5차 핵실험 이후 북한의 다음 도발 카드는 무엇일까? 10월 10일(당 창건 기념일)을 기점으로 장거리 미사일 발사 강행 가능성과 함께 대규모 사이버테러가 임박했다는 관측이 나온다. 과거 북한이 핵실험 이후 대규모 사이버 공격을 했던 사례를 비춰볼 때, 이미 북한 해커조직이 준비에 착수했고 최고지도자의 결심만 있다면 언제든 대규모 공격을 강행할 수 있다는 우려다.
실제 북한은 2차 핵실험(2009년 5월 25일)직후인 2009년 7월, 청와대 등 정부기관과 금융사, 포털 사이트를 공격해 7.7 디도스(DDoS·분산서비스거부)대란을 일으킨 바 있다. 3차 핵실험 직후(2013년 2월 12일)에는 3.20 및 6.25 사이버테러를 통해 언론, 금융사, 청와대 및 주요 정부기관의 시스템을 마비시키고 정부 주요인사 등의 신상정보를 대량으로 탈취하기도 했다.
올해 초 4차 핵실험 이후에도 북한은 다양한 영역에서 우리 사회를 대상으로 한 사이버 테러를 시도했다. 철도운영기관 직원들을 대상으로 ‘피싱 메일’을 유포(1월)하거나 한진 ,SK그룹 등 국내 방위산업 관련 문서 4만여 건을 탈취(6월)한 사건도 일으켰다. 북한 사이버 테러 영역이 점차 확대되고 있다는 의미다.
더욱 우려스러운 것은 북한의 사이버테러가 ▲장기간에 걸쳐 준비되고 있다는 것과 ▲침투에 성공했어도 바로 공격하지 않고 숨어서 특정 시기를 기다린다는 점이다. 한진·SK그룹 관련 해킹 사건 조사결과 북한해커 조직이 20개월에 걸쳐 공격을 준비한 사실이 드러나기도 했다.
또한 일부 그룹에 대해선 사이버테러가 가능한 수준의 서버와 PC 통제권을 탈취하고도 즉시 공격하지 않고 은닉시켰다는 사실도 밝혀졌다. 추가 사이버 공격을 위해 지속적으로 해킹을 시도한 것이다. 북한이 공격대상을 이미 물색·통제권을 확보 후, 공격 시점만 노리고 있다는 우려가 나오는 이유다.
北 해커그룹, 대규모 인명피해·사회적 혼란 야기위해 역량 집중
이와 관련 최상명 하우리 CERT(컴퓨터비상대응팀) 실장(사진)은 최근 데일리NK와의 인터뷰에서 “북한은 국가적 규모의 사이버테러를 준비하고 있는 것으로 보인다”면서 “이를 통해서 대규모 인명피해, 사회적 혼란을 일으킬 속셈이 있는 것”이라고 지적했다.
최 실장은 “현재 북한의 해커그룹은 군사분야, 방산업체 등 대규모 인명피해를 일으킬 수 있는 쪽에 역량을 집중하고 있는 것 같다”면서 “디도스 공격·은행 등 금융권 공격은 이미 수차례 시도했기 때문에 좀 더 큰 충격을 준비하고 있는 것 같다. 최근의 북한 악성코드를 분석해 봐도 큰 인명피해를 일으킬 수 있는 곳들을 노리고 있다는 점을 확인할 수 있다”고 덧붙였다.
국내에서 손에 꼽히는 보안 전문가인 최 실장은 사이버전 악성코드 전문 추적그룹 이슈메이커스랩(IssueMakersLab)의 리더이기도 하다. 2008년부터 북한의 해커조직을 집중적으로 추적해 온 그는 “북한은 2000년대 초반부터 우리 사회를 대상으로 한 해킹공격을 해왔다”면서 “지금은 그 규모, 위험수준이 차원이 달라진 만큼 더욱 심각해진 상태”라고 강조했다.
최 실장은 김정은 집권 이후 북한 사이버테러 경향에 대해 ▲시도가 많아졌고 ▲대담해졌으며 ▲무엇보다 대규모로 이뤄지고 있다고 설명했다.
