔적에 비해 훨씬 적었기 때문에 무엇을 했는지 정확히 말하긴 어렵다”고 밝혔다.
“윤리적 해커에 대한 좋은 대우가 범죄자 전환 줄여”
세이버는 KIM을 향해 “당신은 해커도 아니다”라며 비난했다. “자신의 정부와 지도자의 정치적 이득을 위해 도덕적으로 어긋나는 행위를 한다”는 점이 도전과 실험을 좋아하는 해커들과는 다르다는 지적이다.
글로벌 경기가 악화될수록 일자리고 줄고, 실력있는 해커들이 범죄의 유혹에 빠진다는 경제 전문가들의 분석에 대해 세이버는 “전적으로 동의한다”며 “(윤리적) 해커들에 대한 나라와 기업의 정당한 대우는 이들의 범죄자 전환을 막을 수 있다”고 말했다.
세이버는 한국의 사이버 위협 실태에 대해 “대한민국은 북한과 그 동맹국들의 관점에서 중요하고 전략적인 표적으로, 분명히 더 많은 공격이 있을 것”이라며 “다만 공격이 성공할지 아닐지는 또 다른 문제”라고 말했다.
세이버는 “모든 공격을 막는 것은 거의 불가능하며, 사이버 보안과 직원 교육 등에 많은 비용을 지출하는 정부나 기업조차도 때때로 ‘성공적으로’ 침해를 당한다”며 “확실히 개선될 수 있는 부분은 탐지 메커니즘과 공격 대응이며, 더 많은 감사(Audit)가 있어야 한다”고 조언했다. 이어 “한국 정부는 현재 이 문제를 해결하기 위해 노력하고 있는 것 같다”고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.jpg){kind=spacer}
.jpg)
.png){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
