미국 재무부, 북한 해킹조직 ‘라자루스’ 등 총 3곳 특별제재 대상으로 지정
라자루스의 사이버공격 행위 막기 위해선...법제도 개선과 함께 종합적 협력체계 구축해야
[보안뉴스= 조현숙 국가보안기술연구소 소장] 예루살렘 인근 베다니아 마을에는 ‘라자로’라는 사람이 살고 있었다. 라자로는 병을 앓고 있었고, 여동생인 마리아와 마르다는 예수께 라자로의 병세를 알렸지만, 예수가 라자로의 집에 도착했을 때는 라자로는 이미 죽어 동굴무덤에 안치된 지 나흘이나 지난 뒤였다. 가족 모두가 라자로의 죽음을 슬퍼하던 그때, 예수는 라자로의 무덤 앞에 서서 “라자로야, 나오너라!”라고 외쳤다. 그러자 기적이 일어났다. 죽었던 라자로가 무덤에서 나온 것이다. 이는 ‘신약성경’의 내용이다. 그리고 라자로의 영문명은 ‘라자루스’이다.
[이미지=iclickart]
이 이야기 자체는 오늘 논의하려는 북한 측으로 추정되는 해킹조직인 ‘라자루스’와는 연관이 없다. 하지만 죽은 자가 무덤에서 일어나 걸어 나온다고 생각해 보면 어쩐지 오싹해진다. 미국의 정보공동체 USIC(United States Intelligence Community)가 ‘라자루스 그룹’(이하 ‘라자루스’)이라고 이름을 붙인 북한 해킹조직의 하부 조직으로 알려진 ‘안다리엘(Andariel)’은 더욱 끔찍하다. ‘안다리엘’이라는 이름은 ‘디아블로’라는 게임에 등장하는 3대 악마 캐릭터들 중 치명적인 독을 지닌 무기를 갖춘 캐릭터의 이름이기도 하다.
과거 북한은 정찰총국 내에 ‘전자정찰국 사이버전지도국(121국)’과 ‘기술정찰조(110호 연구소)’를 두고, 총참모부 내 ‘지휘자동화국’ 등을 두고 있었다. 그리고 이들의 하부조직에는 여러 사이버공격 조직이 있었다. 그들의 임무는 한국의 주요 정보 시스템에 침투하여 기밀정보를 탈취하거나 한국의 주요 기반시설을 대상으로 사이버공격을 수행하는 것이었다. 그런데 2014년 11월 24일 북한 김정은 암살 관련 코믹 영화 ‘더 인터뷰’의 제작사인 소니픽처스의 해킹 사건을 계기로 그들의 사이버활동에 변화가 생겼다. 그들의 공격 대상이 한국에서 미국으로 바뀐 것이다. 김정은이 희화화되는 것을 상상도 할 수 없는 북한에서 이런 사실을 알고도 방관하면 사상에 문제가 있다고 판단되어 숙청당할 수 있으니까 말이다.
북한의 사이버공격 조직들은 소니픽처스가 사용하는 주요 시스템의 취약점과 공격 포인트를 파악한 뒤, 흔적을 남기지 않기 위해 여러 침투 경로를 만들었다. 이때 관련 정보를 수집하면서 방글라데시 등 개발도상국들의 금융 시스템의 ‘보안’이 부실하게 운영되는 점도 파악한 듯싶다. 결국 그들의 사이버공격은 성공했고, 소니픽처스는 영화 개봉을 포기했다. 하지만 미국 정부는 민간 영역에서 발생한 이러한 해킹 사건을 그대로 묵과하지 않았다. 북한 정부에 소니픽처스 해킹 사건의 책임을 물어 경제적 제재를 가한 것이다. 이 제재는 ‘사이버공격에 대한 물리적 대응’의 첫 사례이기도 하다.
이전까지는 사이버공격을 당했을 경우 ‘비례성의 원칙’에 따라 사이버공격으로 대응하는 것이 일반적이었다. 하지만 IT 관련 인프라가 부실한 북한에 대한 사이버공격에 의한 응징은 효과가 미미하고, 북한만이 가지고 있는 운영체제와 네트워크 방식을 파악하여 공격하기도 쉽지는 않았다. 특히, 북한의 사이버공격은 대부분 중국을 경유하기에 근본적으로 차단하려면 중국의 협조가 필요하다. 하지만 이를 위한 협상 역시 만만치 않았을 것이다. 결국 미국 정부는 차선책으로 물리적 제재를 선택한 것이다. 한편, 소니픽처스 해킹 사건을 조사했던 미국 FBI와 USIC 등은 이 해킹조직에 ‘라자루스’라는 이름을 붙이고 ‘동굴무덤’ 안에 집어넣었다.
