Home > 전체기사

[bnTV] 우리나라 정권교체 시기 노린 북한의 해킹 공격 실태는?

  |  입력 : 2022-04-24 02:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
북한 해킹 능력 세계 최상위권, 정권교체기에 핵심 정보 탈취 공격 집중
북한 해킹 여부 추정, 사이버 분야에서도 범죄자 행동 양식이나 피해자학 개념 적용
북한의 대규모 사이버테러 사건인 2013년 3.20 사이버테러 재조명



■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 7화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사

□ 권준 국장 안녕하세요, 보안뉴스의 권 준 편집국장입니다.

■ 곽경주 이사 안녕하세요 곽경주입니다.

□ 권준 국장 곽경주의 다크웹 인사이드 또 다시 돌아왔습니다.

▲bmTV [곽경주의 다크웹 인사이드] 7화 시작 화면[자료=보안뉴스]


[북한의 해킹 위협]
□ 권준 국장 사실 우리나라는 또 가장 큰 위협이 북한이잖아요.

■ 곽경주 이사 사실 그렇죠.

□ 권준 국장 북한 해커조직은 정부 산하에서 엘리트 조직으로 운영을 해서 제가 알기로는 해킹 능력이 거의 세계 최상위권이라고 알고 있는데요. 이사님께서 북한 추정 해커조직들 연구도 많이 해오신 것으로 알고 있는데 어떤 연구들을 주로 해오셨죠?

■ 곽경주 이사 기존에 알려져 있던 북한 추정 공격그룹들에 대한 분석을 많이 했었고요. 해킹사고 조사 같은 것도 많이 했었는데 주로 무엇을 했냐면 다양한 악성코드 간에 공통점을 파악하고, 침해사고 조사를 나갔을 때 거기서 나온 증거들을 가지고 또 어떤 수법을 이용해서 침투를 했는지 등에 대한 연구들을 많이 해왔습니다.

□ 권준 국장 아무래도 악성코드가 사이버 무기잖아요. 악성코드 분석을 하면 이게 어느 국가에서 만들었거나 어떤 조직에서 만들었거나 그런 것들이 좀 가늠이 되는 건가요?

■ 곽경주 이사 그렇죠. 그런 것들을 어느 정도 추정할 수 있습니다.

□ 권준 국장 특히, 북한에서는 최근 정권교체 시기에 정보 탈취를 위해 인수위원회는 물론 대북종사자분들, 외교·국방 분야 종사자 대상으로 해서 특정인 대상으로 공격을 많이 하고 있는 것 같은데요. 혹시 최근에 북한에서 어떤 움직임을 보이고 있는지 한 번 설명을 해주실 수 있을까요?

■ 곽경주 이사 북한은 여러 개의 해커 조직이 있는데, 예전부터 계속 활발하게 활동하고 있는 그룹은 ‘김수키’라고 이름 붙여진 그룹이 있어요. 김수키 같은 경우에는 스피어피싱 이메일 같은 것을 많이 보내거든요. 그래서 정부 공무원이라든가 정치인들한테 많이 보내는데, 최근에도 거의 비슷하기는 합니다. 현재도 ‘한국인터넷진흥원’ 등과 같은 공공기관을 사칭해서 공격을 지속적으로 수행 중이죠.

목적 자체는 결국 계정 탈취하고 데이터 탈취하고 이런 것들, 그리고 김수키가 그런 것만 사실 하는 것은 아니고, 딱 기회가 오면 내부까지 쭉 침투해서 들어갑니다. 취약점 같은 것들도 이용하기도 하고요. 스피어피싱만 잘하는 조직은 아니고 내부 침투도 어느 정도 잘하는 그런 조직입니다.

□ 권준 국장 아무래도 북한 추정 해커조직들이 외화벌이를 위해서 가상화폐도 많이 탈취한다고 많이 얘기 들었거든요. 그쪽 움직임은 좀 어떨까요?

■ 곽경주 이사 가상화폐를 탈취하는 것도 지속적으로 하죠. 가상자산 거래소들을 공격을 한다거나 일반 사용자들의 PC 내 있는 가상자산을 보관해 두고 있는 월렛(지갑)을 공격한다든가 하는 부분은 수년 전부터 계속해 오고 있습니다. 비트코인이나 이런 것에 일찌감치 깨어있는 사람들이었습니다.

