Home > 전체기사

미국 사법부, 북한 정찰총국 소속 해커 3명 실명 기소

  |  입력 : 2021-02-18 13:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
북한 해커 세 명의 실명이 미국 사법부 문건을 통해 정식으로 공개됐다. 2018년에 한 차례 기소됐던 자의 이름도 포함되었다. 이들은 암호화폐 거래소와 은행 등을 공격해 13억 달러를 북한 국고에 추가했고, 북한은 이 돈을 핵 개발 프로그램에 투자했다고 한다.

[보안뉴스 문가용 기자] 미국 사법부가 북한 정찰총국 소속 해커 세 명을 기소했다. 전 세계 금융 조직들로부터 13억 달러의 돈을 탈취하기 위한 작전을 주도했다는 것이 그 이유다. 여기에다가 FBI와 재무부, 국토안보부는 북한의 해커들이 벌인 사이버 공격 캠페인인 애플제우스(AppleJeus)와 관련된 멀웨어 및 침해지표 정보를 상세히 공개하기도 했다. 애플제우스는 2018년부터 암호화폐 거래소를 겨냥해 실시된 캠페인이며, 당시 사용됐던 멀웨어의 이름이기도 하다.

[이미지 = utoimage]


북한은 경제 제재를 받고 있어 상당한 경제난에 시달리고 있는 상태다. 그렇기 때문에 전 세계적인 금융 기관들을 해킹해 자금을 조달하고 있다. 이번 달 초만 하더라도 북한의 사이버 활동을 모니터링하는 전문가 패널들이 UN안보리에 “금융 기관들과 암호화폐 거래소들을 겨냥한 공격을 통해 자금을 확보하고, 이 자금으로 자신들의 핵 개발 프로그램을 지원하고 있다”는 내용의 보고서를 제출한 바 있다.

오늘 기소장을 공개한 존 데머스(John Demers) 법무부 보좌관은 “북한이 전 세계에서 자행하고 있는 범법 행위들을 계속해서 적발해 상기시키고자 한다”며 “이렇게 구체적으로 범죄자들을 지목해 선포하는 것이 문제 식별과 적발의 첫 걸음”이라고 강조했다. 오늘 ‘구체적으로’ 실명까지 적발된 자들은 총 세 명으로, 그 중 한 명인 박진혁(36)은 지난 2018년에도 한 차례 기소된 바 있다. 박진혁은 2014년 소니 해킹 사태를 비롯해 워너크라이(WannaCry) 랜섬웨어 사태, 방글라데시중앙은행 사태에 연루된 것으로 알려져 있다.

박진혁 외에 전창혁(31), 김일(27)이라는 인물도 이번에 기소됐다. 세 명 모두 북한의 정찰총국 소속이라고 한다. 기소장에 나온 이 셋의 범죄 행위는 대부분 금융 기관들을 노린 것으로, 베트남, 방글라데시, 대만 등의 은행, 거래소, ATM 기기들을 겨냥한 각종 사이버 공격(랜섬웨어, 암호화폐 채굴, 사기 입출금 등)으로 13억 달러에 달하는 피해를 입혔다고 사법부는 정리했다. 참고로 정찰총국의 사이버 작전 행위들은 라자루스(Lazarus)라는 이름으로 알려져 있다.

이 세 명 외에 한 캐나다인의 범죄 기록도 공개됐다. 갈렙 알로매리(Ghaleb Alaumary)라는 인물로, 북한 사이버 공격자들을 위한 대규모 자금 세탁을 진행했다고 하며, 이미 자신의 죄를 인정했다고 한다. 특별히 북한 사이버 공격자들의 ATM 공격을 도왔던 것으로 밝혀졌다. 보안 업체 로그리듬(LogRhythm)은 “북한 정부가 지원하는 APT 공격의 주요 동기가 대부분 금전적 이득과 관련이 있다는 것이 이번에 확실히 드러났다”며 “조금이라도 돈을 더 벌기 위해 이들이 어느 정도까지 행동력을 보이는지도 함께 공개됐다”고 말했다.

미국 사법부에 의하면 위 북한 해커 세 명의 실제적인 악성 행위는 정찰총국이 중국, 러시아와 같은 나라에서 활동을 하던 시기에 벌어졌다고 한다. 그러나 이런 국가들이 북한의 사이버 행위에 직접 연루되어 있다고 볼 만한 증거는 아직 없다. 기소장에도 이런 부분에 대해서는 특별한 언급이 없다.

하지만 북한 해커들을 추적하던 사이버 보안 전문가들의 경우 세 국가 간 연결고리가 있음을 지난 과거에도 주장해 왔다. 지난 9월 보안 회사 인텔471(Intel 471)은 “북한의 위협 행위자들이 다크웹의 지하 포럼에서 활동하며 TA505와 같은 러시아 범죄 단체들과 연을 맺고 있다”는 내용의 보고서를 발표했었다. 당시 인텔471이 조사한 바에 의하면 북한 해커들은 러시아 사이버 범죄자들이 사용하던 공격 인프라를 활용해 자신들의 목적을 달성하고 있었다고 한다.

“심지어 금융 기관들에 최초 접근하도록 러시아 범죄 단체들이 다리를 놔준 경우도 있습니다.” 인텔471의 CEO인 마크 아레나(Mark Arena)의 설명이다. “금융 조직에로 최초 침투하는 것도 어려운 일이긴 하지만, 한 번 침투한 뒤에 각종 악성 행위를 실시해 실질적인 결과물을 만들어 내는 것도 대단히 복잡한 일입니다. 북한 공격자들은 그 복잡한 ‘사후 공격’을 잘하는 것이고, 그래서 최초 접근에 능한 러시아 공격자들과 이해 관계를 형성할 수 있는 것입니다. 이런 협력 관계는 앞으로도 지속될 것으로 예상됩니다.”

그 외에도 NTT 시큐리티(NTT Security)와 센티넬원(SentinelOne)과 같은 보안 업체들도 비슷한 내용의 보고서를 발표했다. 라자루스 그룹과 러시아의 사이버 범죄 단체들의 협력 관계가 발견됐다는 내용이었다.

이 날 FBI와 CISA, 재무부는 북한의 암호화폐 탈취 캠페인인 애플제우스(AppleJeus)에 대한 상세 내용을 공개하기도 했다. 이에 의하면 라자루스 그룹은 정상적인 것처럼 보이는 암호화폐 거래 앱을 만들어 배포하고, 이를 통해 암호화폐를 훔쳐냈다고 한다. 이 앱에는 윈도와 맥 시스템들을 공격하게 해 주는 멀웨어인 애플제우스가 포함되어 있는 것으로 분석됐다.

라자루스는 피싱과 소셜엔지니어링 기법을 주로 활용하여 애플제우스를 유포했으며, 금융, 정부, 에너지, 기술, 통신 분야의 다양한 조직들에서 피해가 발생했다고 한다. 미국, 캐나다, 중국, 독일, 인도, 이탈리아, 일본이 주요 피해국이라고 FBI는 공개했다. 이번 보고서를 통해서 셀라스 트레이드 프로(Celas Trade Pro)라는 앱에서 발견된 최초 버전의 애플제우스에서부터 지난 9월에 발견된 7번 버전까지가 상세히 분석됐다.

3줄 요약
1. 미국 사법부, 북한 해커 세 명 기소.
2. 이 세 명은 북한 정찰총국에 소속되 전 세계적으로 13억 달러의 피해를 입혔다고 함.
3. 동시에 FBI 등도 북한의 애플제우스 캠페인에 대한 상세 기술 보고서 발표함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비