(출처: Tech Crunch)
2022년, 북한은 전 세계를 대상으로 활발하게 사이버 보안 공격을 펼쳤다. 그 중에서도 북한과 이슈가 잦은 미국, 한국, 일본 등의 나라를 중심으로 사이버 보안 공격을 했고, 이외에도 다양한 나라와 기업을 공격 대상으로 삼았다. 2021년 12월, 미국의 외교전문지 더 디플로맷(The Diplomat)은 2022년에 북한이 외화 확보를 위해 사이버 보안 공격을 확대할 것이라고 내다봤다. 한 해 지나 2023년이 된 현재 시점에서 북한이 2022년에 어떤 사이버 보안 공격을 펼쳤는지 알아보도록 한다. 또한 북한이 어떤 목적으로 사이버 보안 공격을 하는지, 북한이 주로 사용하는 공격 패턴은 어떤 것인지, 더 나아가 올해 북한 사이버 보안 공격이 어떨지 전망한다.
2022년 북한의 첫 공격 대상은 우리나라 화학 기업들이었다. 지난해 1월, 북한의 정찰총국 소속 해킹 부대이자 APT 해커 조직인 라자루스(Lazarus)는 국내 다수의 화학 기업들을 대상으로 가짜 구인구직 메일을 보내는 ‘드림 잡 작전(Operation Dream Job)’을 펼쳤다. 라자루스는 2014년 북한 체제를 조롱한 영화를 제작한 미국 소니 픽처스(Sony Pictures Entertainment, Inc.)를 해킹해 이름을 알렸다. 드림 잡 작전은 라자루스가 공격 대상에게 좋은 조건의 직무나 직위, 직업을 제안하는 내용의 메일을 전송하는 식이다. 궁극적으로 공격 대상이 몸담고 있는 기업을 공격한다. 메일에는 악성코드 파일이나 링크가 첨부돼 있어 수신자가 클릭하도록 유도하는 식으로 공격이 이뤄진다. 즉, 그들은 수신자에게 악성코드가 설치되고 수신자의 전체 기업으로 공격이 전파되는 것을 노린다. 라자루스는 당시 국내 화학 기업들을 중심으로 해당 작전을 펼쳤으나, 이외 유럽이나 아시아, 미국 등의 각종 기업과 기관에게도 작전을 실행한 것으로 알려졌다. 지난해 4월 자유아시아방송(RFA) 보도에 따르면, 실제로 미국 내 언론사, 웹 호스팅 회사, 소프트웨어 회사 등 각종 기업에서 일하는 직원들에게 디즈니(Disney), 구글(Google) 등 미국 대기업 인사 담당자를 사칭한 채로 악성코드를 심어 메일을 보낸 것으로 알려졌다.
그리고 지난해 3월, 라자루스는 세계 최대 대체 불가능한 토큰(NFT) 게임이자 돈 버는 게임(Play to Earn, P2E)인 ‘엑시 인피니티(Axie Infinity)’를 해킹해 6억 7500만 달러(당시 7700억 원) 상당의 암호 화폐를 탈취했다. 엑시 인피니티는 이용자가 캐릭터를 플레이하거나 판매하고 암호 화폐를 버는 게임이다. 지난해 4월 게임톡(GAMETOC) 보도에 따르면, 라자루스는 당시 로닌(Ronin)의 가상 화폐를 전송하는 시스템인 브릿지 서비스 부분을 공격한 것으로 알려졌다. 그들은 두 번에 걸쳐 공격했고 총 17만 3600 이더리움(ET)과 2550만 USDC(USD코인)를 탈취했다. 로닌은 이용자가 게임 내외로 암호 화폐를 전송할 수 있는 이더리움 블록체인 네트워크다. 당시 라자루스는 공격 대상에 침입하기 위해 인간의 심리나 습관을 이용해 공격하는 수법인 사회공학적 공격(Social Engineering Hacking)을 가했다. 기술이 아닌 사람 간의 신뢰를 기반으로 하기 때문에 기업 보안에서 가장 경계해야 할 공격으로도 꼽힌다.
