Home > 전체기사

ICBM 쏘고 물밑에선 사이버전... 북한 해킹 조직 집중 해부하다

  |  입력 : 2022-03-24 22:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
3월 24일 북한이 동해상으로 ICBM 미사일을 발사하고, 정권교체기인 우리나라를 대상으로 한 사이버공격을 가속화하고 있는 가운데 글로벌 보안기업 맨디언트가 북한 해킹 조직에 대한 상세 보고서를 발표해 관심이 모이고 있다. 흔히 ‘라자루스’라고 알려진 해킹 부대는 사실 여러 개의 조직들로 구성되어 있으며, ‘라자루스’는 통칭일 뿐이라는 지적이 눈여겨볼 만하다.

[보안뉴스 문가용 기자] 보안 업체 맨디언트(Mandiant)가 북한의 사이버전 수행 능력에 대한 상세 보고서를 발표했다. 보고서에 따르면 북한의 해킹 부대는 정치적 목적 수행, 금전적 이득 성취, 국가 안보를 위한 정보 수집 등 다양한 목적을 두고 단기 및 장기 작전을 벌일 수 있다고 한다. 이를 위해 정찰, 파괴, 협박 등은 물론 금융 범죄까지도 저지를 수 있는데, 이런 작전 수행 대부분 북한의 정찰총국이 맡는다고 맨디언트는 설명한다. “정찰총국 외에 국가안전보위부와 통일전선부도 해킹전을 수행하긴 하는데, 정찰총국에 비하면 활동 범위가 좁습니다.”

[이미지 = utoimage]


‘북한의 해킹 그룹’이라고 하면 보통 라자루스(Lazarus)를 떠올리는데, 이는 단일 해킹 단체라기보다 다양한 북한의 사이버 작전 요원 및 부대들을 포괄하는 이름이라고 맨디언트는 짚었다. “북한의 해킹 공격자들을 무조건 라자루스라고 하려는 경향이 있는데, 사실 북한의 공격 조직은 다양합니다. 물론 이들이 비슷한 멀웨어와 전략을 사용하는 등 서로 협력한다는 증거가 있긴 합니다만, 각 단체의 차이를 이해해야 북한 사이버 공격에 대한 능동적 방어 체제 수립이 가능합니다. 그것이 이번 조사와 보고서 발표의 목적이기도 합니다.”

통일전선부
북한의 통일전선부는 북한노동당 중앙위원회가 지원하는 조직으로, 주로 대한민국에 체제 선전물을 전달 및 유포하는 활동에 주력한다. 예전에는 ‘삐라’로 불린 종이 선전물을 뿌리거나 라디오 방송을 하기도 하지만 시대가 시대인 만큼 온라인 공간에서도 이런 활동을 자주 하는 편이다. 여러 ‘사이버 트롤들’이 북한의 정치적 메시지를 각종 웹 포럼에 우호적으로 올리거나 허위 정보를 유포한다.

맨디언트에 의하면 “통일전선부는 지난 2년여 동안 사이버 공간에서 정보전을 펼치면서 여러 한국 사용자들의 계정을 훔치고, 이를 통해 각종 메시지를 유포했다”고 한다. “약 6만 8천여 개의 선전물들을 웹 포럼과 각종 댓글란을 통해 유포했다고 추정됩니다. 대한민국에 북한 정부의 사상을 퍼트리고자 하는 것이죠. 통일전선부는 해킹 그룹을 따로 운영하는 것으로 보이지는 않습니다. 다만 한국 내에 친북 집단들을 여러 개 만드는 것을 목적으로 사이버전 능력을 활용하고는 있습니다.”

국가안전보위부
국가안전보위부는 북한의 주력 방첩부, 즉 미국으로 치면 CIA 정도 되는 기관이라고 볼 수 있다. 국내와 해외에서 방첩 활동을 벌인다. “그러기 위해 해외 조인트벤처 파트너사들, 해외 탈북자들, 탈북자 지원 단체, 인권 단체 등을 주요 표적으로 삼는데, 북한의 해킹 단체인 APT37이 정확히 이런 개인 및 단체들을 상대로 공격을 벌입니다. 그렇기 때문에 APT37은 국가안전보위부가 관리 및 운영하는 APT 단체로 보는 것이 일반적이죠.” 맨디언트의 설명이다.

“APT37의 가장 중요한 목적은 북한 정부와 군, 경제의 운용에 있어 유리할 수 있는 첩보를 수집하는 것입니다. 하지만 최근에 와서는 이렇다 할 활동을 하지 않고 있습니다. 그리고 그 공백을 킴수키(Kimsuky)라는 사이버전 단체가 채워주고 있죠. 북한 사이버전 부대 운영을 수행하는 조직들 간 개편이 있거나 이뤄지는 중인 것으로 추정됩니다.”

