[북한 해커, 주한미군 등 국가기관 정보탈취 시도 발각]

북한 해커들이 최신 AI, 즉 인공지능 기술을 활용해 악의적인 사이버 활동을 더욱 강화하고 있는 것으로 나타났다. 특히 이들은 피싱 공격의 정교화, 공격 대상에 대한 연구, 위장취업 등에 AI를 적극 활용하고 있다는 분석도 나왔다. 우리 정부 기관들까지 해킹을 시도하고 있는 북한에 대해 한미 정보당국은 신경을 곤두세우고 있다.

자유아시아방송(RFA)은 지난 1월 31일(현지시간) “북한 해커들이 구글의 인공지능(AI) ‘제미나이’를 활용해 주한미군 작전 정보를 탐색하는 등의 작전을 강화하고 있다”면서 “구글위협정보그룹(GTIG)은 지난달 29일 보고서를 통해 북한을 비롯한 중국·이란·러시아 등 미국의 적대국가들이 제미나이를 활용해 해킹을 시도했다”고 보도했다.

RFA에 따르면 북한 해커들은 미군 및 주한미군 작전 정보 탐색·암호화폐 및 금융 관련 정보 수집·한국의 원자력 기술 및 발전소 관련 연구·다국적 기업 및 주요 기관 조사 등에 AI 기술을 사용했다.

구체적으로는 북한 해커들은 제미나이를 활용해 한국의 원자력 기술과 발전소 관련 연구를 진행하면서 원전의 위치와 최신 뉴스·보안 현황 등의 정보를 수집했으며, 제미나이는 공개적으로 이용할 수 있는 데이터를 이들에게 제공했다. 또 악성코드 개발과 탐지 회피 기술 연구와 해킹된 계정의 자동 로그인 절차 개발 등에도 제미나이가 활용됐다.

또한 구글위협정보그룹(GTIG)는 “북한 해커들은 IT 기업의 위장 취업에도 AI의 도움을 받은 것으로 나타났다”면서 “이들은 AI를 통해 가짜 이력서와 자기소개서를 작성했으며, 취업 정보 및 네트워킹 사이트인 ‘링크드인(Linkedin)’에서 일자리를 검색해 프리랜서로 속여 서방 기업에 위장 취업하려는 정황도 포착됐다”고 밝혔다.

이에 앞서 미국 사이버 분석 기업인 ‘니소스(Nisos)’는 23일 발표한 보고서에서 “북한 IT 노동자들이 디지털(전자상)로 조작된 사진을 활용해 구직 활동을 해왔다”고 밝힌 바 있다.

이와 관련해 킴벌리 샘라 구글 보안 담당 소통 매니저는 31일 RFA에 “북한의 사이버 위협 행위자들이 앞으로도 AI 기술을 적극적으로 연구하고 활용할 가능성이 높다”며 “해킹 작전을 더욱 정교화하고 효율성과 역량을 향상하는 것이 주요 목적”이라고 설명했다.

그러면서 “북한의 AI 활용이 고도화됨에 따라 글로벌 보안 대응이 더욱 강화돼야 한다”고 경고했다.

한편 보고서는 “북한 외에도 이란, 중국, 러시아 해커들 역시 공격 대상에 대한 연구, 악성코드 작성, 피싱 기술 등에 제미나이를 자주 활용하고 있다”고 경고했다.

보고서는 또한 “AI 도구가 해커들의 생산성을 높였지만, 아직 획기적인 능력 향상으로 이어지지는 않았다”고 평가했다.

[北, 법원 전산망 2년간 해킹… 자료 1TB 빼갔다]

이런 가운데 북한의 해킹 조직 ‘라자루스’로 추정되는 집단이 국내 법원 전산망에 침입해 약 2년에 걸쳐 개인정보 등이 포함된 법원 자료 1014GB를 빼낸 사실이 정부 합동조사 결과 드러난 바 있다.