그는 “김정일이 준비했던 것들을 김정은이 완성시켰다고 본다”면서 “김정일이 사망하기 전까지 국내 언론 등에 알려진 공격 등은 2009년 디도스 사건과 2011년 3월 농협 전산망 마비사건 정도가 대표적이었다. 하지만 김정은 시대엔 일일이 열거하기 힘들 정도로 굵직한 사건이 많다”고 지적했다.
또한 그는 “김정일 시대엔 사이버테러 형태의 대부분이 디도스 공격 형태로서 사이트 접속을 불량하게 만들거나 서비스를 마비시키는 등 ‘보여주기’식 형태가 많았다”면서 “(그런데)김정은 시대엔 ‘보여주기’식 공격도 있지만 다양한 타겟을 목표로 대규모 공격이 이뤄지고 있다. 2014년 한국수력원자력을 해킹한 것과 같이 ‘사회적 혼란’을 야기하는 공격에서부터 외화벌이를 위한 공격까지 형태가 다양해졌다”고 설명했다.
김정은 집권 이후 북한 해커조직의 변화상에 대해 최 실장은 “김정은 시대엔 해커조직들도 일종의 충성경쟁을 벌이고 있는 것 같다”면서 “이를 테면 정보수집만을 전담해왔던 해커 그룹이 적극적으로 공격을 시도하는 것이 그 사례”라고 지적했다. 비교적 뚜렷하게 역할이 분화되어 있던 북한 해커그룹들이 전방위적으로 합종연횡하면서 우리 사회 내부를 교란시키고 있다는 것.
북한 김정은이 ‘사이버전은 만능의 보검’이라고 언급하는 등 비대칭전력의 일환으로 사이버테러 역량을 집중하고 있는 것에 대해서는 “흔적을 남기지 않고 많은 피해를 입힐 수 있고 또 동시에 많은 것을 얻어낼 수 있기 때문”이라면서 “북한의 군사력이나 핵·미사일 발전을 위해선 최신 기술이 필요한데, 이런 기술을 해킹을 통해 탈취하는 시도를 하고 있다고 볼 수 있다”고 지적했다.
|
|
北 랜섬웨어 이용한 공격 펼칠 것…민관 협업체계 갖춰 정보공유 강화해야
한편, 북한의 사이버테러가 가시화되는 상황에서 최 실장은 가장 우려되는 공격으로 랜섬웨어(Ransomware)를 꼽았다.
랜섬웨어는 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 스프레트시트, 그림파일 등을 암호화해 열지 못하도록 만든 후 돈을 보내주면 해독용 열쇠 프로그램을 전송해 준다며 금품을 요구하는 악성 프로그램을 의미한다. ransom(몸값)과 ware(제품)의 합성어로 컴퓨터 사용자의 문서를 ‘인질’로 잡고 돈을 요구한다고 해서 붙여진 명칭이다.
최 실장은 “북한 해커 조직이 랜섬웨어를 활용한 공격을 할 가능성이 큰 것으로 보고 있다”면서 “충분한 기술을 가지고 있고 이에 대한 준비도 하고 있는 것으로 보인다”고 밝혔다.
또한 최 실장은 “특히 이 공격에선 가상화폐인 비트코인(Bitcoin)을 몸값으로 요구할 가능성도 커 보인다. 최근의 인터파크 해킹 사례를 보더라도 북한이 비트코인의 가치를 알고 있고, 준비가 되어 있다고 볼 수 있다”면서 “실제로 북한의 민간 인터넷인 조선엑스포 사이트를 보면 비트코인과 관련된 거래 솔루션 및 프로그램도 만들어 놓은 것을 확인할 수 있다”고 지적했다. 북한이 비트코인 관련 기반을 구축했다는 의미로 랜섬웨어를 통해 한국 사회를 공격하는 한편 새로운 외화벌이로 활용할 수 있을 것이란 우려다.
