보안

토픽브리핑 | 사이버 공격의 주체 논란, 세계로 뻗어나간 북한 소행설

이대영 기자 | ITWorld 2017.10.27
기-승-전-북한으로 귀결되는 모든 사이버 공격에 대한 북한 소행설은 어제오늘 일이 아니다. 수년 전부터 "이번 사건의 배후에 북한이 있다"고 주장하면 해당 단체나 보안직원 모두 책임을 면하는 만병통치약과도 같은 일이 반복되고 있으며, 마침내 이는 전 세계로 확산됐다.

파이어아이, 북한의 미국 전력 업체 대상 스피어피싱 공격 포착

한국 정부가 북한 소행으로 추정한 최초의 국내 사이버공격은 2009년 7월 발생한 7·7 디도스 사태부터다. 이 사태는 2009년 7월 7일부터 9일까지 공공기관(청와대, 국회, 외교통상부, 국가정보원, 행정안전부, 국방부, 한미연합사령부)를 비롯해, 언론, 은행(외환은행, 신한은행, 농협 등), IT 기업 등을 대상으로 한 사이버 테러였다.

2011년 4월 농협 전산망 마비 사태는 공격자가 모든 목적을 달성한 후, 증거 인멸을 목적으로 전산망마저 파괴하는 사건이었는데, 정부는 이 또한 북한의 소행이라고 밝혔다.

2012년 6월 발생한 중앙일보 해킹과 기획재정부 해킹 사건은 때마침 인민군 총참모부 공개 통첩장에서 경고한 무자비한 보복성전으로 추정했지만, 각 사건들이 핵티비스트적인 성격이 짙어 북한의 소행으로 보기는 힘들었다.

MBC, KBS, YTN, 신한은행, 농협 등의 전산망을 마비시킨 2013년 3.20 전산 대란 또한 정부 당국은 북한 정찰총국의 소행으로 추정된다고 결론내렸다. 2012년 6월 28일부터 최소한 6대의 북한 내부에 있는 PC들로부터 피해 기관에 악성코드를 유포하고 PC에 저장되어 있는 자료를 절취했다고 밝혔다.

2013년 6월에는 625 사이버 테러가 발생했다. 청와대를 비롯한 새누리당, 군, 주한미군 등 다수의 정부기관과 언론사 등을 대상으로 웹 사이트 변조, DDoS, 회원 데이터 유출 등이 일어난 정보보안사고였다. 미래창조과학부는 과거 북한의 해킹 수법과 일치한다고 밝혔지만, 동일 유형의 공격을 받은 사이트에는 북한의 대표적인 대남 사이트도 포함되어 있었다. 피해 규모도 컸는데, 새누리당원 250만 명, 군장병 30만 명, 청와대 20만 명, 미 25보병사단 1만 5,000명, 미 3해병사단 1만 명, 미 1기병사단 1만 5,000명의 이름과 주민번호, 주소, 일부는 은행 계좌정보까지 유출됐다.

이후에도 대형 사이버보안 사건들은 연이어 발생했는데, 정부 당국은 국내에서 벌어진 대형 사이버보안 사건의 대부분을 북한 소행이라고 결론지었다. 2014년 한국수력원자력 내부문서 유출, 2015년 서울메트로 해킹, 2016년 SK 그룹, 한진그룹을 포함한 160개 한국기업과 정부 기관의 14만 개 시스템 해킹, 그리고 인터파크 개인정보 유출, 사이버 사령부 인트라넷 해킹, ATM 기기 해킹까지도 정부가 내린 결론은 북한이었다.

사이버 스파이, 대한민국 주요 기관들을 공격하다...북한 해커들로 추정
대한민국 군 내부망 해킹 사건 개요와 분석
"한국 방위산업체 해킹, 북한 소행으로 추정"
본격적인 사이버 전쟁이 시작됐다…우리나라는?

북한이 전세계 사이버위협의 주체로 전면에 부상하게 된 것은 2014년 소니픽처스 해킹 사건부터였다. 맨디언트는 전 세계 공격 그룹들의 활동을 오랫동안 감시하면서 중국에서 활동해 온 일단의 공격 그룹 배후로 북한을 지목한 바 있다. 북한은 자신들의 소행이 아니라고 전면 부인했다.

소니 공격 해커, 테러 전술로 전환…’인터뷰’ 상영 극장 위협
북한, 소니 픽처스 해킹 관련설 부인
"단언컨대, 소니를 공격한 것은 북한"... 미국 FBI 국장
미 NSA, 북한 내부 네트워크에서 소니 공격의 흔적을 발견했다...뉴욕타임스
'소니 픽처스에 대한 공격은 북한의 소행'이라는 FBI 발표에 대한 남아 있는 의문점
"북한, 한국 워드 프로그램을 악용하는 공격의 배후로 추정"...파이어아이

북한 소행을 의심하는 이들은 북한의 사이버 공격 능력에 대해 의심하고 있지만, 오래 전부터 북한은 상당한 사이버 공격 능력을 보유하고 있었던 것으로 보인다. 플래시포인트는 러시아, 중국, 그리고 미국을 포함한 영국, 캐나다, 호주, 뉴질랜드 즉, 파이브아이즈(Five Eyes)를 가장 위협적이며, 그 다음 순위로 북한을 꼽고 있다.