[북한 해킹 추정 방법]
□ 권준 국장 그러면 이건 북한 추정 공격이다라고 알 수 있는 방법이라든가 아니면 특징이라든가 뭐 이런 것들이 있을까요?

■ 곽경주 이사 일단 방법론적인 얘기를 좀 말씀드리면 사이버 쪽에서도 범죄심리학의 그런 개념들을 많이 가져옵니다. 예를 들어서 이제 ‘모더스 오퍼랜디(Modus Operandi)’라고 하는 것이 있는데요. 범죄자 행동 양식을 얘기하는 것이고, 실제 살인 사건이나 관련 범죄를 보시게 되면 피해자의 특성, 범행 시각과 장소, 그 다음에 범행 도구, 침입 경로, 그리고 사용하는 언어나 상징 이런 것들이 있죠. 이동수단은 무엇을 썼고, 이런 것들이 전부 모더스 오퍼랜디 줄여서 ‘M.O’라고 부르는 것인데요. 그런 것들도 사이버에 있고요. 이런 M.O가 여러 번 반복되게 되면 ‘시그니처’라고 부릅니다.

그리고 ‘빅팀몰로지(Victimmology)’라는 것이 있는데, ‘피해자학’이라는 뜻이고요. 피해자 유형 통계 이런 것인데 지금까지 말씀드린 것을 사이버로 다 전환시켜 보면 첫 번째로 범죄자 행동양식 여기에는 아까 사용하는 언어라든가 침입 경로, 범행 도구가 있다고 그랬는데요.

악성코드는 어떤 악성코드나 랜섬웨어를 쓰는지, 초기에 침투를 해서 들어올 때 스피어피싱을 하는지, 그리고 스피어피싱을 할 때 사용했던 IP는 어떤 국가 것을 쓰는지 어떤 호스팅 업체 것을 쓰는지, 이런 것들도 다 ‘모더스 오퍼랜디’ 범주에 들어가는 것이고요.

그리고 악성코드 안에 보면, 이제 저희 같은 분석가들이 쉽게 분석을 못하게 하기 위해서 뭔가 내부 내용을 잘못 알아보게 만들어 두는 것이 있어요. 그래서 그런 걸 못 알아보게 만드는 그 방식 자체도 공격자의 특성이 될 수 있거든요. 그래서 저희는 이런 것으로도 특징을 잡는데요.

이런 것들이 여러 개 보인다면 거의 뭐 확실한 ‘시그니처’가 되는 것이죠. 그리고 빅팀몰로지 같은 경우에는 어디를 주로 공격하는 그룹이냐를 볼 수 있는데요, 금융권을 공격하느냐 아니면 정부부처 공무원을 공격하느냐 정치인을 공격하느냐 IT 기업인들을 공격하느냐 이런 것들에 따라서 피해자학적으로 분류를 하기도 하고요. 이 모든 것들을 종합적으로 보는 편입니다.

[3.20 사이버테러]
□ 권준 국장 사실 북한 관련 사이버테러하면 3.20 사이버테러, 이게 참 그때 정말 방송사라든가 상당수의 기관들이 문제가 발생해서 엄청난 난리가 났었잖아요. 3.20 사이버테러를 다시 한번 조명을 해보는 것이 저희가 향후 대비하는데 도움이 될 것 같거든요.

■ 곽경주 이사 3.20 사이버테러는 2013년도 3월 20일 오후 2시에 우리나라 대형 방송사, 은행의 서버들, 그리고 말단에 있는 직원들 PC까지 굉장히 많은 PC와 서버들이 한날한시에 모두 다운됐습니다. 와이퍼 악성코드 같은 것을 쓴 것이죠. 구동이 안 되게 만드는 그런 악성코드를 사용했던 것이고, 당시에 침해를 당했던 최초 진입 지점 같은 곳들은 말단에 있는 단말들을 관리하는 서버라든가 백신이라든가 그런 것들을 초기에 장악을 해서 거기서부터 굉장히 효과적으로 수백 수천 대의 PC에다가 악성코드를 한 번에 동시다발적으로 뿌릴 수 있는 체계를 만들어 놓은 상태에서 시간 값을 넣어 놓은 것이죠. ‘며칠 몇시에 공격을 수행하겠다’라고 해서 그렇게 발생했던 것이고 당시에 은행 ATM 기기들도 전부 다 마비됐었어요. 당시에 운영체제가 망가지다 보니까 그것을 복구해 내는데 어떤 은행 같은 경우에는 담당자 한 명이 USB에다가 윈도우 설치 파일 하나 들고 수천 개의 ATM 기기들을 모두 복구하고 다녔어요. 그 정도로 굉장히 그때 컸던 사건인데,