최 실장은 북한해커가 랜섬웨어 공격을 본격적으로 시작한다면 속수무책으로 당할 피해자가 많이 발생할 것이라고 지적했다. 랜섬웨어에 감염 되면 파일이 모두 암호화되기 때문에 피해 대상자들은 암호화 된 파일을 복구하기 위해 공격자에게 돈을 줄 수밖에 없다는 것이다. 이를테면 병원의 경우, 환자 데이터를 암호화시킨다면 병원 측은 난감한 입장에 처하게 된다.
민간이 북한의 랜섬웨어 공격의 표적으로 거론되는 것과 관련해 최 실장은 “SK나 대한항공 같은 경우를 보면 알겠지만 대기업이라고 하더라도 공격을 다 막아낼 수 있는 것은 아니다”면서 “어느 한 기업의 노력으로 대비하기엔 한계가 있다”고 지적했다.
최 실장은 “북한이 공격하고 있는 부분들을 더 넓게 보고 대비할 수 있도록 협력할 수 있는 기회가 많아져야 한다”면서 “민관 협업체계를 갖춰 정보공유를 강화할 필요성이 있다”고 강조했다.
[다음은 최상명 하우리 CERT(컴퓨터비상대응팀) 실장 인터뷰 전문]
-하우리 및 현재 담당하고 있는 업무에 대한 간단한 소개 부탁드린다.
하우리는 컴퓨터 백신을 만드는 소프트웨어 회사다. 보안업체라고 생각하면 된다. 저는 이 곳에서 악성코드를 수집하고 대응하는 팀의 관리 및 운영을 맡고 있다. 2014년도 말에 조직된 CERT(컴퓨터비상대응팀)란 팀인데, 주요 업무는 악성코드 대응·분석·연구·개발 등이다. 특히 하우리에서 만든 소프트웨어를 사용하는 주요 대상이 우리나라 주요 안보기관 등이다 보니, 이런 기관들을 공격하고 있는 대상 등을 연구하고 어떻게 하면 빨리 대응할 수 있을지를 고심하고 있다.
-2013년 발생한 3·20사이버테러 주범인 북한 해커조직의 실체를 최초로 밝혀내면서 많은 관심을 받은 바 있다. 당시 상황을 설명해 줄 수 있나?
민간차원에서 처음 공개했다는 것이 정확한 표현이다. 해킹공격을 포함한 사이버테러 등은 국정원 등 국가기관에서 다루고 있었는데, 이런 이슈들을 민간에서 상세하게 공개하게 된 것이 그때가 처음이었다.
그 당시 주요 방송사(KBS·MBC·YTN)와 금융회사(신한은행·NH농협은행·제주은행) 전산망이 악성코드에 감염, 총 3만 2000여 대에 달하는 컴퓨터가 일제히 마비되는 사상 초유의 정보보안 사고가 발생했다. 같은 해 4월 10일 민·관·군 사이버위협 합동대응팀은 사이버테러의 수법과 접속 기록을 정밀 조사한 결과 북한 정찰총국의 소행인 것으로 결론 내렸다고 발표했다. 이 사건이 특이했던 것은 과거와 달리 군사적인 목적이 아니라 민간의 영역을 건드렸다는 점이다. 북한은 그 이전부터 군사와 관련된 분야에서 지속적으로 해킹공격을 해왔었는데 언론에 알려지지 않았었다. 즉 군(軍)의 영역으로만 생각한 것이다. 그런데 당시 사건은 민간의 영역이었고 이례적인 상황이었기 때문에 언론에도 노출된 것이다.
-2013년 이전부터도 북한의 사이버테러 등에 대해 연구하고 있었단 말인가?
2008년부터 추적해 왔다. 이 무렵부터 국내 기관 등을 대상으로 해킹 공격을 시도하는 북한 조직들을 눈여겨보고 있었다. 하우리 내에서도 하고 있었지만, 2013년 3·20 사이버테러 당시 북한 해커조직 실체를 발표했었던 이슈메이커스랩(IssueMakersLab)이란 조직을 통해 연구·추적해 왔다.