"러시아-중국-미국이 가장 큰 사이버 보안 위협이다"…플래시포인트
글로벌 칼럼 | 북한의 사이버 범죄 지문, 너무 많은 곳에 찍혀있다

이후 미국의 백악관은 소니 공격 대응의 일환으로 북한에 대한 새로운 제재를 발표하면서 공격을 진행한 바 있다. 물론 공식적으로 미국은 북한을 대상으로 사이버 위협을 가한 적이 없다. 이후 북한은 미국을 대상으로 사이버 공격을 할 것이라고 선언한 바 있다.

북한, 인터넷 연결 중단
NSA, 스턱스넷 변종으로 북한을 공격했지만 실패
북한, "미국을 대상으로 사이버 공격하겠다"

2014년 소니 해킹과 최근 방글라데시 중앙은행 강도 사건과 연루된 것으로 알려진 사이버공격 집단인 라자러스(Lazarus) 그룹이 북한을 위해 일하고 있다는 주장이 제기했다. 시만텍은 이 라자러스 그룹이 전세계적으로 확산된 '워너크라이 랜섬웨어(Ransom.Wannacry)'와 높은 연관성이 있다고 밝혔다.

"경계는 필수, 과장은 금물" 워너크라이 랜섬웨어 사태 점검

시만텍의 분석에 따르면, 워너크라이 공격에서 발견된 5개의 악성코드 가운데 3개가 라자러스 그룹과 연관이 있는 악성코드인 것으로 나타났다. 두 가지는 소니픽처스 공격에 사용된 데스토버(Backdoor.Destover)의 변종이며, 다른 하나는 과거에 라자러스 그룹이 대한민국을 겨냥한 공격에 사용했던 볼그머 트로이목마(Trojan.Volgmer)인 것으로 확인됐다. 이후 3월 말 새로운 버전의 워너크라이가 발견된 2차 공격에서 워너크라이와 라자러스 그룹 배후에 있는 공격자들 간에 연관성이 있음을 더욱 입증해주는 정보들이 확인됐다.

"워너크라이 랜섬웨어 배후로 라자러스 그룹 소행 확신"…시만텍

특히 방글라데시 중앙은행을 비롯해 31개국 104곳의 금융기관을 공격한 이 악성코드 추가 샘플을 확보해 분석한 결과, 악성코드 내의 명령어 여럿이 온라인 툴을 이용해 러시아어로 번역한 것으로 나타났다. 러시아 원어민이 사용하지 않는 말이었다.

BAE 연구원들은 블로그 포스트를 통해 "어떤 경우는 부정확한 번역으로 단어의 의미가 완전히 바뀌어 버리기도 했다. 이는 이번 공격의 작성자가 러시아어 원어민이 아니며, 러시아 단어를 사용한 것은 가짜 표지인 것으로 보인다"고 설명했다. BAE 연구원들은 "이런 비상식적인 행위는 조사기관을 잘못된 정보로 유인하기 위한 것일 가능성이 크다. 실제로 이 악성코드 샘플과 공격 전체가 라자러스 그룹의 소행이라고 볼 수 있는 기술적인 증거들이 있다"고 밝혔다.

"러시아어는 미끼" 은행 공격한 해커, 라자러스 연관성 높아

소니 공격의 배후에 북한이 있다고 주장하는 FBI는 '민감한 출처와 방식'을 보호할 필요성을 언급하면서 증거를 명확하게 밝히지 않은 대신 이런 결론에 도달하게 된 3가지 이유를 들었다.

우선 공격에서 사용된 악성코드의 기술분석을 통해 FBI에서 북한 공작원들이 예전에 개발한 것으로 파악된 다른 악성코드와의 연관성을 발견했다. 예를 들어, 특정코드, 암호화 알고리즘, 데이터 삭제 방식, 해킹된 네트워크의 유사성이 발견됐다는 것이다.

하지만 코드가 유사하다고 해서 출처가 같다고 보기 어렵다는 점이 문제다. 사이버 범죄자들은 항상 코드를 재활용하며, 누구든 워너크라이 코드를 잘라붙여 새로운 공격에 사용할 수 있다.

게다가 소니 악성코드에 대한 FBI의 자체 기술 메모에 따르면, 공격자들이 공개된 툴을 이용했는데. 이들 툴은 누구든 사용할 수 있는 것이며 와이퍼(Wiper) 악성코드는 예전부터 존재했었다.

