[인터넷] 활동무대 넓히는 北 해커그룹… 중동·베트남 민간기업에 유엔단체까지 공격
입력
수정
지면B5
美보안업체 파이어아이 보고서북한 해킹 단체가 한국뿐만 아니라 중동, 베트남 민간 업체와 유엔 산하 단체까지 공격하고 있다는 분석이 나왔다.
北과 밀접한 관련 있는 업체
탈북자 정보 등 빼내려 해킹 시도
평창올림픽 때도 8000회 이상
남북 화해무드 속 공격 계속될 것
미국 사이버 보안업체 파이어아이는 지난 5일 서울 삼성동 그랜드인터컨티넨탈호텔에서 기자간담회를 열고 이 같은 내용의 보고서를 발표했다.팀 웰스모어 파이어아이 위협정보분석 디렉터(사진)는 “북한의 해킹 단체가 2012년부터 국내 공공기관과 민간 기업 등을 대상으로 다년간 사이버 공격을 해왔다”며 “지난해부터는 활동 반경을 일본과 베트남, 중동으로까지 넓혔다”고 말했다.
‘APT37’로 명명된 이 단체가 해외로 공격 범위를 넓힌 것은 북한의 전략적 이익과 연관성이 있는 것으로 분석됐다. 북한과 합작 법인을 설립하려던 이집트 통신회사 오라스컴이 공격당한 것이 대표적 사례다. 오라스컴은 북한 내 이동통신사업 독점권을 보유한 회사다. 파이어아이는 사업 진척이 부진하자 북한이 업체의 정보를 빼내 협상에 유리한 위치를 점하기 위해 이 같은 행동을 한 것으로 보인다고 전했다. 북한과 밀접한 관계가 있는 베트남 국제 운송업체도 해킹당했다.
북한은 국내외 북한 인권 관련 단체도 해킹한 것으로 파악됐다. 파이어아이는 APT37이 유엔 산하 일본 북한 인권단체를 비롯해 국내 북한 인권문제 등을 다루는 연구원, 자문위원, 기자들을 표적으로 사이버 공격을 시도했다고 밝혔다. 유엔 안전보장이사회 산하 대북제재위원회도 지난달 북한의 공격으로 추정되는 사이버 공격을 당한 것으로 알려졌다. 공격 방법도 더욱 교묘해졌다. 국내 북한 연구기관의 메일 시스템을 해킹해 정상적인 메일인 것처럼 속이는 수법을 썼다. 웰스모어 디렉터는 “국내외 탈북자의 개인 정보를 빼내기 위해 이런 수법을 썼다”고 분석했다.파이어아이는 APT37의 활동 시간과 접속 지역 등을 파악해 북한 해킹 단체임을 밝혀냈다고 설명했다. 파이어아이 관계자는 “APT37의 활동 시간을 대조한 결과 북한의 업무 시간과 일치했다”며 “접속 지역, 공격 동기 등을 고려하면 북한 산하 단체가 분명하다”고 했다.
파이어아이는 북한의 공격 수준이 갈수록 정교해지고 있다고 경고했다. 그동안 APT37은 한글 워드프로세서 파일의 취약점을 주로 이용했으나, 어도비 플래시의 취약점을 활용한 ‘제로데이 공격’을 한 사실도 밝혀졌다. 제로데이 공격은 대응책이 마련되지 않은 취약점을 노린 사이버 공격이다. 파이어아이 관계자는 “북한의 폐쇄성을 고려할 때 취약점 정보를 암시장 거래로 얻었다기보다 스스로 발견한 것 같다”며 “해킹 수준이 점차 높아지고 있다”고 설명했다.
파이어아이는 북한의 사이버 공격이 남북 관계 해빙 국면에도 이어질 것이라고 내다봤다. 웰스모어 디렉터는 “평상시에도 북한발 사이버 공격은 끊이지 않는다”며 “남북 관계가 완화되는 분위기에도 북한의 사이버 공격이 줄었다고 볼 수 없다”고 했다.오히려 북한이 평화 분위기를 가장해 사이버 공격을 늘린 정황도 포착됐다. 지난달 일본 산케이신문은 APT37이 평창동계올림픽 개막 이후 한 달 동안 국가정보원을 비롯한 정부기관과 민간 기업을 상대로 8000회 이상 사이버 공격을 시도했다고 보도했다. 산케이는 전직 미군 장교의 발언을 인용해 “북한이 한국의 기밀정보를 손에 넣어 자국에 유리한 외교를 추진하려 했던 것 같다”고 전했다. 파이어아이 관계자는 “북한의 사이버 공격은 예상치 못한 곳에서, 예상치 못한 형태로 일어날 것”이라고 경고했다.
배태웅 기자 btu104@hankyung.com