북한 해커조직 등을 추적하면서 알게 된 사실은 북한 해커조직이 몇 개의 그룹으로 분화되어있다는 점과 2000년대 초반부터 우리나라 기관 등을 공격했다는 사실이었다. 특히 3·20 테러를 주도한 해커그룹은 2006년도부터 우리나라를 공격했다. 저희는 이런 내용 등을 정리·분석해 왔는데 민간에 공개할 필요가 없다고 생각했기 때문에 군·정보기관 등과만 공유하고 있었다. 그런데 2013년 북한 해커조직이 민간영역을 대규모로 공격하게 되면서 이슈메이커스랩을 통해 그동안의 정리 내용을 공개하게 된 것이다.
-국내에서 손에 꼽히는 보안 전문가다. 북한 해킹공격 연구를 집중적으로 하게 된 계기가 있다면?
우선 하우리에 입사(2007)하고 계속 악성코드 등에 대해 관찰했다. 당시엔 리니지·바람의 나라와 같은 온라인 게임을 노리는 중국 해커들의 악성코드가 대부분이었다. 비슷한 형식의 악성코드였다. 그런데 2008년 어느 날 특이한 악성코드를 발견하게 됐다. 우리나라 군사정보를 탈취하는 악성코드였는데, 북한의 소행일 가능성이 높다고 판단했고 그때부터 관심을 가지고 지켜보게 됐다.
그러다가 2009년도 7월 7일 디도스(DDoS, Distributed Denial of Service attack) 사건이 터졌다. 청와대를 비롯한 우리나라 각종 주요 사이트들이 공격당하고 우리 국민 수십만 명의 컴퓨터가 악성코드에 감염된 사건이었다. 국정원 등이 북한의 소행이라고 발표했는데, 저도 악성코드를 분석해 봤다. 그런데 그 악성코드가 2008년도에 제가 분석했던 악성코드와 유사했고 연관성이 있어보였다. 그런 식으로 관심을 가지게 됐고 북한 해커그룹들에 대해 본격적으로 조사하게 됐다. 그리고 그 계기를 통해 주변에 뜻을 같이 하는 친구들과 함께 북한 해킹 공격 사례 등을 본격적으로 추적하게 됐다. 저 혼자 하기엔 너무 벅찼기 때문이다. 이슈메이커스랩이 만들어진 계기였다.
-현재 이슈메이커스랩의 인원은 얼마나 되나?
10명 내외로 구성 돼 있다. 구성원들은 기관이나 회사에 얽매여 있지 않다. 각자 하는 일들이 있고 이슈가 있을 때 각자 역할을 분담해 악성코드를 분석한다. 이를테면 암호를 해독하는 사람, 악성코드를 찾는 사람, 분석하는 사람 등이다. 2009년 조직이 결성됐을 당시에는 북한을 포함한 해외 각국의 사이버전 동향을 연구하기도 했었다. 그런데 이후엔 북한 공격사례가 증가하면서 북한 사례만으로 연구를 진행하고 있다. 너무 많아서 다른 것을 찾아볼 여유가 없어 지금은 북한의 공격에만 초점을 맞추고 있다.
-북한 해커조직의 규모를 어느 정도로 예상하나?
악성코드나 해킹흔적을 가지고 분류했을 때 현재 한국을 대상으로 한 북한의 해커 그룹이 7개 정도 있다고 판단하고 있다. 이 숫자는 언론에 노출되지 않은 사건까지 포함해 분석한 수치다.
전체 인원은 저희가 파악하기 힘들지만 국정원 발표를 신뢰하고 있다. 국정원은 해커 그룹과 그들을 지원하는 인원까지 총 7천 명 정도로 추산하고 있는데, 악성코드 등을 분석해 봤을 때 저희 역시 그 정도 인력이 있어야지 북한이 사이버테러를 할 수 있다고 본다.
-과거 김정은은 2013년 “사이버전은 핵미사일과 함께 우리 인민군대의 무자비한 타격 능력을 담보하는 만능의 보검”이라고 언급하기도 했다. 김정은도 사이버테러의 위력을 알고 있고 이를 이용하고 있다고 볼 수 있는데, 김정은이 사이버테러에 주력하는 이유를 무엇이라고 보나?
