침해사고/위협동향

북한이 사이버 공격을 진행한다고 믿는 이유

홍하나
[디지털데일리 홍하나기자] 북미 정상회담이 결렬되면서, 다양한 분석이 쏟아지고 있다. 특히 회담전까지 양국 정상이 우호적인 태도를 보인 만큼, 이번 정상회담에 대한 긍정적인 전망이 우세했다.

그런데 이런 와중에 미국 사이버 보안기업 맥아피는 북미 정상회담이 진행되는 동안에도 북한 해커집단이 미국에 사이버 공격을 진행했다고 주장했다.

맥아피의 주장이 진위여부는 별개로 놓고, 일단 지난 5일(현지시각) 뉴욕타임스(NYT) 등 다수 외신은 지난달 27일부터 28일까지 북미 정상회담이 진행되는 동안 북한 해커들은 미국 대규모 인프라를 대상으로 사이버 공격을 진행했다고 보도했다.

맥아피측은 “이번 해킹은 북미 정상회담 시기에도 계속됐다”며 “해커들은 매우 활동적이며 쉬지않고 공격을 계속 했다”고 주장했다.

북한이 배후(?)로 의심되는 공격은 그동안 여러차레 보도된 바 있다. 만약 북의 해킹 공격이 사실이라는 전제하에, 이에 대한 배경과 관련, 국내 사이버 보안 전문가들은 북한의 ‘지피지기 백전백승’ 전략에 비유했다.

문종현 이스트시큐리티 이사는 “(오히려 외교적 이슈가 있을 때 사이버 공격을) 더 열심히 할 수 밖에 없다”며 “상대방 패를 알고 모르고에 따라서 승패가 가려질 수 있기 때문”이라고 설명했다.

상대방이 어떤 계획을 짜고 있으며, 어떤 준비를 하는지 알기 위해 사이버 해킹을 한다는 것. 상대방의 전략을 알면 자신들이 원하는 방향으로 협상을 이끌어낼 수 있기 때문이다. 따라서 북한의 사이버 공격은 정상회담 등 주요 이벤트가 있을 때만 이뤄지는 게 아니라 상시적으로도 이뤄지고 있다고 문 이사는 설명했다.

맥아피에 따르면, 북한 해커들이 사용하는 주요 컴퓨터 서버 중 하나에 접근하면서 이번 공격을 발견했다. 맥아피는 북한 해커들이 약 18개월 동안 미국과 유럽 기업을 대상으로 금융, 통신, 에너지, 국방 등 주요 80여 개 조직을 공격해왔다고 주장했다. 다만 맥아피는 공격받은 기업은 밝히지 않았다.

맥아피는 이번 해커들의 공격 작전을 ‘샤프슈터 작전’이라고 명명했다. 샤프슈터는 주로 미국, 영국, 독일, 터키의 금융 및 정부 서비스를 목표로 하는 것으로 추정된다. 또 맥아피는 이 공격을 지난해 12월 처음 발견했으나, 이르면 2017년 9월부터 시작됐을 것이라고 예측했다.

이밖에도 런던, 마드리다, 도쿄, 홍콩 등 다른 국제도시들도 타격을 받았다. 다만 북한과 우호적 관계를 맺고 있는 러시아와 중국 도시들은 공격을 많이 받지 않았다고 맥아피는 밝혔다.

아울러 맥아피는 “이 공격은 매우 정교하고 특정 회사의 컴퓨터 네트워크와 지적재산권에 접근하기 위해 이뤄졌다”고 밝혔다.

북한의 사이버 공격은 국내에도 꾸준히 이뤄지고 있다고 의심되지만 국내 보안 전문가들이 “오늘 아침 혹은 방금 전에도 이뤄졌다”는 우스갯소리를 할 정도로 특별히 의식하지는 않는다. 해킹은 그 자체가 막어야할 대상일 뿐 어느 누구도 착한 해커일 수는 없기때문이다

문 이사는 “국내 (북한 사이버) 공격은 계속되고 있다”며 “특히 통일, 외교, 안보, 탈북단체, 대북단체에 사이버 공격은 수시로 있다”고 말했다. 이 또한 정치적 상황과 연계지어 상대방의 패를 알기 위한 것이라고 설명했다.
북한은 정교한 해킹 조직을 운영하고 있는 것으로 그동안 알려져왔다. 북한의 해킹조직인 라자루스는 국제적인 사이버 공격 배후로 지목되고 있다. 2014년 소니픽처스 공격, 같은 해 글로벌 워너크라이 랜섬웨어 유포, 2016년 방글라데시 은행 해킹 등의 대규모 해킹 사건의 배후로 알려졌다. 이에 작년 9월, 미국은 라자루스 소속 해커 박진혁을 기소했다.

북한의 사이버 공격은 외화벌이에도 목적이 있다. 미국 타임지는 “사이버 범죄는 북한의 주요 외화 획득 방법 중 하나”라고 전했다. 미국의 법무차관 존 데머스도 “북한은 최근 몇 년 사이 주요 사이버 위협으로 간주되고 있다”며 “대부분의 사이버 위협이 정보탈취에 초점이 맞춰졌으나 북한은 외화벌이에 힘을 쏟고 있다”고 설명했다. 이어 “그들은 단지 돈이 필요하다”고 말했다.

한편 북한의 지속적인 핵, 미사일 개발로 지난 2016년에서 2017년 사이, UN 등 국제사회는 다섯차례에 걸친 강도 높은 대북제재를 실시했다. 이에 사이버 보안 전문가들은 북한이 외화벌이 통로가 막힌 뒤, 사이버 공격 규모가 더욱 커지고 있다고 분석하고 있다.

<홍하나 기자>hhn0626@ddaily.co.kr
홍하나
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널