[교묘해지는 北 해킹, “군용 항공기·인공위성 정보 탈취”]

북한의 해커들이 전 세계 정부 및 민간 기업에서 핵 및 군사 정보 탈취를 시도하고 있다는 美 FBI의 경고가 나왔다. 특히 FBI는 북한 해킹 그룹이 NASA와 미 공군기지, 방위산업체에서 위성과 전투기에 관한 기밀을 훔쳤다고 밝히면서 범인을 잡기 위한 수사에 착수했다.

영국의 텔레그래프는 26일, 이같이 밝히면서 “미국 정부는 핵 기밀과 미사일, 잠수함, 드론에 관한 정보 등 미국의 국가 안보 자산을 노리는 해커의 신원을 밝히는 정보에 대해 1,000만 달러(138억원)의 포상금을 내걸었다”고 보도했다.

미 국무부는 '정의에 대한 보상' 프로그램을 통해 테러 방지, 테러리스트 지도자 체포, 미국 안보에 대한 위협 해소 등에 관한 정보를 제공한 사람들에게 보상금을 지급하고 있다. 미 국무부는 지난 5월에도 미국 대기업에 위장 취업해 거액의 돈을 번 북한 정보기술(IT) 노동자의 신원 및 위치 관련 정보에 최대 500만 달러의 현상금을 거는 등 핵·미사일 프로그램 등에 필요한 자금 조달을 위한 북한의 대북 제재 위반에 대해 밀착해 대응하고 있다.

텔레그래프는 이어 “미국과 영국 당국이 북한의 군사 정보 기관인 정찰총국이 통제하는 '악성 사이버 그룹'인 안다리엘의 공격을 받을 수 있는 시설에 대한 공동 지침을 발표했다”면서 “미 국무부는 림종혁이라는 북한 국적자가 이 그룹과 연계되어 있으며, 사이버 공격 자금을 마련하기 위해 미국 병원과 기타 의료 서비스 제공업체를 해킹하여 몸값을 갈취했다고 밝혔다”고 전했다.

‘안다리엘’, ‘오닉스 슬릿’과 같은 이름으로 알려진 이 북한 해커 단체가 북한의 군사 및 핵 프로그램을 위해 국방, 항공우주, 핵, 엔지니어링 관련 기관의 기밀을 노리고 있다는 설명이다.

그 분야 또한 우라늄 처리부터 탱크, 잠수함, 어뢰에 이르기까지 광범위하며, 한국, 영국, 미국, 일본, 인도 등을 표적으로 삼고 있다고 한다. 이와 함께 미 공군 기지, 미 항공우주국(NASA), 방위 계약업체들이 표적이 된 것으로 알려졌다. 실제로 해커들은 3개월 동안 나사 시스템에 액세스했다.

이와 관련해 美 국무부는 “이 그룹의 목표는 군사 기술을 개발하는 미국 및 외국 방위 계약업체로부터 정보를 훔치는 것”이라고 밝혔다.

실제로 미국 당국이 북한의 해커로 지목된 림종혁에 대한 기소장에 따르면 해커들은 3개월 이상 나사의 컴퓨터 시스템에 접근하여 17기가바이트 이상의 기밀 데이터를 추출했다. 또한 미시간과 캘리포니아의 방위 회사, 텍사스와 조지아의 공군 기지의 컴퓨터 시스템에도 접근했다고 미 당국은 밝혔다.

한편 FBI는 “북한 해킹 그룹이 사용한 온라인 계정과 함께 60만 달러 이상의 수익금을 압수했으며 이 돈은 피해자들에게 반환됐거나 반환될 예정”이라고 밝혔다.

[FBI의 최고 수배자 명단에 이름이 오른 북한 림종혁]

미 국무부에 따르면 북한 국적의 림종혁이 안다리엘 소속 해커로 활동한 것으로 알려져 있다. 림종혁은 컴퓨터 해킹과 돈세탁을 공모한 혐의로 FBI의 최고 수배자 명단에 올랐다.