흔적을 남기지 않고 많은 피해를 입힐 수 있기 때문이다. 또 동시에 많은 것을 얻어낼 수 있기 때문이다. 이런 이유로 비대칭전력의 일환으로 역량을 집중하고 있는 것 같다. 또 북한의 군사력이나 핵·미사일 발전을 위해선 최신 기술이 필요한데, 이들 최신기술을 해킹을 통해 탈취하는 시도를 하고 있다고 볼 수 있다.
-선대(先代)인 김정일 시대와 비교했을 때 김정은 시대 북한의 사이버 테러·공격 유형의 변화가 있는가?
김정일이 준비했던 것들을 김정은이 완성시켰다고 본다. 시도도 많아졌고, 대담해졌으며 무엇보다 대규모다. 인력도 많이 확충됐다. 김정일이 사망하기 전까지 국내 언론 등에 알려진 공격 등은 2009년 디도스 사건과 2011년 3월 농협 전산망 마비사건 정도가 대표적이었다. 하지만 김정은 시대엔 일일이 열거하기 힘들 정도로 굵직한 사건이 많았다.
또한 김정일 시대엔 사이버테러 형태의 대부분이 디도스 공격 형태였다. 사이트 접속을 불량하게 만들거나 서비스를 마비시키는 등 ‘보여주기’식 형태가 많았다. 그런데 김정은 시대엔 다양한 타겟을 목표로 대규모 공격이 이뤄지고 있다. 물론 ‘보여주기’식 공격도 있지만 언론에 공개되지 않은 수치를 고려한다면 실로 엄청나게 많은 영역에서 공격이 이뤄지고 있다. 2014년 한국수력원자력을 해킹한 것과 같이 ‘사회적 혼란’을 야기하는 공격에서부터 외화벌이를 위한 공격까지 형태는 다양하다.
특히 김정일 시대엔 고위기술을 가진 해커들을 통해 안정적이고 체계적인 공격을 가했다면 지금은 많은 인력이 동원되기 때문인지 하급 해커들도 상당수 눈에 띈다. 경험이 없는 인력들을 기용해서 여기저기 공격하다 보니 일종의 실수가 많이 보인다. 악성코드도 분석해 보면 과거에 비해 초보적인 수준도 많다.
-최근 세미나에서 북한의 해커 그룹을 A, B, C로 분류해 특징을 발표한 바 있다. 현재 우리나라를 대상으로 공작하고 있는 북한 해커그룹이 7개 정도 있다고 말한 바 있는데, 그 중 활발하게 활동하고 있는 팀이 A, B, C 팀이란 말인가?
그렇다. 언론에 한 번이라도 언급이 됐고, 어느 정도 우리 국민들이 알고 있는 해킹공격을 주도했던 세 팀을 대표로 공개하게 됐다.
-어떤 분류 기준을 적용했는가?
북한의 해커 그룹은 처음 언론에 공개됐던 순서대로 A팀, B팀, C팀으로 나뉜다. 해킹 수준으로 봤을 땐 A팀은 가장 높은 수준이고 C팀이 제일 떨어지는 해킹팀이다. 분류는 악성코드 유형과 사용기법의 차이를 기준으로 했다.
이들 세 팀은 악성코드를 유포하는 방법도 다르다. A팀은 웹하드를 이용하고, B팀은 우리나라 보안 소프트웨어 취약점을 노리고, C팀은 이메일을 활용한다. 또 IP도 차이점도 있다. A팀은 중국의 IP로 확인됐다가 최근엔 북한 내 IP를 이용하고 있다. B팀은 평양시 류경동 IP로 확인되고, C팀은 북한 IP가 아니라 중국의 선양, 단둥 IP로 확인된다.
-이들 세 팀의 특성에 대해 간략하게 설명해 줄 수 있는가?