경찰청 국가수사본부(국수본)는 지난해 5월, 국가정보원·검찰과의 합동 수사를 통해 북한 해킹조직은 지난 2021년 1월 7일부터 작년 2월 9일까지 약 2년에 걸쳐 법원 전산망에 침입한 것으로 확인됐다. 법원 전산망에 깔린 백신 프로그램이 악성 프로그램을 탐지하기 전까지 이들은 국내외 8개 서버를 통해 1014GB에 달하는 법원 자료를 외부로 빼돌린 것으로 조사됐다.

수사당국에 따르면 범행에 이용된 악성 프로그램, 가상자산을 이용한 서버 결제내역, IP 주소 등을 종합해 기존 북한 해킹조직의 소행으로 밝혀진 사건들과 비교한 결과 이번 사건은 북한 해킹조직 ‘라자루스’ 소행인 것으로 파악됐다.

현재까지 유출된 자료 중 피해 내역이 구체적으로 확인된 자료는 전체의 0.5%에 불과한 것으로 알려졌다. 작년 2월 법원이 해킹 사실을 감지한 이후 경찰 수사가 시작되기까지 서버에 남아있던 유출 자료들이 삭제됐기 때문이다. 해킹 조직의 최초 진입 시점이나 원인, 의도도 파악되지 않았다.

이와 관련해 경찰청 사이버테러대응과는 경기도 성남 분당에 있는 대법원 전산정보센터를 압수수색한 결과, 사법부 전산망이 2022년 말부터 지난 2023년까지 다섯 차례에 걸쳐 북한 정찰총국 소속 해커그룹 ‘라자루스’로부터 해킹 피해를 당했고, 335기가바이트에 이르는 데이터가 유출된 것으로 알려졌다.

[북한 라자루스, 국내 방산업체 10곳도 해킹]

라자루스 등 북한 해킹 부대가 국내 방산기술을 탈취하기 위해 전방위로 공격한 정황이 경찰에 포착됐다. 지난해 1~2월 국내 방산업체 83곳을 특별 점검한 결과 대기업 방산업체 등 10여곳이 기술 자료를 탈취당하는 등 해킹 피해를 본 것으로 나타났다는 것이다. 피해 업체들은 길게는 1년 이상 북한의 해킹 사실조차 파악하지 못한 것으로 드러났다.

북한 해킹부대는 김정은 총서기의 지시를 받고 움직이는 것으로 파악됐는데, 보통 라자루스는 금융기관, 안다리엘은 군 안보기관, 김수키 등은 정부 기관 등을 목표로 역할을 분담했지만 이번엔 세 조직이 방산 기술을 탈취하기 위해 일사불란하게 움직인 것으로 보인다.

이번 공격의 특징은 방산업체를 직접 해킹하는 것 외에도 협력업체 등을 먼저 공격한 뒤 얻은 정보를 바탕으로 기술 자료를 탈취했다는 점이다. 특히 라자루스는 지난 2022년 11월부터 최근까지 A 방산업체 외부망 서버를 악성코드로 감염시킨 뒤, 망 연계 시스템이 취약하다는 점을 이용해 내부망에 침투했다. 이후 A사 개발팀 직원의 컴퓨터 등 내부망에 있던 자료를 자신들의 해외 서버로 빼돌린 것으로 드러났다.

피해 방산 업체 중 대부분은 지난 1~2월 경찰이 특별 점검을 했을 때까지 해킹 사실을 전혀 모른 것으로 알려졌다. 이와 관련해 수사 관계자는 “해킹 공격은 대부분 2022년 10~11월에 발생한 것으로 추정되지만, 악성코드가 최근까지 살아있었기 때문에 자료가 계속 탈취됐을 가능성이 있다”고 밝혔다.

[北, 사이버탈취 6년간 4조원대…핵개발 재원의 40% 조달]

한편, 유엔 안전보장이사회(안보리) 산하 대북제재위원회는 지난해 4월, “북한이 해킹과 사이버 공격을 통한 금전 탈취로 전체 외화 수입의 절반을 조달하고, 이 자금으로 핵무기 등 대량살상무기(WMD) 개발 재원의 40%를 충당했다”면서 “추가 핵실험은 없었지만 북한이 유엔 제재를 피해 추가로 핵무기를 개발하고 핵분열성 물질을 생산해왔다”고 평가했다.