정찰총국
정찰총국은 북한 제1의 해외첩보국이다. 말 그대로 해외에서 첩보를 수집하고 비밀 작전을 수행한다. “정찰총국 안에는 6개의 조직이 있는 것으로 알려져 있습니다. 1국은 작전국, 2국은 정찰국, 3국은 해외첩보국, 5국은 남한관계국, 6국은 기술국, 7국은 지원국입니다. 숫자 4는 불길한 의미를 가지고 있다고 해서 뺀 것으로 압니다.” 이 중 사이버 작전을 주로 실시하는 건 3국인 해외첩보국과 5국인 남한관계국인 것으로 보인다고 맨디언트는 덧붙인다.

1) 해외첩보국 : 해외첩보국이 운영할 가능성이 높은 해킹 단체는 템프허밋(TEMP.Hermit), APT38, 안다리엘(Andariel)이다. 북한의 주력 해킹 부대를 말할 때 ‘121국(Bureau 121)’이라고 하는데, 현재는 110실(Lab 110)로 대체되거나 재편성된 것으로 보인다고 맨디언트는 보고서를 통해 설명한다. “템프허밋과 APT38, 안다리엘이 바로 이 110실 소속인 것으로 여겨집니다. 현재 해외에서 라자루스의 소행이라고 지칭되는 것이 대부분 이 110실의 활동이라고 볼 수 있습니다. 즉 템프허밋, APT38, 안다리엘이 전부 어느 정도 라자루스의 요소들을 갖추고 있는 것이죠.”

110실의 사이버 작전은 거의 대부분 중국 동북부에 위치한 가짜 기업의 이름으로 실행되어 왔다고 맨디언트는 짚는다. “다롄에서 ‘조선엑스포합영회사’를 설립하거나, 선양에서 ‘조선백설무역회사’를 만들기도 했지요. 전부 첩보 활동을 숨기기 위한 ‘가짜 회사들’이었습니다.” 맨디언트는 110실 소속 해킹 부대들을 상세히 소개하기도 했다.

“템프허밋은 최소 2013년부터 활동해 온 사이버 공격자들입니다. 북한 정부에 도움이 되는 첩보들을 수집해 왔지요. 전 세계 곳곳의 정부, 국방, 통신, 금융 조직들을 노리며, ‘라자루스’가 한 것으로 알려진 거의 모든 행위들이 템프허밋의 짓이라고 볼 수 있습니다. APT38은 금전적인 목적을 달성하기 위한 공격에 주력합니다. 삭제형 멀웨어를 자주 사용하기도 하고요. APT38에는 하위 그룹도 있는데요, 크립토코어(CryptoCore)와 댄저러스패스워드(Dangerous Password)라고 불립니다.”

반면, 안다리엘은 해외 기업들과 정부 기관, 금융 서비스 기반 시설과 민간 기업들, 일부 국방 조직들을 주로 노리는 단체라고 한다. 사이버 범죄 활동에도 가담하곤 하는데, 이는 국고를 보충시킬 목적으로 진행된다고 맨디언트는 분석한다. “하지만 돈을 버는 건 이들의 주요 목적이 아닙니다. 안다리엘 역시 해외 군 요원들과 정부 기관들을 공격합니다.”

그 외에도 2021년 1월에 처음 세상에 공개된 ‘325국’도 있다. “아마도 코로나로 인해” 정찰총국의 내부 구조가 개편되면서 나타난 조직으로 보인다고 맨디언트는 분석한다. “325국은 코로나 연구 자료 및 백신 생산과 관련된 정보를 주로 수집했습니다. 하지만 시간이 지남에 따라 다른 종류의 정보들도 서서히 수집하기 시작했습니다. 아마 별도의 정식 해킹 조직으로 발돋움하지 않을까 합니다.” 참고로 325국은 세륨(CERIUM)으로 불리기도 한다.

2) 남한관계국 : 북한과 한국 사이의 일들을 집중적으로 조사하고, 그에 대한 정보를 수집하고, 한국의 조직들을 겨냥한 사이버 작전을 벌인다. 과거 APT37의 활동과 많은 부분 겹친다. 위에서 언급했듯 APT37은 최근 몇 년 동안 킴수키의 활동으로 대체된 듯한 모습을 보였는데, 이 킴수키가 바로 남한관계국 소속인 것으로 맨디언트는 분석하고 있다.

“킴수키는 주로 지정학적 목표를 가지고 정보를 수집하거나 사이버 공격을 실행하는 단체입니다. 북한과 해외 기관이나 정부와의 중요한 교섭이 이뤄질 때, 북한 정부가 유리하게 활용할 수 있는 첩보를 수집한다거나 하는 식이죠. 거의 대부분 미국과 한국을 공격하는데, 단체를 공격하기도 하고 개인을 공격하기도 합니다. 정부, 군, 생산, 학술 분야 조직들을 고루 노리는데, 주로 국방과 안보 쪽 정보를 가져가려고 합니다. 핵 안보 정책이나 비확산 조약 관련 정보들을 주로 수집합니다.”

3줄 요약
1. 북한의 사이버전과 관련된 정보 기관은 정찰총국, 국가안전보위부, 통일전선부.
2. 정찰총국이 거의 대부분 사이버전을 진행하며, 해외에서 라자루스라고 알려진 것들 대부분 정찰총국의 행위임.
3. 라자루스는 통칭으로, 그 안에 여러 조직들이 포함되어 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)