그 이후 얼마간 사이버공간이 조용했다. 그런데 ‘라자루스’는 다시 살아나 무덤 밖으로 나왔다. 경제적 제재로 쪼들린 살림살이를 간신히 운영하던 북한이 무슨 수를 써서라도 외화를 확보해야겠다고 판단했기 때문이다. 특히, 북한 군부와 조선노동당은 각자의 권력을 유지하려면 충성 경쟁을 해야 하고, 그러기 위해서는 김정은에게 바칠 ‘충성자금’이 절대적으로 필요하다. 그들은 자신들이 운영하는 사이버조직을 다시 만지작거리기 시작했다. 결국 소니픽처스를 공격할 때 파악했던 정보를 바탕으로 방글라데시와 필리핀 등의 은행 온라인계좌 해킹을 시도했다. 이러한 사이버공격은 큰 성공을 거두지는 못했다. 대부분의 국가는 금융자산을 엄격히 관리하기 때문에 금융 이력에 대한 추적이 가능했기 때문이다. 그래서 반대로 북한에 대한 부정적 인식만 더욱 확산되었다.
그러던 중 사이버공간에서 블록체인 기반의 ‘비트코인’이 유행하기 시작했다. 비트코인 거래는 사이버공간에서 익명성을 유지하면서 이루어진다. 또한, 비트코인 거래소는 민간 영역이라 정부의 통제에서 자유롭다. 그리고 북한 입장에서 볼 때는 반갑게도 비트코인 거래소와 개인 PC의 보안 수준이 매우 낮았다. 즉, 자신들의 해킹 능력이면 어떤 흔적도 남기지 않고 비트코인을 절취할 수 있으리라 판단한 것이다. 이를 계기로 북한은 활동 목표를 ‘대남 사이버 공격’에서 ‘비트코인 절취’로 변경했다. 그 결과는 예상대로 성공적이었다.
핵무기 개발에 따른 유엔의 경제적 제재로 정권 유지가 어렵던 북한에 있어 비트코인은 오랜 가뭄 속의 단비와 같았다. 북한은 비트코인 절취만을 전담할 하부 조직도 만들었다. 그 하부 조직은 대담하게도 전 세계를 대상으로 ‘워너크라이(WannaCry) 공격’까지 감행했다. 이는 잠긴 암호파일을 볼모로 개인에게서 비트코인을 갈취하려는 시도다. 결국 2019년 9월 13일 미국 재무부는 북한의 해킹조직 ‘라자루스’ 및 그 하부 조직인 ‘블루노로프(BlueNorOff)’, ‘안다리엘(Andariel)’ 등 총 3곳을 특별제재 대상으로 지정했다.
▲국가보안연구소 조현숙 소장[사진=보안뉴스]
여기서 짚고 넘어가야 할 부분이 있다. ‘라자루스’와 같은 사이버조직이 우리나라의 주요 금융 시스템을 교란하고, 워너크라이로 우리나라 사람들의 비트코인을 꽁꽁 잠궈서 사용하지 못하게 했다고 가정해보자. 이때 우리의 국가안보를 책임지는 기관이 이를 조사·분석하여 사이버 상에서 적시에 대응하고, 재발 방지를 위한 대책까지 조속히 마련할 수 있도록 민·관·군 합동 협력 체계를 원활하게 지휘할 수 있을까? 아쉽게도 ‘정보통신기반보호법’은 금융 시설과 개인정보에 대한 조사를 해당 부처에서만 할 수 있도록 제한하고 있다. 그러다보니 관련 기관들 간의 정보 공유가 원활하게 이뤄지지 못한다.
이렇듯 한번 뚫리면 걷잡을 수 없이 확산될 수 있는 지능화된 사이버공격에 적시에 대응할 수 없는 것이 현실이다. 과거에는 국가 안보, 금융, 개인정보 업무를 별개로 다루었다. 하지만 ‘라자루스’와 같은 조직이 활동하는 이 시점에는 영역을 통합하여 하나의 국가안보 차원에서 ‘사이버 안보’를 다루어야 할 것이다. 네 업무, 내 업무를 따지다가 초가삼간을 다 태우는 일은 없어야 한다. ‘라자루스’는 아직 살아있고, 그들의 활동은 ‘현재진행형’이다. 2000년 전에 예수가 라자루스를 살린 것과 달리, 사이버공간에서는 라자루스가 빠져나오지 못하도록 무덤을 영원히 봉인해야 한다. 그러기 위해 법과 제도를 개선하고, 전문적이면서 종합적인 협력 체계도 만들어야 한다.