지난해 5월 RFA 보도에 따르면, 미국 사이버 보안 업체 트렐릭스(Trellix)는 북한 정찰총국 소속 180 부대와 연관 있는 랜섬웨어 변종 BEAF, PXJ, ZZZZ, CHiChi 총 4개를 발표했다. 트렐릭스는 정찰총국이 운용하는 해킹 부대 라자루스가 개발한 VHD 랜섬웨어와 당시 새로 발견된 랜섬웨어들의 소스 코드나 프로그램 설계도가 유사하다고 설명했다. 모두 공격 시 적은 금액의 자금을 탈취한 것도 공통점으로 알려졌다. 트렐릭스는 아시아나 태평양 지역 내 특정 대상을 겨냥한 것으로 추정했다. 180 부대는 랜섬웨어를 주 무기로 은행, 암호 화폐 거래소 등 해외 금융 시스템을 공격하는 것으로 알려졌다.
(출처: Bleeping Computer)
지난해 10월 마이크로소프트(MS)는 북한의 해커 조직 징크(ZINC)가 미국, 영국, 인도, 러시아 등 방산, IT, 언론 등 각종 업계를 해킹했다고 발표했다. 징크는 라자루스의 하위 조직이다. MS는 6월부터 징크가 링크드인(LinkedIn)을 이용해 공격 대상에 재직 중인 사람들에게 접근한 후 신뢰를 위해 왓츠앱(WhatsApp) 연락처로 악성코드를 퍼트렸다고 발표했다. 앞서 언급했던 사회공학적 공격을 통해 악성코드를 전달한 것이다. 또한 MS는 당시 발표하면서 북한의 해킹 목적이 정보 탈취와 금전 이득, 기업 네트워크 파괴 등이라고 밝혔다.
마지막으로 지난해 10월 말 북한 해커 조직 APT 37은 10월 29일 발생한 이태원 참사를 악용해 남한에게 사이버 공격을 행했다. 지난해 12월 구글 위협 분석 그룹(TAG)이 발표해 북한의 공격 사실이 알려졌다. 북한은 ‘221031 서울 용산 이태원 사고 대응 상황(06:00).docx’라는 제목의 문서를 마치 행정안전부와 중앙재난안전대책본부가 실제로 배포한 것으로 위장해 이를 미끼로 악성코드 공격을 시도했다. 주로 공격 대상은 남한의 기자, 정치인, 대북 관계자, 언론사 등이었다. APT 37은 과거에도 한국인이나 탈북민, 정치인, 언론인, 인권 운동가 등 대상으로 수차례 해킹을 시도한 전적이 있다.
이외에도 북한은 주로 북한과 정치적인 이슈가 잦은 아시아나 태평양 국가를 중심으로 사이버 보안 공격을 감행했다. 북한 해커 조직들은 북한 정부에게 탈취한 정보를 전달해 스파이 행위를 하거나 탈취한 돈을 여러 목적의 자금으로 조달한다. 특히 근래에는 북한이 대량 살상 무기와 탄도 미사일 프로그램을 운영하기 위한 자금이 필요해 탈취한 자금을 주로 무기 자금으로 사용하는 것으로 알려졌다. 또한 해커 조직들은 북한의 외화 벌이 목적으로도 암호 화폐를 비롯해 각종 돈을 탈취한다.
(출처: The Hacker News)
북한이 2022년에 행한 사이버 보안 공격은 주로 드림 잡 작전, 사회공학적 공격, 랜섬웨어 유포다. 지난해 11월 NK조선 보도에 따르면, 2022년 북한이 탈취한 암호 화폐만 대략 1조 7000억 원 이상인 것으로 추정됐다. 이렇게 벌어들인 돈은 대부분 북한의 무기 자금으로 사용됐으며 실제로 미사일 30여 발, 포 160여 발을 쏘면서 수천 억씩 사용한 것으로 알려졌다. 미국의 국토안보부 장관인 알레한드로 마요르카스(Alejandro Mayorkas)는 북한이 지난 2년 동안 10억 달러 넘는 비용을 탈취해 무기 자금으로 지원 중이라고 말했다. 백악관 국가안보회의(NSC) 사이버·기술 담당 부보좌관은 북한이 사이버 공격으로 미사일 개발 자금에 최고 3분의 1까지 충당한다고 말했다.
북한의 내부 경제 상황은 결코 좋지 않다. 그러나 북한은 계속해서 핵과 미사일을 개발하고 제작해야 한다. 따라서 북한은 올해도 지난해 주로 사용했던 공격 방식을 이용하면서 암호 화폐를 비롯해 각종 금전 탈취로 무기 자금과 외화를 확보할 것으로 예상된다.
테크플러스 에디터 박효정
tech-plus@naver.com
댓글0