A팀은 2009년 디도스 공격(악성코드 공격)을 한 사례가 있고 컴퓨터 수십만 대를 컨트롤 할 수 있는 능력을 가졌다. 온라인 게임에서 동시 접속자가 10만 명이 되면 대박이라고 한다. 동시 접속자수를 컨트롤 하는 것은 그만큼 최신기술을 가졌다는 것을 의미한다. 북한의 경우 이미 2009년에 약 1700대의 서버를 가지고 약 30만 대의 컴퓨터를 컨트롤 했었다. A팀은 2011년 디도스 공격, 농협 전산망 마비, 2014년 소니픽쳐스 공격, 2016년 인터파크 해킹 사건을 주도했다.
B팀은 주로 군사적 목적으로만 활동했다. 대부분 잘 알려지지 않았고 2013년까지 우리나라의 육·해·공군의 작전계획·위치 등 군사정보를 탈취하는 것이 주요 목적이었다. 2013년 3·20 사이버테러 역시 B팀의 소행이다. 최근 사례로는 SK그룹을 공격한 것을 꼽을 수 있다. SK그룹은 민간그룹이지만 통신망 운영을 하고 있기 때문에 북한이 장악을 시도한 것이다. 이밖에도 B팀은 한진그룹과 대한항공도 노렸다. 가져간 주요 정보는 F15(전투기)의 설계도면이나 항공기에 대한 정보를 많이 가져갔다.
C팀은 직접적 테러 보다 정보 수집을 목적으로 활동했다. 주로 외교안보, 통일 분야의 고위급 임직원들에게 해킹 이메일을 전송해 정보를 가지고 간다. 정보 수집을 목적으로 하기 때문에 외부에 크게 알려진 적은 없다. 그런데 2014년부터 두각을 드러내기 시작했다. 2014년 12월 9일 한수원(한국수력원자력) 테러를 시작으로 본격적으로 공격해 오고 있다. 해킹메일은 물론 원자력 파괴 협박도 했다. 이후 C팀도 주목받기 시작했고 지금도 지속적으로 공격을 시도하고 있다.
-북한 내(內) IP가 확인되는 사실은 북한이 사이버테러의 배후라는 명확한 증거가 아닌가?
그렇다. 북한이 대놓고 IP를 남기는 것에 대해 ‘국정원이 조작한 것이 아니냐’ 혹은 ‘누구든지 IP를 조작할 수 있는 것이 아니냐’라는 의문을 가지는 경우가 있다. 앞서 말한 것처럼 이슈메이커스랩은 2000년대 초반부터 2016년까지 10년 넘게 북한 해커팀의 이력을 조사했다. 그런데 분석해 보면 항상 동일한 IP가 나온다. 바로 북한 IP 주소다. IP조작이 이뤄졌다는 사람들의 주장대로라면 어떤 불순한 세력이 북한 서버를 해킹해서 ‘10년간 들키지 않았다’는 말이 된다. 이런 해킹은 북한이 우리나라를 해킹하는 것보다 훨씬 어려운 수준이다. 즉 상식적으로 말이 되지 않는다는 것이다.
북한의 해커팀은 목적달성 범위까지는 들키지 않고 작업을 한다. 그러나 어느 정도 노출이 된 이후는 신경 쓰지 않는다. 왜냐하면 남남갈등을 유발하고, 북한의 공격력을 우리 국민에게 알려 겁을 줄 수 있기 때문이다. 이렇게 해야 남한 내 사회혼란을 일으킬 수 있다. 이를테면 북한의 해킹사건이 노출 된 후 경찰 혹은 검찰이 북한의 소행이라고 발표한다. 뉴스에서 보도된 후 사건이 확대되면 남한사회는 더 불안해진다. 북한 해커팀도 군인이자 공무원이기 때문에 남한의 언론에서 크게 보도하면 상부에 실적을 보고할 수 있을 것이다. ‘아 내가 이런 공격을 성공시켰으니까 상부에 보고를 하자’할 수 있다는 것이다. 그런데 해킹 이후 한국 언론에서 북한이 아닌 다른 나라의 소행이라고 알려진다면 북한 해커팀의 입장이 곤란해진다. 따라서 어느 정도 존재를 의도적으로 노출시키는 것 같다.
-해킹 팀들도 충성경쟁을 하는 모습을 보이고 있다고 했는데?
