카스퍼스키랩이 말하는 한국 타깃 해커조직 5곳

“대한민국은 모바일 트래픽이 국가 면적당 인구로 따져보았을 때 전 세계 탑에 드는 국가다. 이는 그만큼 스마트폰 사용자 비율이 다른 국가들에 비해 매우 높다는 것으로 거의 전 국민이 스마트폰을 사용하고 있는 수준이다. 또한 전 세계에서 유일한 휴전국으로 물리적으로나 사이버 환경에서나 항상 긴장태세를 늦출 수 없는 국가이기도 하다.”

아시아 최대 사이버 보안 컨퍼런스인 ISEC 2015에서의 강연을 위해 방한한 카스퍼스키 랩(Kaspersky Lab)의 수석 연구원인 유리 나메스트니코브(Yury Namestnikov)의 말이다.

글로벌 보안시장에서 정상의 자리를 계속해서 이어가고 있는 카스퍼스키랩의 경우 대한민국 정부부처 및 유관기관을 해킹하여 국가기밀 자료들을 빼간 북한의 해킹조직인 ‘킴수키(Kimsuky)’의 움직임을 포착하고 세상에 알린 기업이다. 즉, 우리나라 사이버 위협 환경에 대해서도 잘 파악하고 있다는 것.

특히, 이번에 본지가 인터뷰한 유리 연구원은 카스퍼스키랩 내에서 글로벌 리서치 및 분석팀인 GReAT(Global Research & Analysis Team) 소속으로 우리나라는 물론 글로벌 보안위협 움직임을 항상 분석하고 연구하는 인물이다.

이에 본지는 카스퍼스키랩의 유리 연구원을 만나 우리나라를 둘러싼 사이버위협에 대해 묻고 지난 달 있었던 경쟁사들 제품에 악의적으로 가짜 멀웨어를 유포했다는 스캔들에 대한 질문까지 던졌다.

보안뉴스 : 글로벌 시각으로 한국을 둘러싼 사이버 위협과 보안상황에 대해 듣고 싶다.

유리 나메스트니코브 : 한국 사이버 환경에서 가장 눈에 띄는 점은 바로 ‘모바일’이다. 한국은 모바일 위협이 상당히 높은 편이고 앞으로 더욱 그 강도가 커질 것으로 보인다. 올해 카스퍼스키랩이 조사한 결과에 따르면 전 세계적으로 모바일 트로이목마의 성장률이 가장 높은 국가가 바로 한국으로 집계됐다. 특히, 모바일을 통해 은행업무를 하는 사용자의 비중이 월등히 높아 모바일 뱅킹 트로이 목마 공격을 가장 많이 받고 있다. 실제로 한국은 아시아는 물론 유럽과 미주지역을 포함한 전 세계적으로 모바일 트로이목마 성장률 및 모바일 뱅킹 트로이 목마 감염률이 모두 ‘1위’다.

보안뉴스 : 솔직히 요즘 국내에서 스마트폰을 사용하지 않는 사람은 남녀노소 할 것 없이 찾아보기 힘들 정도긴 하다. 그렇다면 킴수키처럼 유난히 우리나라를 타깃으로 한 사이버범죄 움직임에 대해 궁금하다.

유리 나메스트니코브 : 최근 한국을 겨냥한 사이버범죄 조직은 5개다. 코지듀크(CozyDuke), 다크호텔(Darkhotel), 데스토버(Destover), 다크서울(DarkSeoul), 윈티(Winnti)다.

순서대로 하나씩 간략하게 설명해보면 코지듀크(CozyDuke)는 4개 국가의 정부기관을 집중적으로 공격하는데 여기에 한국 정부도 포함되어 있다. 그 외 3개 국가는 미국, 독일, 우즈베키스탄이다. 두 번째로 다크호텔(Darkhotel)은 기업 CEO와 같은 기밀문서를 주로 다루는 컴퓨터를 노리는 조직인데, 이들은 대한민국과 북한을 모두 공격하고 있다. 특히, 이들은 얼마 전 이탈리아 해킹팀 해킹사건으로 유출된 제로데이 취약점들을 진화시켜 사용하고 있다.

세 번째, 데스토버(Destover)는 ‘와이퍼(wiper)’로도 불리고 있는데 지난해 말에 발생한 소니(Sony) 해킹사건과 관련해 FBI가 국제 사이버경보를 발효할 정도로 파괴적인 멀웨어를 사용하고 있다. 그런데 해당 멀웨어를 분석해보면 한국을 타깃으로 한 공격 서버들과 동일한 서버를 사용하고 있는 것으로 파악됐다. 따라서 이들 또한 한국에게 충분히 위협적일 수 있는 조직이다.

다크서울(DarkSeoul)의 경우 한국 금융기관을 주로 노리고 있는데, 이들도 킴수키와 마찬가지로 이들의 배후에 북한이 있다고 지목되고 있는데 아직까지 정확히 증명되지는 않았다. 하지만 이들 역시 한국이 주의 깊게 보아야 할 그룹이다. 마지막으로 윈티(Winnti)는 게임회사들을 표적 공격하고 있는 그룹이다. 앞서 말했다시피 한국은 모바일 강국으로 게임에도 매우 친숙한 환경이 조성된 국가이기 때문에 한국도 공격을 받고 있다. 이들은 주로 디지털 증명서나 게임 소스코드 등과 같은 정보를 탈취하고 있다.

보안뉴스 : 실례지만 묻지 않을 수 없다. 지난 달 핫이슈였던 카스퍼스키랩의 경쟁사들 해코지 스캔들에 대해서 말이다. 사실 기자도 당시 로이터가 보도한 해당 내용을 로이터를 인용한 기사를 전했다. 사실인가?

유리 나메스트니코브 : 민감할 수 있는 사항이기는 하다. 하지만 현재 나의 입장에서 확실하게 말할 수 있는 것은 로이터의 보도는 사실이 아니라는 점이다. 일단 카스퍼스키 내에서는 비밀리에 진행되는 어떠한 비도덕적인 캠페인도 없다. 다만 알다시피 사이버보안 분야는 상당히 치열한 공간이다. 개발자가 공들여 개발해낸 코드나 기술을 바로 가져다가 몇 가지만 첨부하여 진화시켜 사용하는 일 등이 비일비재하다.

백신시장도 마찬가지다. 우리가 몇 년에 걸쳐 구축해 놓은 데이터베이스를 몇 시간 만에 가져가서 활용하는 경우가 많다. 이에 2010년 당시 우리가 만들어 놓은 쓸모없는 코드나 파일까지 모두 가져가는지 확인해보기 위해 샘플들을 업로드 해보는 실험을 한 적이 있다. 그 후 해당 실험을 대중에게 알리기도 했다. 이 일이 지금 와서 왜곡된 시각으로 재해석된 것이다. 따라서 이번 스캔들의 피해자는 오히려 카스퍼스키랩이다.

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>