또한 이번 공격과 미 정부가 북한과 직접적으로 연관지은 다른 악성 사이버 활동에서 사용된 인프라의 상당 부분이 중첩된다는 것이다. 예를 들어, FBI는 소니 공격에 사용된 데이터 삭제 악성코드에 하드코딩(Hardcoding)된 IP 주소와 통신한 것으로 알려진 북한의 인프라와 관련된 여러 IP(Internet Protocol) 주소를 발견했다.

하지만 IP 주소를 항상 출처의 속성으로 보기는 어렵다. 대부분의 경우, 사이버 범죄자들은 근원지를 숨기면서 프록시(Proxy), 해킹된 시스템, 기타 공격을 위한 수단을 사용할 수 있기 때문에 신뢰성이 떨어진다.

이런 미국 당국의 주장은 한국 정부가 북한 소행으로 추정하는 이유와 상당부분 유사하다. FBI가 제공한 증거가 현재 충분한 설득력이 있고 확인된 북한의 전술 가운데 확보된 기존 자료에 기초하고 있다는 점에서 북한의 소행이라는 점에 무게가 더해지고 있는 것은 사실이다.

다시 한번 말하지만, 대부분의 악성코드는 재활용이 가능하며, 소니에서 와이퍼 악성코드가 사용한 툴은 공개된 툴이라고 해당 사안에 대한 FBI의 자체 보고서에서도 밝히고 있다. 북한과의 관련성을 직접적으로 입증할 수 있는 것이 하나도 없다는 의미다. 특히 사이버 세계에서는 무엇이든 위조하거나 숨길 수 있으며, 미국 이외에 어떤 국가도 자국이 다른 국가를 해킹하거나 공격했다는 것을 시인한 적은 없다.

전세계를 상대로 도청, 감시한 미국, 사이버 전쟁 시대의 개막을 알리다

다만 최근 다른 사건을 통해 드러난 사이버 첩보 전쟁에서의 미국과 이스라엘의 공조 활동을 비춰볼 때, 미국이 북한을 지목한 이유에는 우리가 알지 못하는 상당히 강력한 이유가 있을 것이라는 추정만이 남을 뿐이다.

이스라엘, 카스퍼스키 해킹 통해 미국을 해킹한 러시아 해커 포착

다시 국내 문제로 돌아와보자. 2017년 9월, ATM 기기 해킹을 통해 금융거래정보 23만 건을 탈취 유통한 사건에 대해 경찰청은 이를 북한 해커의 소행으로 발표한 바 있다. 이 범죄가 북한 해커의 소행이라는 경찰청의 판단 근거는 다음과 같다.

- 2016년 북한발 국가주요기관 해킹 사건과 동일한 백신서버 취약점 이용해 침입
- 2016년 북한발 국가주요기관 해킹 사건의 악성코드와 100% 동일한 키로거, 원격제어(RAT) 등이 ATM 기기 구조 분석에 재사용
- 2016년 대기업 해킹사건의 탈취 서버가 재사용(○○대학교 등)
- 2016년 대기업 해킹사건과 비밀번호까지 100% 동일한 웹셀, 유령쥐(Ghost RAT) 등이 탈취서버 제어에 재사용
- 공범인 중국동포가 북한 해커로부터 유출된 금융정보를 받아와 이를 국내외에 유통시켰다는 카드정보 판매총책 C 등의 진술


좀더 진척된 것이 있다면 범행에 가담한 피의자들을 검거해 북한 해커 소행이라는 피의자 진술을 확보했다는 것이다.

"북한 해커, 국내 ATM기 해킹 통해 금융거래정보 23만 건 탈취 유통"…경찰청

이런 주장에 대해 해커 출신 한 보안 전문가는 사이버범죄를 북한 행위로 위장하는 방법을 설명하면서 반박했다.

1. 피해 서버에 북한 IP를 남겨 놓는다.
2. 북한의 소행이라고 알려진 악성코드를 재활용한다.
3. C&C 서버는 이전에 알려졌던 북한발 해킹 사례를 참조해 경유시킨다.
4. 물론 C&C 서버에도 북한 IP는 남겨 놓는다.


물론 이는 상당히 어려운 작업이긴 하지만, 불가능한 것은 아니다. 허니넷 프로젝트(Honeynet Project)의 연구결과에 따르면, 공격 주체가 해킹을 준비하고 실행하는 데에는 30분 정도의 시간이 걸린다면 이를 조사해 밝히는 데 소요되는 시간은 34시간 정도다.

글로벌 칼럼 | 한수원 해킹 사고 중간수사 결과를 바라보면서 

게다가 디지털 매체는 그 특성상 흔적을 지우기가 용이하기 때문에 100% 확실한 증거를 찾는 일은 더욱더 어렵고, 그렇기 때문에 사이버 테러 또는 해킹 수사는 항상 뒷말이 남기 마련이다. 하지만 그 배후가 북한이라 하더라도 이런 범죄를 불가항력이라고 아무도 책임지지 않는 상황이 반복되서는 안된다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.