돈벌이 나선 北 해커..11개국서 1조원 넘게 탈취 시도

사진=연합뉴스

[이데일리 이재운 기자] 북한이 정권 차원에서 운영하는 새로운 해킹그룹이 발견됐다. 기존 북한 해커들이 남한에 대한 사회적 교란을 목적으로 했다면, 평화 분위기 속에 점차 제3국에 대한 ‘돈벌이’에 나서고 있다는 분석이 강해지고 있다.

4일 미국 사이버 보안업체 파이어아이는 북한 정권의 지원을 받는 새로운 공격자 그룹인 APT38에 대해 분석한 세부내용을 발표했다. 파이어아이는 “이 그룹은 전 세계 금융 기관으로부터 수백만 달러를 훔치고 파괴적인 악성 코드를 이용해 공격 대상의 네트워크를 작동 불가능하게 만드는 등 대규모의 사이버 범죄 행위를 실행했다”고 설명했다.

‘남한 사회 교란→정권 위한 외화벌이’ 방향 변경

북한 해커 집단은 정권의 지원 속에 남한 사회 교란을 위한 사이버 공격을 주로 해왔다. 2009년 7·7 디도스(DDoS·분산형 서비스 거부공격) 사태, 2013년 금융사와 방송사를 대상으로 한 3·20 사이버 공격, 2014년 한국수력원자력 해킹 공격 등이 대표적인 사례다.

하지만 이후 남한 정부와 기업, 기관들이 보안 태세를 강화하고, 여기에 현 정권 들어 평화 분위기가 조성되는 등 환경이 변화하자 이들의 기류도 변화하기 시작했다. 여기에 북한이 오랜 기간 미국의 경제제재로 통치 자금 확보에 애를 먹으면서 외화벌이에 내몰렸다.

2016년을 전후해서는 중국 등에서 활동하는 북한 해커들이 모바일 앱 개발 외주 작업 등에 동원되고 있다는 소식이 퍼지기도 했고, 그해 국제송금망(SWIFT)을 통해 방글라데시중앙은행 계좌를 해킹하며 제3국에 대한 외화벌이 목적의 공격이 등장했다.

물론 이때가 남한이 아닌 다른 국가에 대한 첫 대형 해킹공격 사례는 아니다. 2014년 미국 영화제작사인 소니픽처스가 자신들의 통치자인 김정은 국무위원장을 희화화하는 영화 ‘인터뷰’를 제작해 개봉하자 이에 대한 보복으로 해킹한 바 있었다. 하지만 이제는 돈벌이에 더 주력하는 모습이다.

“APT38, 1조원 이상 탈취 시도..흔적 감추려 파괴 시도”

이번에 새로 확인된 APT38은 2014년 소니픽처스 해킹에 연루된 것으로 파악된 북한 해킹그룹 라자루스와의 유사성이 확인됐다고 파이어아이는 밝혔다. 사용한 악성코드 종류나, 공격 패턴을 분석한 결과다. 동시에 기존 북한계 해킹그룹과는 다른 행동을 보여 새로운 집단으로 분류했다는 설명이다.

파이어아이가 공개한 APT38 해킹그룹의 수명주기. 파이어아이 제공

파이어아이는 이 집단이 적어도 2014년 이래 최소 11개 국가에서 16개가 넘는 금융기관을 공격했다고 발표했다. 탈취 시도한 금액 규모는 11억달러(약 1조2370억원) 이상으로 확인됐다. 때로는 동시에 여러 곳에 대한 공격을 진행하는 점으로 미뤄볼 때 이 그룹이 광범위한 자원을 가지고 대규모 다수의 공격을 가한다는 사실을 알 수 있다고 덧붙였다.

앞서 올 4월 역시 파이어아이가 북한 해커조직 ‘리퍼’의 행적을 쫓던 중 중동의 한 국가와 무기거래 과정에서 문제가 생기자 이들에 대한 해킹 시도를 진행한 점을 포착해 공개한 바 있었다.

파이어아이는 “APT38은 공격 활동의 일환으로 공격적으로 증거 또는 대상의 네트워크를 파괴하는 것을 두려워하지 않는다는 점에서 독특하다”며 “이러한 태도는 아마 이 그룹이 그 흔적뿐 아니라 자금 세탁까지 감추려 한 시도의 결과로 보인다”고 밝혔다.

물론 보안 전문가들은 이들이 완벽한 평화가 오기 전까지는 여전히 남한의 취약한 부분을 계속 탐색하며 정보수집 등의 역할을 하고 있는만큼 방심하면 안 된다고 지적한다.