北정찰총국, 최소 6개 해킹그룹 관리…백신 제약사도 ‘타깃’

클릭하시면 더 큰이미지를 보실 수 있습니다

■ 구멍 뚫린 사이버안보 - (中) 北 해킹그룹 현황·실태

기술정찰국-110연구소 등
점 조직 형태로 조직 운영

블루노로프, 美은행 돈 탈취
‘靑 디도스 공격’ 라자루스
김정은 다룬 美영화사 뚫어

안다리엘, 인프라시설 노려
킴수키, 정부기관 등에 공작

해외 금융기관서 빼낸 외화
핵무기·미사일 개발비 사용

특별기획팀 = 허민 전임기자, 박준희·나주예 기자, 안수교 인턴기자

북한이 배후 세력인 것으로 추정되는 해킹그룹은 그 존재 자체가 불확실하지만, 이들로부터 해킹 피해를 입은 국제사회에서 서서히 꼬리가 드러나고 있다. 국제사회는 북한이 배후로 추정되는 해킹그룹을 총지휘하는 기관으로 ‘정찰총국’을 꼽고 있으며, 북한 당국이 체계적으로 이들 해킹그룹을 관리하는 것으로 판단하고 있다.

12일 유엔 안전보장이사회 산하 대북제재위원회 전문가패널 보고서와 국내 사이버 안보 전문가 등에 따르면 북한과 연계된 해킹그룹은 국제사회의 감시망에 포착된 것만 최소 6개에 이른다. 이들은 한국뿐만 아니라 유럽, 미국, 동남아시아, 일본 등에서 갖가지 사이버 공작을 벌인 것으로 의심받고 있다.

북한과 연계된 것으로 보이는 대표적인 해킹그룹은 ‘라자루스(Lazarus)’다. 정체를 감추고 활동하는 해킹그룹의 특성상 통상 특정 해킹그룹의 명칭은 감시기관에 의해 붙여지는데, 라자루스의 경우 APT38이나 히든코브라(Hidden Cobra)로 불리기도 한다. 라자루스는 최소 2007년쯤부터 사이버 공작 활동을 벌이기 시작한 것으로 파악되고 있다. 주로 피싱 기법을 기반으로 한 APT 공격(Advanced Persistent Threat, 미리 정해 둔 표적의 정보를 모아 약점을 파악한 뒤 공격하는 방식으로 ‘지능형 지속 위협’으로 불린다)을 활용하는 것으로 알려졌다.

라자루스는 2009년 대규모 좀비PC를 동원해 청와대 등 국가기관 사이트들에 디도스(DDoS·분산서비스거부) 공격을 실행한 조직으로 알려져 있다. 그 외에도 김정은 북한 국무위원장을 풍자한 영화 ‘인터뷰’를 제작한 미국의 소니픽처스를 해킹한 세력으로도 지목됐다. 또 라자루스는 국내 가상화폐거래소에 대한 해킹을 시도하고, 지난해 코로나19 대유행이 발생하자 코로나19 백신 개발 관련 제약사 등에 대해서도 해킹을 시도한 것으로 전해졌다.

미국 정부는 북한과의 연계가 의심되는 또 다른 해킹그룹 ‘안다리엘(Andariel)’과 ‘블루노로프(Bluenoroff)’를 라자루스의 하위 그룹으로 보기도 한다. 안다리엘의 경우, 2015년쯤 그 존재와 활동이 처음 포착된 해킹그룹이다. 이들은 한국 정부와 인프라 시설에 대한 사이버 공격을 실행하는 것으로 알려졌다. 또 블루노로프의 경우, 2014년쯤 포착된 해킹그룹으로 주로 금전적 이득을 위한 사이버 공작을 담당하는 것으로 파악되고 있다. 블루노로프는 외국 금융기관을 공격해 외화를 확보하고, 이들이 거둔 수익 중 일부는 북한의 핵무기와 탄도미사일 프로그램 지원에 활용되는 것으로 전해졌다.

실제로 블루노로프는 2016년 방글라데시 중앙은행이 개설한 미국 뉴욕 연방준비은행 계좌로부터 8100만 달러(약 937억 원)를 빼돌린 것으로 지목됐다. 이를 비롯해 2019년까지 한국과 인도·파키스탄·터키·멕시코 등의 국가에서 은행 전산망을 해킹해 11억 달러(약 1조2700억 원) 이상을 탈취 시도한 혐의를 받고 있다.

‘킴수키(Kimsuky)’ 역시 북한과 연계된 것으로 파악되는 대표적인 해킹그룹이다. ‘탈륨(Thallium)’으로도 불리는 이 그룹은 주로 국가 기반시설이나 정부기관, 탈북자, 정치인 등을 대상으로 사회적 혼란이나 정보 수집을 위한 사이버 공작을 벌이는 것으로 분석되고 있다. 킴수키는 2014년 한국수력원자력 직원에게 피싱 메일을 발송하는 수법으로 한수원 자료를 탈취해 간 것으로 지목됐다. 이 외에도 미국 정부가 지난해 새로 탐지한 ‘비글보이즈(BeagleBoyz)’나 킴수키와 연관성이 의심되는 ‘코니(Konni)’ 역시 북한과 연계된 해킹그룹으로 꼽힌다.

국제사회에서 암약하는 이들 해킹그룹은 북한 국무위원회 직속의 정찰총국이 총지휘하는 것으로 파악되고 있다. 유엔 대북제재위 전문가 패널은 지난 4월 공개된 보고서를 통해 “북한 정찰총국에 종속된 라자루스나 킴수키 같은 사이버 위협 행위자에 의한 사이버 공격을 계속 조사하고 있다”고 밝혔다. 정찰총국은 제3국인 기술정찰국과 그 산하의 110연구소 등을 통해 점조직 형태의 해킹그룹을 지휘하는 것으로 파악되고 있다.

익명의 한 안보 전문가는 “북한의 사이버 인력은 주로 중국 등 해외에서 활약하는 경우가 많다”며 “북한 당국의 관리가 느슨해지면 이들이 일탈 행동을 벌이는 경우도 있는 것으로 알고 있다”고 말했다.