대북제재위원회는 전문가 패널 연례보고서를 통해 "보고 기간인 지난 2023년 7월부터 2024년 1월까지 6개월간 한반도의 군사적, 정치적 긴장이 더욱 늘어났다"고 밝혔다.

안보리의 경제 제재로 정상적인 무역 활동으로는 핵무기와 미사일 개발에 필요한 외화를 획득할 수 없게 되자 사이버 공격을 주된 외화벌이 수단으로 벌였다는 것이다.

이와 관련, 패널보고서는 “북한이 해킹, 사이버 공격 등 악의적 사이버 활동은 전체 외화벌이의 약 50%를 조달했다”면서 “대량살상무기 개발 프로그램 재원의 40%가 이 같은 불법적인 사이버 수단으로 조달됐다”고 지적했다.

패널보고서는 특히 “지난 2023년 북한이 관여한 것으로 의심되는 가상화폐 탈취 사건 17건을 조사한 바 있는데, 탈취 규모는 총 7억5천만 달러(약 1조원)에 달한다”고 밝혔다.

패널보고서는 또한 “지난 2017∼2023년 북한이 가상자산 관련 회사를 상대로 사이버 공격을 벌여 탈취한 금액이 약 30억 달러(약 4조원)로 추산되며, 이와 관련한 의심 사건 58건을 조사했다”고 설명했다.

이와 관련해 한 사이버 업체는 이 같은 북한을 두고 "세계에서 가장 왕성하게 활동하는 사이버 도둑"으로 묘사했다고 패널은 전했다.

[中해킹그룹, 美정부 감청망 뚫어 정보 수집, 사법부 도청도]

우리 정부를 향한 해킹은 북한만 하는 것이 아니다. 중국의 해킹그룹도 한국을 비롯한 미국 등 각국의 정부를 겨냥한 해킹 공격을 꾸준히 하고 있다.

지난해 10월에도 중국 해킹그룹이 미국의 주요 인터넷 서비스 업체를 공격해 미 연방정부의 감청 시스템에 접근한 것으로 나타났다. 이와 관련해 월스트리트저널(WSJ)은 “‘솔트 타이푼(Salt Typhoon)’으로 명명된 중국 해킹그룹이 버라이즌, AT&T, 루멘 테크놀로지스 등 미국 내에서 인터넷 서비스를 제공하는 사업자들의 네트워크에 침투했다”면서 “솔트 타이푼은 이들 업체의 네트워크에 연결된 미 당국의 감시망에 접근해 정보를 수집한 것으로 파악됐다”고 전했다.

WSJ은 이어 “중국의 솔트 타이푼이 해외정보 감시시스템에도 접근해 실제정보를 탈취했을 가능성이 있다”며 “솔트 타이푼은 지난 2020년부터 주로 북미 및 동남아시아에서 데이터 도용, 네트워크 트래픽 캡처(네트워크상에서 자신이 아닌 다른 상대방들의 데이터 덩어리를 몰래 수집하는 행위) 등의 활동을 벌이고 있다”고 밝혔다.

워싱턴포스트(WP)도 지난해 2월,“중국의 해킹단체가 한국 등 20여개국의 정부기관들을 대상으로 지난 8년 넘게 해킹공작을 해 왔다”고 보도한 바 있다.

그런데 우리나라의 입법부, 사법부, 선거관리위원회 등은 아직도 북한이나 중국의 해킹에 대해 너무 둔감하고 이에 대한 제대로된 대응을 하지 못하고 있는 것으로 보인다. 알고도 눈을 감고 있는 것인지, 아니면 둔감한 것인지 도대체 알 수가 없다. 지금이라도 제발 정신차리기 바란다.