[디지털데일리 이종현기자] 국가정보원이 미국 국가안보국(NSA), 연방수사국(FBI) 등 정보기관과 합동으로 북한 사이버공격 위협 실태를 알리는 보안 권고문을 발표했다. 그동안 쉬쉬하던 북한 해커의 활동에 대해 정부 차원의 전면적인 대응에 나선 모양새다.

국정원은 지난 10일 한미 정보기관은 공동으로 합동 보안 권고문을 발표했다. 미국 현지에서도 동일한 권고문이 발표됐다.

발표된 보안 권고문에 따르면 북한 및 북한 연계 해킹조직은 위장 도메인·계정을 만든 뒤 가상사설망(VPN) 등을 이용해 해킹 대상 기관의 네트워크를 공격 중이다. 악성코드를 활용해 시스템을 파괴·변조·암호화하고, 정상화를 조건으로 암호화폐 등 가상자산을 요구하고 있다는 내용이 담겼다.

국정원은 이와 같은 북한 랜섬웨어 공격을 사전에 탐지·차단하는 데 도움이 되는 침해지표(IOC)를 공개했다. 사이버공격 예방과 피해 경감을 위한 백업·점검 방법 등 기술적 조치 방안을 제시하며 북한 사이버공격에 대한 주의 및 대응도 당부했다.

국정원과 함께 외교부도 움직였다. 외교부는 해킹, 암호화폐 탈취 등 불법 사이버 활동을 벌였거나 관련 프로그램 개발 및 전문인력 양성에 관여한 북한 개인 4명과 기관 7곳을 제재 대상으로 지정했다. 북한을 겨냥한 사이버 분야 독자제재는 이번이 역대 처음이다.

국정원 관계자는 “북한이 해킹으로 벌어들인 암호화폐를 북한의 국가 우선순위와 정보 목표 달성을 위해 사용하고 있다는 것이 한·미 정보기관의 판단”이라며 “랜섬웨어에 감염되면 회복을 위해 돈을 지불하더라도 데이터의 복구는 보장할 수 없다”고 말했다.

국정원 관계자는 “북한이 해킹으로 벌어들인 암호화폐를 북한의 국가 우선순위와 정보 목표 달성을 위해 사용하고 있다는 것이 한·미 정보기관의 판단”이라며 “랜섬웨어에 감염되면 회복을 위해 돈을 지불하더라도 데이터의 복구는 보장할 수 없다”고 말했다.

이와 같은 공격은 어제오늘의 일이 아니다. 구글 클라우드에 인수된 맨디언트의 위협 인텔리전스 총괄 존 헐트퀴스트(John Hultquist)는 이번 권고문 발표와 관련 “최근 공격의 배후는 안다리엘(Andariel)로 가장 잘 알려진 북한 공격그룹으로, 전세계 병원과 의료인을 겨냥한 랜섬웨어 캠페인을 수행해 왔다. 대부분의 공격은 대중에게 알려지지 않았지만, 이미 엄청난 부담감을 안고 있는 병원들은 심각한 붕괴를 경험했다”고 전했다.

이어서 “병원은 대개 사건을 보고하지 않고 북한 스파이가 공격자인 줄도 모른 채 조용히 시스템을 복구하거나 랜섬(Ransom)을 지불하는 경우가 많다. 이러한 대처는 제재로 인해 합법적 지불을 받을 수 없는 북한 공격자들에게 특히 적절하기 때문에 이들은 종종 유명한 랜섬웨어 운영자라고 주장하며 정체를 숨기는 중”이라고 부연했다.

그는 북한 해커조직의 핵심 목적이 북한 정부를 위한 인텔리전스를 수집하는 것으로, 국고를 채우는 데만 집중하는 다른 그룹과 차별화돼 있다고도 꼬집었다. 이와 같은 사이버공격이 북한 정권의 생명줄이며, 피해를 입기 전 선제적으로 병원을 방어하는 데 집중해야 한다고도 경고했다.