림종혁은 랜섬웨어 소프트웨어를 사용해 미국 병원, 의료회사 컴퓨터 등을 침입한 뒤 금전을 갈취했다. 해당 수익금은 사이버 해킹을 고도화하기 위해 인터넷 서버를 추가 구매하는 데 일부 활용됐다.

림종혁은 평양 및 신의주에 있는 군 정보기관 사무실에서 근무한 적이 있으며 북한에 체류하고 있는 것으로 알려졌다.

평양과 신의주에 기반을 두고 있는 북한 정찰총국 3국 산하 국가배후 해킹 조직인 안다리엘 그룹은 최근 몇 달 동안 미국과 영국 법 집행 기관에 의해 적발된 북한 또는 중국과 연계된 여러 해외 해킹 조직 중 하나이다.

이와 별개로 FBI는 한국, 영국 등과 함께 안다리엘에 대한 사이버 보안 경고를 발표했다. 이에 따라 우리 국가정보원 산하의 국가사이버안보센터도 이날 미국, 영국과 함께 합동으로 합동사이버보안권고문을 공개해 북한 안다리엘의 해킹 활동을 소개했다.

권고문에는 FBI를 비롯해 미국 사이버사령부(CNMF), 미국 사이버인프라보안청(CISA), 미국 국방사이버범죄센터(DC3), 미국 국가안보국(NSA), 영국 국가사이버안보센터(NCSC)가 참여했다. 국정원과 대한민국 경찰청(NPA)도 이름을 올렸다.

권고문은 "안다리엘 해킹 조직은 주로 정권 군사 및 핵무기 개발을 위해 방산, 항공우주, 핵, 해양 등 공학 기관들을 대상으로 민감 기술 및 지적 재산을 절취한다"며 "정찰총국 3국 공격자는 미국 의료기관을 대상으로 랜섬웨어를 유포해 첩보 활동에 자금을 지원하고 있다"고 강조했다.

권고문에 따르면 안다리엘의 다른 이름은 오닉스슬릿(Onyx Sleet), 다크서울(Dark Seoul), 사일런트 천리마(Silent Chollima), 스톤플라이(Stonefly) 등이 있다. 권고문에 참여한 기관들은 “미국과 한국을 겨냥한 파괴적 공격에서 전문화된 사이버 첩보 활동과 랜섬웨어 활동으로 진화했다”고 평가했다.

세계 최대 인터넷 검색 기업인 구글 산하 사이버 보안업체 ‘맨디언트’도 26일 공개한 보고서를 통해 ‘안다리엘’, 분류명 ‘APT45’가 적어도 2009년부터 전 세계적으로 스파이 활동을 벌여왔다고 지적했다.

이번 보고서 작성에 참여한 마이클 반하트 맨디언트 수석분석가는 26일 VOA에 “APT45, 즉 안다리엘은 전통적 정보 탈취 해킹과 금전적 동기의 해킹을 동시에 수행하는 독특한 위협 그룹”이라고 말했다. 특히 “정보를 탈취한 뒤 이를 랜섬웨어 공격에 활용하고, 여기서 얻은 금전적 이득을 다시 정보 탈취에 활용하는 방식을 취했다”고 지적했다.

그러면서 “이들의 주요 목표는 실제 사이버 스파이 활동을 뒷받침하기 위한 것”이라며, “최종적으로 북한의 군사 장비와 핵, 미사일 프로그램 지원에 사용되는 타국 정부의 핵 시설과 연구 기관에 저장된 정보와 우라늄 처리 및 농축, 원자력 발전소, 미사일 레이더 시스템 등의 정보를 표적으로 삼았다”고 밝혔다.

반하트 수석분석가는 이어 “APT45는 지금까지 우리가 봐왔던 다른 북한 해킹조직과는 다른 움직임을 보여주는 것이 특징”이라면서, “정보 탈취를 매개로 금전적 이득을 취하고 이를 다시 정보 취득에 활용하며 궁극적으로는 정권을 위한 핵과 미사일 개발 역량 진전을 지원하고 있다는 점을 주목해야 한다”고 말했다.

그러면서 “이것이 바로 미국과 한국, 영국의 정보기관들이 이같은 활동에 주목하고 경고하는 이유이며, 앞으로도 더 많은 국가 기관과 민간 보안 기업이 협력해 이 같은 사이버 위협에 경종을 울려야 한다”고 강조했다.