[글_ 조현숙 국가보안기술연구소 소장]
라자루스의 사이버공격 행위 막기 위해선...법제도 개선과 함께 종합적 협력체계 구축해야
[보안뉴스= 조현숙 국가보안기술연구소 소장] 예루살렘 인근 베다니아 마을에는 ‘라자로’라는 사람이 살고 있었다. 라자로는 병을 앓고 있었고, 여동생인 마리아와 마르다는 예수께 라자로의 병세를 알렸지만, 예수가 라자로의 집에 도착했을 때는 라자로는 이미 죽어 동굴무덤에 안치된 지 나흘이나 지난 뒤였다. 가족 모두가 라자로의 죽음을 슬퍼하던 그때, 예수는 라자로의 무덤 앞에 서서 “라자로야, 나오너라!”라고 외쳤다. 그러자 기적이 일어났다. 죽었던 라자로가 무덤에서 나온 것이다. 이는 ‘신약성경’의 내용이다. 그리고 라자로의 영문명은 ‘라자루스’이다.
[이미지=iclickart]
이 이야기 자체는 오늘 논의하려는 북한 측으로 추정되는 해킹조직인 ‘라자루스’와는 연관이 없다. 하지만 죽은 자가 무덤에서 일어나 걸어 나온다고 생각해 보면 어쩐지 오싹해진다. 미국의 정보공동체 USIC(United States Intelligence Community)가 ‘라자루스 그룹’(이하 ‘라자루스’)이라고 이름을 붙인 북한 해킹조직의 하부 조직으로 알려진 ‘안다리엘(Andariel)’은 더욱 끔찍하다. ‘안다리엘’이라는 이름은 ‘디아블로’라는 게임에 등장하는 3대 악마 캐릭터들 중 치명적인 독을 지닌 무기를 갖춘 캐릭터의 이름이기도 하다.
과거 북한은 정찰총국 내에 ‘전자정찰국 사이버전지도국(121국)’과 ‘기술정찰조(110호 연구소)’를 두고, 총참모부 내 ‘지휘자동화국’ 등을 두고 있었다. 그리고 이들의 하부조직에는 여러 사이버공격 조직이 있었다. 그들의 임무는 한국의 주요 정보 시스템에 침투하여 기밀정보를 탈취하거나 한국의 주요 기반시설을 대상으로 사이버공격을 수행하는 것이었다. 그런데 2014년 11월 24일 북한 김정은 암살 관련 코믹 영화 ‘더 인터뷰’의 제작사인 소니픽처스의 해킹 사건을 계기로 그들의 사이버활동에 변화가 생겼다. 그들의 공격 대상이 한국에서 미국으로 바뀐 것이다. 김정은이 희화화되는 것을 상상도 할 수 없는 북한에서 이런 사실을 알고도 방관하면 사상에 문제가 있다고 판단되어 숙청당할 수 있으니까 말이다.
북한의 사이버공격 조직들은 소니픽처스가 사용하는 주요 시스템의 취약점과 공격 포인트를 파악한 뒤, 흔적을 남기지 않기 위해 여러 침투 경로를 만들었다. 이때 관련 정보를 수집하면서 방글라데시 등 개발도상국들의 금융 시스템의 ‘보안’이 부실하게 운영되는 점도 파악한 듯싶다. 결국 그들의 사이버공격은 성공했고, 소니픽처스는 영화 개봉을 포기했다. 하지만 미국 정부는 민간 영역에서 발생한 이러한 해킹 사건을 그대로 묵과하지 않았다. 북한 정부에 소니픽처스 해킹 사건의 책임을 물어 경제적 제재를 가한 것이다. 이 제재는 ‘사이버공격에 대한 물리적 대응’의 첫 사례이기도 하다.
이전까지는 사이버공격을 당했을 경우 ‘비례성의 원칙’에 따라 사이버공격으로 대응하는 것이 일반적이었다. 하지만 IT 관련 인프라가 부실한 북한에 대한 사이버공격에 의한 응징은 효과가 미미하고, 북한만이 가지고 있는 운영체제와 네트워크 방식을 파악하여 공격하기도 쉽지는 않았다. 특히, 북한의 사이버공격은 대부분 중국을 경유하기에 근본적으로 차단하려면 중국의 협조가 필요하다. 하지만 이를 위한 협상 역시 만만치 않았을 것이다. 결국 미국 정부는 차선책으로 물리적 제재를 선택한 것이다. 한편, 소니픽처스 해킹 사건을 조사했던 미국 FBI와 USIC 등은 이 해킹조직에 ‘라자루스’라는 이름을 붙이고 ‘동굴무덤’ 안에 집어넣었다.
