[디지털데일리 이종현기자] “레코디드 퓨처가 2022년부터 추적한 북한 사이버공격은 98억개에 달한다. 공격 목적은 대부분 정보 탈취나 외화벌이다. 미국에서 라자루스(Lazarus) 그룹에 대한 이야기가 많이 나오지만, 라자루스와 같은 북한 공격그룹의 피해자는 대부분이 한국이다. 유럽연합(EU)이나 미국, 일본은 그 다음이다.” (미치 해자드 레코디드 퓨처 위협 인텔리전스 수석 연구원)

최근 국내·외에서는 북한 관련 소식이 연이어 나오는 중이다. 그중 큰 비중을 차지하는 것이 사이버범죄다. 국가정보원(이하 국정원)은 북한이 작년 한해 동안 약 8000억원 이상을 암호화폐 탈취나 랜섬웨어 유포 및 협박 등으로 벌어들였다고 발표한 바 있다.

이에 더해 국정원은 북한이 해킹으로 미사일 발사 자금을 모은다고 비판하며 미국, 독일 등 해외 정보기관과 협력을 강화하는 중이다. 미국 국가안보국(NSA), 연방수사국(FBI)과 공동으로 합동 보안 권고문을 발표한 데 이어 독일 정보기관 연방헌법보호청(BfV)와도 북한 해커그룹의 위험성을 알리는 권고문을 작성한 바 있다.

이처럼 긴장상태가 고조되는 가운데 5일 진행된 사이버위협 인텔리전스(CTI) 기업 레코디드 퓨처의 간담회에서는 레코디드 퓨처가 추적 중인 북한 위협에 대한 동향과 주의해야 할 사항 등이 공유됐다.

북한 위협에 대해 발표한 것은 사이버보안 최전선에서 활동 중인 미치 해자드(Mitch Haszard, 한국 이름 박태현) 레코디드 퓨처 위협 인텔리전스 수석 연구원이다. 그는 최근 북한 해커들의 활동 동향과 레코디드 퓨처가 추적 중인 공격그룹의 특징 등에 대해 소개했다.

레코디드 퓨처는 전 세계에서 발생하고 있는 각종 사이버위협에 대한 정보를 수집하고 이를 바탕으로 인사이트를 제공하는 사이버보안 기업이다. 기업 내에 잠재하고 있는 취약점을 파악하거나, 다크웹이나 메신저 등 음지에서 유통되고 있는 해커들의 활동을 추적하고, 갖가지 내용들을 그래프화하는 등의 기술을 보유한 기업이다. 데이터 수집·분석 및 활용 전반에 인공지능(AI)이 활용되고 있다.

레코디드 퓨처가 추적 중인 북한 공격그룹은 여럿 있다. 이중 해자드 연구원이 공유한 TAG(Threat Activity Group)-46의 경우 2022년부터 네이버나 카카오, 구글, 네이트와 같은 포털 및 사회관계망서비스(SNS) 계정을 타깃으로 한 피싱 공격을 대규모로 수행한 것으로 파악됐다.

여기에 그치지 않고 2022년 5월 암호화폐 거래소 공격, 7~8월 한국 방위산업체 공격에 더해 연말에는 통일부, 외교부 등도 공격했다. 연초에는 독일 방산업체, 미국 국방부 로그인 포털도 공격한 것으로 나타났다.

해자드 연구원은 “북한 공격그룹의 목적은 대부분이 정보 탈취나 외화벌이다. 구체적인 공격 수단은 99% 이상이 피싱이다. 북한 입장에서는 피싱 공격으로도 충분히 성과를 거두고 있는데 공격 방법을 바꿀 필요가 없을 것”이라면서 공격 방식이 단순한 만큼 예방 역시 가능하다고 조언했다.

한편 이날 간담회에는 레코디드 퓨처 최고기술책임자(CTO) 스테판 투루베(Staffan Truve)를 비롯해 아시아태평양 및 일본(APJ) 부사장 다첸 리(Da-Qian Li), 레코디드 퓨처 코리아 한규돈 지사장 등도 참석해 레코디드 퓨처의 기술 및 청사진에 대해 소개했다.

투루베 CTO는 “레코디드 퓨처는 세계가 더 안전해지면 좋겠다는 목적으로 시작한 기업이다. 좋은 콘텐츠를 만드는 데 집중하고 있다. 탐사보도를 하는 기자들과도 협업하는 중인데, 한국에서 어떤 활동을 하면 좋을지 고민하고 있다”고 말했다.

그가 특히 강조한 레코디드 퓨처의 강점은 광범위한 데이터와 이를 뒷받침하는 AI 및 자동화다. 사업 초창기부터 자연어처리(NLP) 및 이미지 처리를 위한 AI 기술을 개발해 각종 데이터를 언어의 장벽 없이 심층적으로 들여다 볼 수 있다. 20억개의 소스에서 실시간으로 데이터를 수집하고 있고, 이를 바탕으로 디지털 트윈 형태의 위협 인텔리전스 그래프를 만들어가고 있다고도 부연했다.