전문가 “北해커, 사회적 혼란 야기 위해 역량집중…
핵기술 탈취 위해 해킹 시도할 수도”
5차 핵실험 이후 북한의 다음 도발 카드는 무엇일까? 10월 10일(당 창건 기념일)을 기점으로 장거리 미사일 발사 강행 가능성과 함께 대규모 사이버테러가 임박했다는 관측이 나온다. 과거 북한이 핵실험 이후 대규모 사이버 공격을 했던 사례를 비춰볼 때, 이미 북한 해커조직이 준비에 착수했고 최고지도자의 결심만 있다면 언제든 대규모 공격을 강행할 수 있다는 우려다.
실제 북한은 2차 핵실험(2009년 5월 25일)직후인 2009년 7월, 청와대 등 정부기관과 금융사, 포털 사이트를 공격해 7.7 디도스(DDoS·분산서비스거부)대란을 일으킨 바 있다. 3차 핵실험 직후(2013년 2월 12일)에는 3.20 및 6.25 사이버테러를 통해 언론, 금융사, 청와대 및 주요 정부기관의 시스템을 마비시키고 정부 주요인사 등의 신상정보를 대량으로 탈취하기도 했다.
올해 초 4차 핵실험 이후에도 북한은 다양한 영역에서 우리 사회를 대상으로 한 사이버 테러를 시도했다. 철도운영기관 직원들을 대상으로 ‘피싱 메일’을 유포(1월)하거나 한진 ,SK그룹 등 국내 방위산업 관련 문서 4만여 건을 탈취(6월)한 사건도 일으켰다. 북한 사이버 테러 영역이 점차 확대되고 있다는 의미다.
더욱 우려스러운 것은 북한의 사이버테러가 ▲장기간에 걸쳐 준비되고 있다는 것과 ▲침투에 성공했어도 바로 공격하지 않고 숨어서 특정 시기를 기다린다는 점이다. 한진·SK그룹 관련 해킹 사건 조사결과 북한해커 조직이 20개월에 걸쳐 공격을 준비한 사실이 드러나기도 했다.
또한 일부 그룹에 대해선 사이버테러가 가능한 수준의 서버와 PC 통제권을 탈취하고도 즉시 공격하지 않고 은닉시켰다는 사실도 밝혀졌다. 추가 사이버 공격을 위해 지속적으로 해킹을 시도한 것이다. 북한이 공격대상을 이미 물색·통제권을 확보 후, 공격 시점만 노리고 있다는 우려가 나오는 이유다.
北 해커그룹, 대규모 인명피해·사회적 혼란 야기위해 역량 집중
이와 관련 최상명 하우리 CERT(컴퓨터비상대응팀) 실장(사진)은 최근 데일리NK와의 인터뷰에서 “북한은 국가적 규모의 사이버테러를 준비하고 있는 것으로 보인다”면서 “이를 통해서 대규모 인명피해, 사회적 혼란을 일으킬 속셈이 있는 것”이라고 지적했다.
최 실장은 “현재 북한의 해커그룹은 군사분야, 방산업체 등 대규모 인명피해를 일으킬 수 있는 쪽에 역량을 집중하고 있는 것 같다”면서 “디도스 공격·은행 등 금융권 공격은 이미 수차례 시도했기 때문에 좀 더 큰 충격을 준비하고 있는 것 같다. 최근의 북한 악성코드를 분석해 봐도 큰 인명피해를 일으킬 수 있는 곳들을 노리고 있다는 점을 확인할 수 있다”고 덧붙였다.
국내에서 손에 꼽히는 보안 전문가인 최 실장은 사이버전 악성코드 전문 추적그룹 이슈메이커스랩(IssueMakersLab)의 리더이기도 하다. 2008년부터 북한의 해커조직을 집중적으로 추적해 온 그는 “북한은 2000년대 초반부터 우리 사회를 대상으로 한 해킹공격을 해왔다”면서 “지금은 그 규모, 위험수준이 차원이 달라진 만큼 더욱 심각해진 상태”라고 강조했다.
최 실장은 김정은 집권 이후 북한 사이버테러 경향에 대해 ▲시도가 많아졌고 ▲대담해졌으며 ▲무엇보다 대규모로 이뤄지고 있다고 설명했다.
그는 “김정일이 준비했던 것들을 김정은이 완성시켰다고 본다”면서 “김정일이 사망하기 전까지 국내 언론 등에 알려진 공격 등은 2009년 디도스 사건과 2011년 3월 농협 전산망 마비사건 정도가 대표적이었다. 하지만 김정은 시대엔 일일이 열거하기 힘들 정도로 굵직한 사건이 많다”고 지적했다.
또한 그는 “김정일 시대엔 사이버테러 형태의 대부분이 디도스 공격 형태로서 사이트 접속을 불량하게 만들거나 서비스를 마비시키는 등 ‘보여주기’식 형태가 많았다”면서 “(그런데)김정은 시대엔 ‘보여주기’식 공격도 있지만 다양한 타겟을 목표로 대규모 공격이 이뤄지고 있다. 2014년 한국수력원자력을 해킹한 것과 같이 ‘사회적 혼란’을 야기하는 공격에서부터 외화벌이를 위한 공격까지 형태가 다양해졌다”고 설명했다.
