현재 이들의 목적은 두 가지...적국에 피해를 입히고 경제 제재 극복하는 것
[보안뉴스 문가용 기자] 북한이 세계를 위협하는 사이버전 국가로 발돋움하는 데 걸린 시간은 불과 몇 년이다. 2014년만 하더라도 무식할 정도로 직선적이고 파괴적인 공격만 하던 자들이, 5~6년 만에 세계 최고 수준의 공격을 가볍게 성공시키기 시작한 것이다. 이제 우리는 북한 해커들에 대해 이야기 할 때 ‘최고의 위협’이라는 걸 염두에 둔다.
[이미지 = utoimage]
보안 첩보 전문 업체인 크라우드스트라이크(CrowdStrike)의 수석 기술 분석가인 조시 버기스(Josh Burgess)는 “지난 6~7년 동안 이들을 개인적인 관심을 가지고 지켜봤다”며 “이들의 발전 속도와 향상의 능력에 깊은 관심이 발동됐다”고 말했다. “게다가 이들은 다른 ‘빅 4(Big Four : 러시아, 중국, 이란, 북한)’ 국가들과 다른 점을 하나 가지고 있습니다. 바로 돈을 노골적으로 노린다는 겁니다.”
버기스의 말처럼 사이버전을 주로 벌이는 국가들은 주로 ‘정보’를 목표로 한다. 정보를 몰래 훔쳐 경제적이나 외교적으로 활용하기는 하지만, 직접 돈을 훔쳐내는 일은 대단히 드물다. 크라우드스트라이크의 글로벌 전략 그룹 수장인 제이슨 리베라(Jason Rivera)는 “조국을 위한다는 점에서야 다 비슷하다고 볼 수 있지만, 이들은 돈을 직접 훔쳐 자신들의 불법적인 행위들을 후원한다”고 말한다.
북한이 다른 사이버전 수행 국가들과 다른 점은 이것만이 아니다. 북한의 사이버 공격은 원래부터 ‘파괴적인 요소’를 포함하는 것으로 유명하다. 파괴를 목적으로 한 공격은 눈에 대번에 띄기 때문에 보통 사이버전의 기법으로서 선호되지는 않는 편이다. “북한 해커들은 직접적인 피해를 입히는 걸 거리끼지 않습니다. 또한 파괴적인 공격은 포렌식과 추적을 대단히 어렵게 만든다는 장점도 있습니다. 북한 해커들이 노리는 것은 이 점이기도 합니다.”
2014년부터 북한은 ‘순수하게 파괴적인 목적성을 띈’ 공격에서부터 서서히 노선을 바꾸기 시작했다. 2014년 북한의 파괴적인 공격을 가장 잘 나타내는 사례는 소니 해킹 사태다. 하지만 그 후 ‘상대에게 피해 입히기’에 더해 ‘북한 정권에 도움을 주기’도 북한 해커들의 미션이 되었다. 이 즈음부터 경제 제재가 북한 내부 경제를 아프게 갉아먹기 시작했기 때문이다. 자연스럽게도 공격의 기술도 바뀌기 시작했다.
미국의 경제 제재 때문에 정상적인 무역 활동을 벌일 수 없었던 북한은 먼저 사이버 공격의 양을 2배로 늘렸다. 또한 높아진 공격 수위를 금융 조직으로 돌렸다. 2015년과 2016년 방글라데시 중앙은행과 국제 은행 간 메시징 플랫폼인 스위프트(SWIFT)를 터는 데 성공했다. 그 후에는 암호화폐 거래소들을 공격했고, 올 여름에는 세계 여기저기서 ATM 기기를 해킹해 강제로 현금 인출을 실시하는 공격을 이어갔다.
북한의 공격이 두 가지 노선(적국에 피해 입히기와 북한 정권 지원하기)을 가지고 있다고 했는데, 그렇기 때문에 이들이 노리는 표적들도 두 가지 그룹으로 나눌 수 있다. 하나는 세계 곳곳의 금융기관들이고, 다른 하나는 정치적 앙숙인 미국과 한국이다. 그러면서 이들은 빠르게 실력을 키워왔다.
리베라는 “불과 수년 사이에 급성장한 건 유례를 찾기 힘들다”며 “북한에서 어마어마한 국가적 투자를 진행한 것으로 보인다”고 설명한다. “현재 이들이 네트워크에 침투해 횡적으로 움직이는 데 걸리는 시간은 평균 2시간 20분입니다. 러시아(19분)를 빼고 이들보다 빠른 해킹 조직들은 없습니다. 중국은 평균 4시간 걸리고 이란은 평균 5시간 걸리는 것으로 분석됐다.
“결국 북한 해커들은 자신들의 목표가 바뀌면서 구체적이고 본격적인 변화를 겪기 시작했다고 볼 수 있습니다. 그러면서 경제적, 외교적 목적의 APT 공격과 금전적 목적의 일반 해킹 범죄를 복합적으로 저지르는 독특한 존재가 됐습니다. 때론 빠르게 침투해 목적한 바를 빠르게 이뤄내야 할 때도 있지만 때로는 조심스럽게 들어가 아무도 모른 상태로 수개월을 머물면서 필요한 것을 꾸준히 빼낼 때도 있습니다. 이것 두 개가 다 가능하다는 건 이들의 실력이 얼마나 뛰어난지를 알 수 있게 해주는 부분입니다.”
그러면서 리베라와 버기스는 “결국 북한의 궁극적인 목표는 미국을 비롯해 국제 사회의 행동과 결정에 영향을 주는 것”이라고 추측한다. “그렇기 때문에 앞으로도 이런 방향으로 움직일 것이 분명합니다. 이런 작전을 펼치려면 자원이 필요하니 금융 기관을 겨냥한 공격 역시 이어질 것이고요. 필요하다면 랜섬웨어에도 손을 댈 것입니다. 이들이 국제 여론을 좌지우지 하기 위해 파괴적인 성향의 공격을 하기 때문입니다.”
4줄 요약
1. 북한, 세계 주요 사이버 위협으로 빠르게 치고 올라온 지역.
2. 이들의 전략은 크게 두 가지 : 적국의 피해 / 조국의 금전적 이득.
3. 국제 제재 때문에 금전적 공격은 계속해서 이어질 것.
4. 어느 순간 랜섬웨어에 손을 댈 가능성도 높아 보임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>