[블루팀 리포트] "작은데, 활발했다"…MS가 본 '북한 해커' 암약
2021-10-23 08:00
각국 해커그룹 분석한 'MS디지털방위보고서' 발간
라자루스·킴수키 등 주요 북한 해커그룹 활동 식별
"국제정세 파악 위해 한·미·일·중·러 외교당국자 노려"
"코로나19 확산으로 제약사·백신연구조직 표적 추가"
"위장신분 활용…서구 안보 지형 침투 능력 보여줘"
라자루스·킴수키 등 주요 북한 해커그룹 활동 식별
"국제정세 파악 위해 한·미·일·중·러 외교당국자 노려"
"코로나19 확산으로 제약사·백신연구조직 표적 추가"
"위장신분 활용…서구 안보 지형 침투 능력 보여줘"
북한 정부의 지원을 받아 세계 각국에서 활발한 사이버위협 활동을 수행하는 해커조직은 네 개다. 정보 수집을 포함한 여러 목적을 가지고 다른 나라의 민간·공공 조직을 공격한 북한 해커조직의 최근 움직임은 북한의 규모에 비해 활발하다고 평가됐다. 다만 공격의 빈도나 그 실행 범위에 비춰볼 때, 전반적인 공격의 성공률은 러시아·중국만큼 높지 않은 것으로 나타났다.
최근 북한 해커조직 사이버공격 표적의 상위 5대 유형별 비율을 보면 개인소비자(Consumer) 대상 공격이 76%로 대부분을 차지했다. 정부(Government)가 14%로 뒤를 이었고, 비정부기구(NGO)나 싱크탱크가 4%, 정부간 조직(IGO)이 3%, 교육기관(Education)이 3%로 나머지를 차지했다. 전체 사이버공격 시도 중 침해 성공률은 6%였고, 나머지 94%는 실패한 것으로 파악됐다.
23일 미국 IT기업 마이크로소프트(MS)는 한국을 포함한 각국에서 지난해 사이버위협 공격 활동을 수행한 '국가 지원 해커그룹'을 분석해 최근 공개한 '디지털 방위 보고서'에 이같이 밝혔다. MS는 자사 보안 제품·서비스를 통해 세계에서 하루 24조개씩 수집되는 사이버보안 신호를 인공지능(AI) 기반 위협 예측 기술과 인간 전문가의 판단으로 분석한 결과를 제시했다.
징크는 '라자루스(Lazarus)', '미로 천리마(Labyrinth Chollima)'라는 이름으로도 알려진 조직으로, 보안연구자·민간기업·기간시설 운영조직을 공격한다. 탈륨은 '킴수키(Kimsuky)', '비단 천리마(Velvet Chollima)'로도 불리고, 외교당국자·학계 인사를 공격한다. 세륨도 킴수키로 식별되는데 이들은 외교·학계와 국방·항공 분야를 노리고, '코니(Konni)'로 알려진 오스뮴은 주로 외교 인사를 노린다.
MS는 주요 해커조직의 활동 반경과 공격 형태 등을 분석해, 이들을 지원하는 국가·정부 단위로 묶어 평가했다. MS는 "지난해 북한 위협 행위자들은 이 나라의 규모와 자원에 비해 극도로 활발하게 활동해 왔다"라며 "북한이 MS의 4대 위협분석 대상국 가운데 가장 작았지만, 작년 마지막 3개월 동안 발생한 국가단위위협(NSN·Nation State Threats)의 과반을 차지했다"라고 지적했다.
MS에 따르면 네 개의 북한 해커조직은 세계 각국의 외교 관계자, 학자, 싱크탱크 구성원에게 관심을 기울였는데 특히 한국, 미국, 일본 지역의 인사들을 집중적으로 노렸다. MS는 "하지만 북한은 유럽의 학계나 싱크탱크 소속 관계자, 그리고 일반적으로 북한과 우호적인 것처럼 보이는 중국, 러시아 관계자들 또한 표적으로 삼았다"라고 설명했다.