그렇다. 여러 가지 사례가 있다. 원래 C팀은 정보를 수집 후 A팀 혹은 B팀에 제공한다. 그런데 2014년 12월 9일 한수원 사이버테러의 경우 C팀이 주도했다. 알려진 피해는 거의 없었지만 크리스마스를 앞두고 한수원 파괴 협박으로 큰 사회적 혼란이 있었다. 그동안 C팀은 정보 수집을 했지만 한수원 사건은 C팀도 직접적 공격을 하고 있음을 보여줬다. 이 당시 A팀은 소니픽쳐스(2014년 11월)를 공격하고 있었는데, 이 와중에 C팀이 한수원을 공격한 것이다.
A팀의 인터파크 공격도 이례적이다. 고객 DB를 가지고 비트코인(Bitcoin)을 요구했는데, 이 공격은 그동안의 상식에 맞지 않다. A팀은 인터파크를 공격하고 30억을 요구했다. 1~2억도 아닌 30억은 손쉽게 들어주기 어려운 금액이었다. A팀이 하지 않아도 되는 일을 하는 것을 보면 인력이 많아졌다는 것을 의미한다. A팀 내부의 주력 해커들은 원래 하던 공격을 하는 것이고 신규로 채용된 인원들이 영역을 확장해 별개의 공격을 시도한 것이라고 볼 수 있다.
-북한이 국가적 규모의 테러를 준비하고 있다고 지적한 바 있다. 그렇다면 A팀, B팀, C팀 등 연합해서 한다는 말인가?
A팀, B팀, C팀은 악성코드를 분석해 봤을 때 따로 움직이는 것은 맞다. 그러나 유기적 연계를 맺고 있으며 서로 정보를 공유하고 활용한다. 이런 점은 해커팀 전체가 관련되어 있다고 보면 된다. C팀은 최대한 많은 곳에서 정보를 수집한다. 많은 정보를 통해 어느 곳을 뚫어야 하는지 알고 있고 이를 공유한다. 북한은 국가적 차원의 공격으로 원자력 발전소, 코레일, 서울 메트로 등을 공격한다. 이들 기관은 모두 한 번씩 공격을 당했었고 경찰수사도 이뤄지면서 공개된 바 있다. 이 당시 악성코드를 분석해보면 작전명이 대놓고 ‘트레인’이라고 되어 있는 것을 발견할 수 있다. 2014년부터 트레인이라는 작전명으로 공격을 시도하고 있고, 철도뿐만 아니라 대한항공, 아시아나항공 쪽도 계속 노리고 있다.
또한 이동통신사인 LG유플러스, SK, KT도 노리고 있다. SK이나 KT같은 경우 이미 공격을 당해 1년 동안 장악된 바 있다. 북한은 우리나라의 기반시설들을 계속 노리고 있다. 철도의 경우 철도 제어 시스템, 장비업체도 공격한 사례가 있다. 북한은 철도의 속력을 갑자기 올린다거나 운행을 멈추려고 하는 의도를 가지고 있다. 이를 통해 대규모 인명 피해, 사회적 혼란을 일으킴 속셈인 것 같다.
동시에 북한은 군사분야, 방산업체 등 대규모 인명피해를 일으킬 수 있는 쪽에 역량을 집중하고 있는 것 같다. 왜냐하면 디도스 공격·은행 등 금융권 공격은 이미 수차례 했기 때문에 좀 더 큰 충격을 준비하고 있는 것 같다. 최근에 악성코드를 분석해 봐도 큰 인명피해를 일으킬 수 있는 곳들을 노리고 있다는 점을 확인할 수 있다.
-최근에 가장 주목하고 있는 북한 해킹 공격은 무엇인가?
랜섬웨어(Ransomware)를 주목하고 있다. 랜섬웨어는 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 스프레트시트, 그림파일 등을 암호화해 열지 못하도록 만든 후 돈을 보내주면 해독용 열쇠 프로그램을 전송해 준다며 금품을 요구하는 악성 프로그램을 의미한다. ransom(몸값)과 ware(제품)의 합성어로 컴퓨터 사용자의 문서를 ‘인질’로 잡고 돈을 요구한다고 해서 붙여진 명칭이다.
