북한 정부가 배후로 추정되는 해킹 조직이 전방위적인 사이버 공격을 이어간다. 이들은 세계적으로 움직임이 활발하다. 국내에선 북한 관련 기관과 대북 분야 종사자를 노린 공격이 연이어 발견됐다. 경제 제재로 자금난이 지속되는 가운데 외화를 회득하기 위해 해킹을 시도한다는 분석이다. 보안업계는 이들의 공격 수법이 전보다 교묘해진만큼 각별한 주의가 필요하다고 당부했다.
북한은 외화벌이를 위해 해킹에 나선 것으로 보인다. 대북제재로 자금난에 직면했기 때문이다. 특히 거래 경로 추적이 힘든 가상화폐를 겨냥한 공격이 두드러진다. 자금을 탈취한 뒤 여러 계좌를 활용해 돈 세탁을 하는 식이다.
카일라이젠만 영국 합동군사연구소 연구원은 미국의소리(VOA) 방송 인터뷰에서 "북한 해커들은 러시아와 중국을 제외한 다른 제재 대상국들보다 훨씬 발전된 사이버 범죄 행위자다"고 지적했다.
국제 금융 결제망인 국제은행간통신협회 스위프트는 최근 북한 해킹 조직 라자루스의 공격 사례를 언급하며 금융기관들에 주의를 요구했다. 미국 정부 역시 북한 조직의 금융 해킹에 대해 합동 경보를 발령했다. 이들에 따르면 라자루스는 가상화폐 거래소를 해킹해 자금세탁을 시도했다.
우리나라에선 최근 탈륨 조직의 APT 공격이 잇따라 발견됐다. 보안업체 이스트시큐리티는 최근 탈륨 조직이 제작한 것으로 추정되는 악성 파일을 발견했다. 이들은 논문을 사칭한 파일에 악성코드를 삽입, 이메일로 전송하는 공격 수법을 사용했다. hwp, docx 문서 파일이 아닌 EXE 실행 파일로 눈속임을 했다.
앞서 탈륨 조직이 삼성전자 클라우드 갤러리 서비스에서 공식 발송한 것으로 꾸민 공격과 특정 언론사 기자를 상대로 한 이메일 피싱 공격을 감행한 사실도 확인됐다. 주로 대북 연구 분야 종사자, 탈북민, 북한 관련 취재 기자들을 대상으로 삼아 개인정보를 노렸다.
보안업계는 탈륨 역시 북한 정부를 배후에 두고 사이버 첩보전 외에도 자금 탈취 등 다양한 공격을 벌이고 있다고 분석했다. 탈륨은 2014년 한국수력원자원을 공격했던 일명 ‘김수키’ 조직과 동일 집단으로 추정된다. 미국 마이크로소프트(MS)가 지난해 12월 미국 공무원과 싱크탱크 연구원 등을 대상으로 한 사이버 공격 배후로 북한 해킹 조직을 지명하면서 탈륨이라는 이름을 붙였다.
최근 북한 해킹 조직의 공격 수법은 점점 고도화되는 추세기 때문에 각별한 주의가 당부된다. 이들은 국가차원의 훈련과 교육을 받으면서 공격 기술을 강화하는 것으로 알려졌다.
문종현 이스트시큐리티 이사는 "북한 해킹 조직은 일종의 ‘투잡’을 뛰는 세계 유일한 국가 차원 해킹 조직이라고 보면 된다"며 "북한 정부 차원의 지령을 내려서 체계적으로 활동하고 있기 때문에 다양한 목적으로 사이버 공격을 수행한다"고 밝혔다.
그는 이어 "이들은 특정 대상을 목표물로 삼아 목적을 달성하기까지 꾸준한 공격을 이어가고 있다"며 "최근에는 대기업 클라우드로 위장하듯 이용자들이 현혹될만한 아이디어를 창출해 공격을 하고 있다"고 강조했다.
장미 기자 meme@chosunbiz.com