이처럼 북한이 해커조직의 활동으로 외교·지정학적 정보 수집 활동에 힘을 쏟은 배경은 북한 정부가 불안정한 국제정세 안에서 실질적인 판단근거가 될 만한 정보를 필요로 했기 때문으로 보인다. 외교 당국자를 노린 북한 활동은 특히 미국의 대선과 그 직후 기간에 집중됐다.
MS는 보고서를 통해 북한이 '국제사회는 지속적으로 엄격하게 북한을 제재할 것인가', '코로나19가 국제적 역학관계를 어떻게 바꾸는가', '미국 차기 정부의 대북 정책은 무엇이고, 한·미·일 파트너십은 이 정책에 어떻게 공조할 것인가'와 같은 핵심적인 의문에 답을 얻고자 했을 것이라고 주장했다.
북한이 지난해부터 활발하게 공격 목표로 삼은 표적 가운데 제약회사와 백신 연구자들이 포함됐다는 점을 통해, 코로나19 또한 북한의 큰 관심사였음이 드러났다. 작년 11월 MS는 북한의 징크와 세륨이 몇몇 국가에 있는 제약회사와 백신 연구자를 포함한 56개의 표적을 노리고 활동했고, 이는 자체 백신연구 속도를 높이거나 타국의 연구수준을 파악하기 위한 것이라고 추정했다.
북한 해커조직은 이전에도 타 지역의 기업과 개인 등 민간 부문을 공격해 왔다. 이 활동의 목적은 암호화폐와 지적자산을 탈취해 재정적 이익을 얻기 위한 것으로 추정됐다. 세계적인 코로나19 확산 사태는 북한 해커조직이 사이버위협 활동에 새로운 표적을 추가하게 했을 뿐만 아니라, 이런 민간부문 대상 공격활동을 더욱 활발히 지속하도록 만든 것으로도 평가됐다.
MS는 북한을 "세계에서 유일하게 비트코인 절도범으로 알려진 국가"라고 지칭하면서 "작년 북한은 암호화폐와 지적재산을 탈취할 의도로 금융기업을 지속적으로 공격했다"라고 밝혔다. 이어 "이미 (무역) 제재 압박에 놓인 북한 경제는 코로나19 사태로 국경이 폐쇄되자 훨씬 더 큰 (재정적) 부담을 안았다"라며 "사이버상의 절도가 손실을 만회할 수입을 만들 기회를 줬다"라고 덧붙였다.
MS가 추적한 북한 해커조직 중 하나는 암호화폐 분야나 블록체인 연구개발 기업을 표적으로 삼아 활동했다. 북한이 암호화폐나 블록체인 분야 스타트업으로 행세하면서 다른 민간 사업가나 연구자, 그들의 소관 단체와 회사를 노리고 스피어피싱 공격을 감행했다는 얘기다. 다만 이들은 앞서 소개된 징크, 탈륨, 세륨, 오스뮴 등 MS가 별도의 식별명을 부여한 해커조직과는 별개였다.
북한 해커조직 가운데 징크가 보안연구자 57명을 표적으로 삼아 상당히 정교한 사회공학 활동을 수행해 왔다는 것이 지난 1월 MS위협인텔리전스센터(MSTIC)와 구글의 협력을 통한 공격 분석 결과로 알려졌다. 북한 해커들은 이 공격을 위해 몇 달간 웹사이트와 사회관계망서비스에서 실제 보안기업이나 연구원 행세를 위한 가짜 프로필을 내걸고 활동한 것으로 파악됐다.
MS는 이처럼 자신들을 추적할 수도 있는 각국의 보안연구자를 대상으로 한 사회공학 공격을 감행한 북한의 전략에 대해 "즉각적인 공격을 넘어선 장기적인 효과를 추구한 것"이라고 지적했다. 또 "이는 북한이 서구의 안보 지형 내부에 섞여들 수 있을 만큼 그 환경을 충분히 잘 이해할 수 있음을 보여줬다"고 평가했다.