북한 해커팀이 이를 활용한 공격을 할 가능성이 큰 것으로 보고 있다. 충분한 기술을 가지고 있고 이에 대한 준비도 하고 있는 것으로 보인다. 특히 향후 가상화폐인 비트코인(Bitcoin)을 몸값으로 요구할 가능성도 커 보인다. 최근의 인터파크 해킹 사례를 보더라도 북한이 비트코인의 가치를 알고 있고, 준비가 되어 있다고 볼 수 있다. 실제로 북한의 민간 인터넷인 조선엑스포 사이트를 보면 비트코인(Bitcoin)과 관련된 거래 솔루션 및 프로그램도 만들어 놓은 것을 확인할 수 있다. 북한이 비트코인 관련 기반을 구축했다는 의미다.
만약 북한해커가 랜섬웨어 공격을 본격적으로 시작한다면 무차별적으로 많은 사람들이 피해를 볼 것이다. 랜섬웨어에 감염이 되면 파일이 모두 암호화 된다. 피해 대상자들은 암호화 된 파일을 복구하기 위해서는 공격자에게 돈을 줄 수밖에 없다. 이를테면 병원의 경우, 환자 데이터를 다 암호화시킨다면 병원 입장에선 돈을 주지 않을 수 없다. 이때 몸값을 비트코인으로 요구할 것이기 때문에 추적도 불가능하다. 북한이 랜섬웨어를 통해 공격도 하고 새로운 외화벌이도 할 수 있단 말이다.
-최근 사례를 보면 민간이 주요 목표가 되는 거 같다. 민간은 랜섬웨어 등의 공격에 대비할 준비가 되어있나?
삼성 같은 대기업의 경우 어느 정도 준비가 되어있다고 본다. 민간도 나름대로 규모를 갖추고 보안인력도 확충되어 있는 곳이 많다. 하지만 SK나 대한항공 같은 경우를 보면 알겠지만 대기업이더라도 공격을 다 막아내는 것은 아니다. 북한은 성공할 때까지 해킹을 시도한다. 100번 공격해서 99번 막아낸다고 해도 한번 뚫리면 결국 뚫리는 것이다. 해킹은 장비를 도입하거나 사람을 많이 채용한다고 막을 수 있는 문제가 아니라는 것을 알아야 한다. 따라서 최대한 대비하고 보안이 뚫릴 수 있다는 것을 항상 염두에 두어야 한다.
그런데 다행인 것은 예전에 비해 국정원이 민간에 정보를 많이 공유해 주고 있다는 사실이다. 최근 발생한 악성코드의 특성을 민간에 알려주고 막는 방법 등을 공유하고 있다. 북한의 해킹 공격은 어느 한 회사가 해결할 수 있는 것이 아니다. 따라서 민관 협업체계를 갖춰 정보공유를 할 필요성이 있다.
-앞으로 북한의 사이버 테러가 더 많아질 것 같다. 이를 대비하기 위한 회사·개인 차원의 계획이 있다면?
과거와 비교해보면 북한의 악성코드는 확인되는 빈도만 해도 최소 5배 이상 증가한 것 같다. 하우리 입장에서도 북한 악성코드에 좀 더 대응할 수 있는 기술을 계발하기 위해 노력하고 있고, 이슈메이커스랩을 통해서도 인력을 보강하는 등 정보 수집·분석 노력을 많이 기울이고 있다.
이전까지 악성코드에 대한 정보들을 우리만 분석을 해서 알고 있으면 된다고 생각했었다. 그러나 다수와 정보공유가 안되다 보니 악성코드가 발견되더라도 다른 기관에서 유사한 점이 발견되는지 등을 확인할 방법이 없었다. 최근 북한 해커팀에 대한 분석 결과를 공개하면서 협업의 기회·좋은 결과를 얻은 바 있다. 앞으로 북한이 공격하고 있는 부분들을 더 넓게 볼 수 있도록 협력할 수 있는 기회를 확대 할 계획이다.