김정은 집권 이후 북한 해커조직의 변화상에 대해 최 실장은 “김정은 시대엔 해커조직들도 일종의 충성경쟁을 벌이고 있는 것 같다”면서 “이를 테면 정보수집만을 전담해왔던 해커 그룹이 적극적으로 공격을 시도하는 것이 그 사례”라고 지적했다. 비교적 뚜렷하게 역할이 분화되어 있던 북한 해커그룹들이 전방위적으로 합종연횡하면서 우리 사회 내부를 교란시키고 있다는 것.
북한 김정은이 ‘사이버전은 만능의 보검’이라고 언급하는 등 비대칭전력의 일환으로 사이버테러 역량을 집중하고 있는 것에 대해서는 “흔적을 남기지 않고 많은 피해를 입힐 수 있고 또 동시에 많은 것을 얻어낼 수 있기 때문”이라면서 “북한의 군사력이나 핵·미사일 발전을 위해선 최신 기술이 필요한데, 이런 기술을 해킹을 통해 탈취하는 시도를 하고 있다고 볼 수 있다”고 지적했다.
北 랜섬웨어 이용한 공격 펼칠 것…민관 협업체계 갖춰 정보공유 강화해야
한편, 북한의 사이버테러가 가시화되는 상황에서 최 실장은 가장 우려되는 공격으로 랜섬웨어(Ransomware)를 꼽았다.
랜섬웨어는 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 스프레트시트, 그림파일 등을 암호화해 열지 못하도록 만든 후 돈을 보내주면 해독용 열쇠 프로그램을 전송해 준다며 금품을 요구하는 악성 프로그램을 의미한다. ransom(몸값)과 ware(제품)의 합성어로 컴퓨터 사용자의 문서를 ‘인질’로 잡고 돈을 요구한다고 해서 붙여진 명칭이다.
최 실장은 “북한 해커 조직이 랜섬웨어를 활용한 공격을 할 가능성이 큰 것으로 보고 있다”면서 “충분한 기술을 가지고 있고 이에 대한 준비도 하고 있는 것으로 보인다”고 밝혔다.
또한 최 실장은 “특히 이 공격에선 가상화폐인 비트코인(Bitcoin)을 몸값으로 요구할 가능성도 커 보인다. 최근의 인터파크 해킹 사례를 보더라도 북한이 비트코인의 가치를 알고 있고, 준비가 되어 있다고 볼 수 있다”면서 “실제로 북한의 민간 인터넷인 조선엑스포 사이트를 보면 비트코인과 관련된 거래 솔루션 및 프로그램도 만들어 놓은 것을 확인할 수 있다”고 지적했다. 북한이 비트코인 관련 기반을 구축했다는 의미로 랜섬웨어를 통해 한국 사회를 공격하는 한편 새로운 외화벌이로 활용할 수 있을 것이란 우려다.
최 실장은 북한해커가 랜섬웨어 공격을 본격적으로 시작한다면 속수무책으로 당할 피해자가 많이 발생할 것이라고 지적했다. 랜섬웨어에 감염 되면 파일이 모두 암호화되기 때문에 피해 대상자들은 암호화 된 파일을 복구하기 위해 공격자에게 돈을 줄 수밖에 없다는 것이다. 이를테면 병원의 경우, 환자 데이터를 암호화시킨다면 병원 측은 난감한 입장에 처하게 된다.
민간이 북한의 랜섬웨어 공격의 표적으로 거론되는 것과 관련해 최 실장은 “SK나 대한항공 같은 경우를 보면 알겠지만 대기업이라고 하더라도 공격을 다 막아낼 수 있는 것은 아니다”면서 “어느 한 기업의 노력으로 대비하기엔 한계가 있다”고 지적했다.
최 실장은 “북한이 공격하고 있는 부분들을 더 넓게 보고 대비할 수 있도록 협력할 수 있는 기회가 많아져야 한다”면서 “민관 협업체계를 갖춰 정보공유를 강화할 필요성이 있다”고 강조했다.2016.9.27.데일리NK
우리의 기도 :
“싸울 날을 위하여 마병을 예비하거니와 이김은 여호와께 있느니라(잠21:31)”: 하나님, 북한이 언제 어떤 방법으로 공격하여 남한에 피해를 주고 사회를 혼란스럽게 할지 모르는 상황을 아뢰며 기도합니다. 다시 예상하기를 대규모 사이버 공격을 취할 수 있다고 하는 상황 속에서 남한의 국민들과 전문가들이 이에 대해 경각심을 갖게 하시옵소서. 지금까지 북한이 해온 사이버 공격의 패턴을 보면서 민관의 전문가들이 공격에 방어할 수 있는 시스템을 갖추게 하옵소서. 하나님, 전산이 마비됨으로 인해 빚어질 사회적 혼란이 일어나지 않도록 우리가 잘 준비함으로 그 피해가 없도록 지혜를 허락하시옵소서. 예수님의 이름으로 기도합니다. 아멘.