['광범위하고 끊임없는' 국가 보안 위협]

눈여겨볼 것은 이번 공개가 크리스토퍼 레이 FBI 국장이 중국 및 기타 외국 단체의 해킹이 미국 국가 안보에 ‘광범위하고 끊임없는’ 위협이 되고 있다고 밝힌 이후 나왔다는 점이다.

이와 관련해 영국 MI5의 켄 맥컬럼 국장은 “작년에 자신의 기관이 지난 3년 동안 중국 활동에 대한 업무를 두 배 이상 늘렸으며 다시 두 배로 늘릴 것”이라고 말했다. 그만큼 중국으로부터의 해킹 위협도 강력해지고 있다는 것이다.

지난 25일, FBI와 영국 정부통신본부(GCHQ)’ 산하 ‘국립사이버안보센터(NCSC)가 발표한 브리핑 노트에 따르면 북한 해커들은 평양과 신의주에 기반을 두고 있으며 방위 계약업체와 의료 서비스 제공업체가 사용하는 소프트웨어의 알려진 취약점을 악용하여 회사 소유의 컴퓨터 시스템에 액세스할 수 있었다.

FBI와 NCSC는 핵, 국방, 항공우주 및 엔지니어링 분야의 광범위한 표적 목록을 공개했다. 해커들은 전투기, 미사일, 위성, 조선, 우라늄 농축 및 원자력 발전소와 관련된 기밀을 훔치려고 시도했다.

이와 관련해 NCSC의 운영 책임자인 폴 치체스터는 “오늘 우리가 폭로한 글로벌 사이버 스파이 활동은 북한의 해커들이 그들의 군사 및 핵 프로그램을 추구하기 위해 얼마나 많은 노력을 기울이고 있는지를 보여준다”면서 “이는 중요 인프라 운영자들에게 도난과 오용을 방지하기 위해 시스템에 보유하고 있는 민감한 정보와 지적 재산을 보호하는 것이 중요하다는 것을 상기시켜 준다”고 말했다.

한편, 북한 해커가 미 사법당국의 추적을 받는 건 이번이 처음은 아니다. FBI는 2021년 북한 해킹 조직 라자루스 그룹 소속 박진혁과 김일, 전창혁을 지명 수배한 바 있다. 이들은 2014년 소니 영화사 해킹과 2017년 워너크라이 랜섬웨어 공격을 일으킨 혐의로 미 법무부에 기소됐다. 다만 박진혁 등이 북한에 거주하는 것으로 알려져 이들이 실제 미국 법정에 모습을 드러낼 가능성은 적다.

같은 이유로 림종혁에 대한 실제 체포도 현실적으론 어려울 것으로 보인다. 미국 정부는 북한의 사이버 활동에 대한 우려를 여러 차례 밝힌 바 있다.

이와 관련해 미국의소리(VOA)는 린다 토머스-그린필드 유엔주재 미국대사가 지난 6월 20일 사이버 안보를 주제로 열린 유엔 안보리 공개회의에서 “전 세계의 위험한 사이버 공격 배후에 있는 범죄자 네트워크를 붕괴시키기 위해 함께 노력해야 한다”며 북한을 거론했다고 보도했다.

그린필드 대사는 특히 “지난 4월 열린 아리아 포물러 방식의 사이버 회의에서 강조됐듯이 여기에는 북한의 악의적인 사이버 활동도 포함된다”며 “이는 북한의 대량살상무기와 탄도미사일 프로그램 자금 조달에 사용된다”고 주장했다.

그러나 북한은 그동안 사이버 공격 사실을 부인하며 이 같은 지적에 반발해 왔다. 북한 외무성은 지난 2022년 2월 7일 홈페이지에 올린 글에서 “우리는 있지도 않은 우리의 사이버공격, 가상화폐 절취설을 내돌리는 미국의 비열한 행위를 우리 국가의 영상 훼손으로, 주권에 대한 심각한 위협과 도전으로 보고 절대로 좌시하지 않을 것”이라고 주장한 바 있다.