저는 약간 TMI로 말씀드리면, 저도 당연히 그 사고 조사에 끌려 나갔어야 됐지만 저는 당시에 시골에 출장을 나가 있었거든요. 그래서 뉴스로 보면서 아이고 우리 회사 사람들 고생하겠다(웃음)라고 했죠. 당시 회사 분들이 거의 한 달 내내 고생 많이 했습니다. 사고 조사 하느라요.

□ 권준 국장 금방 또 잊혀져요. 그런 사건들이 다시 발생될 수도 있고, 그런 위험성이 있기 때문애요. 그래서 한 번 다시 옛날 소환을 해봤습니다.

■ 곽경주 이사 그리고 제가 생각해볼 때 이번에 랩서스 건도 있고 다크웹이나 이런 곳에 계정 유출 건도 워낙 많아 가지고요. 이제 북한이든 러시아든 이런 곳에서 그것을 모를 리는 없거든요. 그래서 지금 일어나는 공격의 행태를 봤을 때 3·20 사이버테러 같은 일이 분명히 일어날 수는 있어요. 그런데 그들 스스로 이제 방향성 자체를 사이버테러보다는 정찰을 통해 데이터 탈취를 은밀하게 하자는 것으로 가고 있는 것이지요.

[북한 해킹 공격 타깃]
□ 권준 국장 아무래도 북한 추정 해커조직 같은 경우에는 일반인들 보다는 탈북인, 대북종사자 등 특정인들 위주인 것 같은데 어떤 분들이 좀더 조심을 하는 것이 좋은지, 그리고 그분들을 대상으로 한 공격에 대응하기 위해 어떤 부분을 조심해야 할지 한 번 소개해주신다면요?

■ 곽경주 이사 우선 정부 중앙부처에 계신 고위공무원분들, 특히 외교 분야에 계신다거나 통일과 관련된 업무를 하신다거나 하시는 분들, 그리고 퇴역 장군들도 공격을 합니다. 퇴역 장군들도 가지고 있는 정보가 많고, 그리고 그분들 이메일을 들어가게 되면 연결되어 있는 다른 분들이 많거든요. 보통 이런 식으로 공격을 하거든요. 스피어피싱 이메일을 보내서 그분을 감염시킨 다음에 정보를 탈취해서 그분 이름으로 다시 이메일을 보내는 거예요. 사칭해서 공격한 후, PC에 악성코드를 설치하는 것이죠.

두 번째로 최근 인터넷 브라우저 ‘크롬’ 같은 것을 쓰시면 브라우저에다가 플러그인을 설치할 수 있는데, 그 플러그인을 설치하게 한 다음에 데이터를 빼내가거나 해킹하는 그런 수법을 많이 써요. 그래서 제가 볼 때는 이런 얘기들이 그분들한테는 많이 어렵거든요? 이런 것들 중간 레벨에서 좀 쉽게 설명해주고, 보안 캠페인 등을 통한 그런 교육들이 많아져야 된다고 생각하고 있고요. 그분들 스스로도 학습하셔야 됩다고 봅니다. 이게 개인에 대한 해킹이라고 볼 수 있겠지만 사실은 국가안보와 직결되는 일이거든요. 그래서 주요 타깃이 되는 분들은 이를 인식하시고 스스로 학습하시면서 조심하셔야 되지 않나 라는 생각을 해봤습니다.

□ 권준 국장 저희가 다음에는 다크웹의 해킹 포럼과 랜섬웨어 사이트 등을 둘러보면서 다크웹의 실체를 탐방해보는 기획을 준비하고 있으니까요. 많은 관심 부탁드립니다. 이사님, 오늘도 너무 감사드립니다.

■ 곽경주 이사 네, 감사합니다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)