그 이후 얼마간 사이버공간이 조용했다. 그런데 ‘라자루스’는 다시 살아나 무덤 밖으로 나왔다. 경제적 제재로 쪼들린 살림살이를 간신히 운영하던 북한이 무슨 수를 써서라도 외화를 확보해야겠다고 판단했기 때문이다. 특히, 북한 군부와 조선노동당은 각자의 권력을 유지하려면 충성 경쟁을 해야 하고, 그러기 위해서는 김정은에게 바칠 ‘충성자금’이 절대적으로 필요하다. 그들은 자신들이 운영하는 사이버조직을 다시 만지작거리기 시작했다. 결국 소니픽처스를 공격할 때 파악했던 정보를 바탕으로 방글라데시와 필리핀 등의 은행 온라인계좌 해킹을 시도했다. 이러한 사이버공격은 큰 성공을 거두지는 못했다. 대부분의 국가는 금융자산을 엄격히 관리하기 때문에 금융 이력에 대한 추적이 가능했기 때문이다. 그래서 반대로 북한에 대한 부정적 인식만 더욱 확산되었다.
그러던 중 사이버공간에서 블록체인 기반의 ‘비트코인’이 유행하기 시작했다. 비트코인 거래는 사이버공간에서 익명성을 유지하면서 이루어진다. 또한, 비트코인 거래소는 민간 영역이라 정부의 통제에서 자유롭다. 그리고 북한 입장에서 볼 때는 반갑게도 비트코인 거래소와 개인 PC의 보안 수준이 매우 낮았다. 즉, 자신들의 해킹 능력이면 어떤 흔적도 남기지 않고 비트코인을 절취할 수 있으리라 판단한 것이다. 이를 계기로 북한은 활동 목표를 ‘대남 사이버 공격’에서 ‘비트코인 절취’로 변경했다. 그 결과는 예상대로 성공적이었다.
핵무기 개발에 따른 유엔의 경제적 제재로 정권 유지가 어렵던 북한에 있어 비트코인은 오랜 가뭄 속의 단비와 같았다. 북한은 비트코인 절취만을 전담할 하부 조직도 만들었다. 그 하부 조직은 대담하게도 전 세계를 대상으로 ‘워너크라이(WannaCry) 공격’까지 감행했다. 이는 잠긴 암호파일을 볼모로 개인에게서 비트코인을 갈취하려는 시도다. 결국 2019년 9월 13일 미국 재무부는 북한의 해킹조직 ‘라자루스’ 및 그 하부 조직인 ‘블루노로프(BlueNorOff)’, ‘안다리엘(Andariel)’ 등 총 3곳을 특별제재 대상으로 지정했다.
▲국가보안연구소 조현숙 소장[사진=보안뉴스]
여기서 짚고 넘어가야 할 부분이 있다. ‘라자루스’와 같은 사이버조직이 우리나라의 주요 금융 시스템을 교란하고, 워너크라이로 우리나라 사람들의 비트코인을 꽁꽁 잠궈서 사용하지 못하게 했다고 가정해보자. 이때 우리의 국가안보를 책임지는 기관이 이를 조사·분석하여 사이버 상에서 적시에 대응하고, 재발 방지를 위한 대책까지 조속히 마련할 수 있도록 민·관·군 합동 협력 체계를 원활하게 지휘할 수 있을까? 아쉽게도 ‘정보통신기반보호법’은 금융 시설과 개인정보에 대한 조사를 해당 부처에서만 할 수 있도록 제한하고 있다. 그러다보니 관련 기관들 간의 정보 공유가 원활하게 이뤄지지 못한다.
이렇듯 한번 뚫리면 걷잡을 수 없이 확산될 수 있는 지능화된 사이버공격에 적시에 대응할 수 없는 것이 현실이다. 과거에는 국가 안보, 금융, 개인정보 업무를 별개로 다루었다. 하지만 ‘라자루스’와 같은 조직이 활동하는 이 시점에는 영역을 통합하여 하나의 국가안보 차원에서 ‘사이버 안보’를 다루어야 할 것이다. 네 업무, 내 업무를 따지다가 초가삼간을 다 태우는 일은 없어야 한다. ‘라자루스’는 아직 살아있고, 그들의 활동은 ‘현재진행형’이다. 2000년 전에 예수가 라자루스를 살린 것과 달리, 사이버공간에서는 라자루스가 빠져나오지 못하도록 무덤을 영원히 봉인해야 한다. 그러기 위해 법과 제도를 개선하고, 전문적이면서 종합적인 협력 체계도 만들어야 한다.
[글_ 조현숙 국가보안기술연구소 소장]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
