미국과 한국, 영국 정부가 북한 정찰총국 산하 해킹조직의 활동을 경고하는 합동 사이버 주의보를 발령했습니다. 북한 해킹조직들이 핵과 국방 기관을 해킹해 얻은 기술과 지적 재산권을 자신들의 군사, 핵 프로그램 발전에 이용하고 있다고 지적했습니다. 조상진 기자가 보도합니다.

미국과 한국, 영국의 사이버 및 정보 당국들이 25일 평양과 신의주에 기반을 둔 북한 정찰총국 산하 해킹조직의 사이버 스파이 활동을 경고하는 합동 주의보를 발표했습니다.

[합동 사이버 주의보] “The U.S. Federal Bureau of Investigation (FBI) and the following authoring partners are releasing this Cybersecurity Advisory to highlight cyber espionage activity associated with the Democratic People’s Republic of Korea (DPRK)’s Reconnaissance General Bureau (RGB) 3rd Bureau based in Pyongyang and Sinuiju.”

이번 합동 사이버 주의보 발령에는 미 연방수사국(FBI)와 국토안보부 산하 사이버 보안 및 기반시설 안보국(CISA), 사이버 국가임무단(CNMF), 국방부 사이버 범죄 센터(DC3), 국가안보국(NSA)를 비롯해 한국 국가정보원과 경찰청, 영국 국가 사이버 보안센터 등이 참여했습니다.

미한영 3국은 이번 주의보에서 북한 정찰총국 제3국 산하 해킹조직들이 정권의 군사 및 핵 프로그램 진전을 위한 글로벌 스파이 활동을 벌이고 있다고 지적했습니다.

특히 제3국에는 안다리엘, 오닉스 슬릿, 다크서울, 사일런트 천리마, 스톤플라이 등으로 알려진 북한 정권의 후원을 받는 주요 해킹조직이 대거 포진해 있다고 밝혔습니다.

[합동 사이버 주의보] “The RGB 3rd Bureau includes a DPRK (aka North Korean) state-sponsored cyber group known publicly as Andariel, Onyx Sleet (formerly PLUTONIUM), DarkSeoul, Silent Chollima, and Stonefly/Clasiopa. The group primarily targets defense, aerospace, nuclear, and engineering entities to obtain sensitive and classified technical information and intellectual property to advance the regime’s military and nuclear programs and ambitions.”

그러면서 “이 해킹조직들은 주로 국방과 항공우주, 핵, 기술 관련 기관을 표적으로 삼아 민감한 기밀 기술 정보와 지적 재산을 획득해 북한 정권의 군사 및 핵 프로그램과 야망을 발전시키는 데 이용했다”고 말했습니다.

합동 주의보는 이들 해킹조직들이 미한영 3국은 물론 일본과 인도의 기업들을 포함해 전 세계 다양한 산업 부문에 지속적인 위협이 되고 있다고 평가했습니다.

특히 미국 의료 기관을 대상으로 랜섬웨어 작전을 펼쳐 스파이 활동 자금을 조달하는 등 금전적 동기의 활동도 하고 있다고 지적했습니다.

또한 소프트웨어의 취약점을 통해 악성코드를 배포하고 원격 조종이나 피싱 활동을 수행한다고 덧붙였습니다.

그러면서 “3국 정보기관은 주요 인프라 조직이 취약점에 대한 보안 조치를 적시에 적용하고 웹 서버 보호와 악성활동 감시, 인증 및 원격 접근 권한 보호를 강화할 것을 권장한다”고 밝혔습니다.

아울러 “북한의 국가 후원 사이버 작전으로부터 네트워크를 방어하기 위한 경계를 늦추지 말아야 한다”고 강조했습니다.

FBI를 비롯한 미국 정부기관과 한국, 영국 정보 당국과의 이번 합동 조치는 민간 사이버 보안 기업과의 협업을 통해 이뤄졌습니다.

세계 최대 인터넷 검색 기업인 구글 산하 사이버 보안업체 ‘맨디언트’도 이날 공개한 보고서를 통해 ‘안다리엘’, 분류명 ‘ATP45’가 적어도 2009년부터 전 세계적으로 스파이 활동을 벌여왔다고 지적했습니다.

특히 이들이 최근 몇 년 동안 랜섬웨어 분야로 활동을 확대했다면서, 피해자들의 민감한 정보를 훔쳐 인질로 잡는 악성코드를 배포한 뒤 몸값을 요구했다고 밝혔습니다.

그러면서 이들이 주로 목표로 삼은 곳은 의료 서비스 제공자와 금융 기관, 에너지 회사였다고 지적했습니다.

이번 보고서 작성에 참여한 마이클 반하트 맨디언트 수석분석가는 25일 VOA와의 화상통화에서 APT45, 즉 안다리엘은 전통적 정보 탈취 해킹과 금전적 동기의 해킹을 동시에 수행하는 “독특한 위협 그룹”이라고 말했습니다.

특히 정보를 탈취한 뒤 이를 랜섬웨어 공격에 활용하고, 여기서 얻은 금전적 이득을 다시 정보 탈취에 활용하는 방식을 취했다고 지적했습니다.

[녹취: 반하트 분석가] “The main goal is to attack these entities over here get the money to do what I'm doing now and then go after the missile, the defense industrial base, the satellite information and then they can revert back to any type of ransomware stuff if they need it. Now again, that's not the main reason why they're there they're there to actually that that effort is basically just to prop up the real cyber espionage efforts.”

그러면서 이들의 주요 목표는 실제 사이버 스파이 활동을 뒷받침하기 위한 것이라며, 최종적으로 북한의 군사 장비와 핵, 미사일 프로그램 지원에 사용되는 타국 정부의 핵 시설과 연구 기관에 저장된 정보와 우라늄 처리 및 농축, 원자력 발전소, 미사일 레이더 시스템 등의 정보를 표적으로 삼았다고 밝혔습니다.

[녹취: 반하트 분석가] “Not to mention some of the information that's coming out even today showing the wider scope of things they've hit submarine technology, satellite technology, different types of energy, uranium enrichment facilities things of that nature just bigger, bigger stuff on a grand scale both to help them develop internally and also just to kind of help within the regime to, even, you know, use that repurposed information stolen from that research and development that they've taken.”

반하트 수석분석가는 APT45는 지금까지 우리가 봐왔던 다른 북한 해킹조직과는 다른 움직임을 보여주는 것이 특징이라면서, 정보 탈취를 매개로 금전적 이득을 취하고 이를 다시 정보 취득에 활용하며 궁극적으로는 정권을 위한 핵과 미사일 개발 역량 진전을 지원하고 있다는 점을 주목해야 한다고 말했습니다.

그러면서 이것이 바로 미국과 한국, 영국의 정보 기관들이 이 같은 활동에 주목하고 경고하는 이유이며, 앞으로도 더 많은 국가 기관과 민간 보안 기업이 협력해 이 같은 사이버 위협에 경종을 울려야 한다고 강조했습니다.