北 정찰총국이 통제하는 '라자루스그룹·블루노로프·안다리엘'
전통적 해킹 더해 가상화폐까지 표적…유엔경고 후 제재 주목
"한국도 표적"…2016년 '국방장관 집무실·국방망' 해킹 적시


미국 재무부가 13일(현지시간) 단행한 제재를 통해 북한 해킹그룹의 정체와 적나라한 해킹 실태가 드러났다.

이들 북한 해킹그룹은 한국도 주요 해킹 표적으로 삼아왔던 것으로 나타났다.

특히 미 재무부의 이번 제재는 유엔이 최근 보고서를 통해 북한에 의한 해킹에 경각심과 대책을 촉구한 이후 이뤄졌다는 점에서 시선을 끌고 있다.
美, 北 3대 해킹그룹 정조준…적나라한 해킹실태·정체 드러나
미 재무부가 이날 제재한 북한 해킹그룹은 그동안 많이 알려졌던 '라자루스 그룹(Lazarus Group)'을 포함, 언론에 간간이 거론됐던 '블루노로프(Bluenoroff)'와 '안다리엘(Andariel)' 등 3곳이다.

미 재무부는 이틀 해킹그룹이 모두 북한 정찰총국(RGB)의 통제를 받는 것으로 규정했다.

정찰총국은 이미 미국은 물론 유엔 안전보장이사회 대북제재 결의의 제재 대상이다.

앞서 지난해 9월 미 법무부는 2014년 소니픽처스 해킹과 2016년 8천100만 달러를 빼내 간 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 공격 등을 자행한 혐의로 라자루스 그룹 소속의 해커 북한 박진혁이라는 인물을 기소한 바 있다.

미 재무부가 이날 공개한 자료에 따르면 라자루스 그룹은 북한 정권에 의해 2007년 초에 만들어졌고, 북한 정찰총국의 제3국(제3 기술정찰국) 110연구소(110 리서치센터)에 소속돼 있다.

라자루스 그룹은 제3국의 주요 인프라뿐 아니라 정부나 군, 금융기관, 기업, 미디어 등을 대상으로 전방위 해킹 활동을 해왔다.

가장 대표적인 것이 지난 2017년 전 세계 컴퓨터에 랜섬웨어를 심어 큰 피해를 준 것으로 알려진 '워너크라이' 사건이다.

미 재무부는 라자루스 그룹이 워너크라이 사건에 관여했다고 평가했다.

미 재무부는 최소 150개국에서 워너크라이 랜섬웨어 악성코드에 감염됐고, 약 30만대의 컴퓨터가 셧다운 됐다고 전했다.

특히 영국 국민보건서비스(NHS)가 해킹 공격을 당해 중환자 및 응급치료를 담당하는 영국 2차 병원 가운데 약 3분의 1, 영국의 일반 의료행위의 약 8%가 마비됐다.

이로 인해 NHS는 1억1천200만달러 상당의 피해를 입었다.

라자루스 그룹은 이에 앞서 2014년 미국 소니 픽처스 해킹 사건의 주범으로 지목받았다.
美, 北 3대 해킹그룹 정조준…적나라한 해킹실태·정체 드러나
미 재무부는 블루노로프와 안다리엘은 라자루스 그룹의 하부 해킹그룹이라고 밝혔다.

블루노로프는 글로벌 대북제재에 맞서 해킹을 통한 금품 탈취를 위해 조직됐다.

미 재무부는 블루노로프가 외화 수입, 특히 이들 자금 가운데 일부를 핵·탄도미사일 프로그램에 지원하기 위해 해외 금융기관 등을 상대로 해킹을 자행했다고 지적했다.

블루노로프의 해킹 활동은 2014년 초에 보안업계에 의해 처음 탐지됐다.

미 재무부는 업계와 언론보도 등을 인용해 지난해까지 블루노로프가 해외 금융기관으로부터 11억달러가 넘는 금액의 절취를 시도했으며, 방글라데시와 인도, 멕시코, 파키스탄, 필리핀, 한국, 대만, 터키, 칠레, 베트남 등에서 성공적으로 해킹을 수행했다고 지적했다.

또 사이버 보안 업계를 인용해 블루노로프가 11개국, 16개 이상의 금융기관과 가상화폐거래소 등을 대상으로 성공적인 해킹을 했다고 전했다.

블루노로프는 그동안 라자루스 그룹의 소행으로 알려진 뉴욕 연방준비은행의 방글라데시 중앙은행 계정 해킹에도 함께 가담했다고 미 재무부는 밝혔다.

방글라데시 중앙은행은 2016년 해킹 피해로 약 8천만달러의 피해를 입었다.

블루노로프와 라자루스 그룹은 훔친 국제은행간통신협회(SWIFT) 인증서를 이용해 8억5천100만달러를 훔치기 위해 36차례 이상의 송금 요청을 하기도 했었다.

유엔 안전보장이사회(안보리) 산하 대북제재위는 최근 공개한 보고서에서 북한의 17개국을 상대로 한 최소 35건의 해킹을 조사하고 있으며, 특정 추정치를 인용해 북한이 이 같은 해킹으로 탈취한 금액이 최대 20억 달러에 이른다고 밝힌 바 있다.

안다리엘도 자금탈취 등을 위해 해외 기업과 정부 기관, 금융서비스 인프라, 방산 분야 등에 대한 해킹을 자행해왔다.

이들의 해킹 활동은 2015년 사이버 보안 업계에 의해 처음 포착됐다.

미 재무부는 안다리엘은 특히 정보 취득과 혼란 조성을 위해 한국 정부와 인프라를 해킹 표적으로 삼았다고 밝혔다.

이들은 현금자동입출금기(ATM)에 대한 해킹을 통해 은행 카드 정보 빼내기를 시도했다.

이를 통해 현금을 인출하고, 블랙마켓에서 고객 훔친 고객정보를 판매하기 위한 목적이었다.

안다리엘은 도박사이트를 해킹하기 위한 악성코드 개발에도 책임이 있는 것으로 지목됐다.

미 재무부는 안다리엘이 정보 취득을 위한 노력으로 한국 정부 관리들과 한국군을 상대로 한 해킹을 지속하고 있다면서 2016년 한국 국방장관 집무실의 개인 컴퓨터와 국방부 인트라넷인 국방망에 대한 해킹을 대표적 소행으로 꼽았다.

당시는 한민구 국방장관 재임 시절이었다.

미 재무부는 업계와 언론 보도를 인용, 라자루스 그룹과 블루노로프, 안다리엘 등 3개 북한 해킹그룹이 2017년 1월과 지난해 9월 사이에 5개 가상화폐거래소를 해킹해 5억7천100만달러의 가상화폐를 탈취한 것으로 보인다고 지적했다.

한편 유엔 안보리 산하 대북제재위는 이달 초 공개한 보고서에서 북한의 사이버 해킹의 심각성을 지목하면서 "향후 추가적인 대북제재가 이뤄진다면 안보리는 사이버 공격의 심각성에 초점을 맞출 것을 권고한다"면서 "가상화폐, 가상화폐 거래소를 비롯한 비(非)은행 금융기관까지 아울러야 한다"고 지적한 바 있다.

/연합뉴스