출처 : https://www.yna.co.kr/view/AKR20230405170800072?input=1195m

북한 정찰총국 산하 해킹단체들 조직도

[유엔 안보리 산하 대북제재위원회 전문가패널 보고서 캡처]

(뉴욕=연합뉴스) 강건택 특파원 = 북한의 해커들이 우방인 러시아를 도와 우크라이나를 사이버 공격한 정황이 드러나 유엔 전문가 패널이 조사에 나섰다.

정찰총국 산하 해커들은 역대 최대 수준의 가상화폐를 훔친 것으로 추정된다는 보고도 잇따랐다.

5일(현지시간) 공개된 유엔 안전보장이사회(안보리) 산하 대북제재위원회 전문가패널 보고서에는 갈수록 정교해지는 북한 사이버 행위자들의 공격 수법이 예년보다 자세히 기술됐다.

이들은 수익 창출 또는 핵무기 등 기밀정보 입수를 위해 각종 사이버 공격을 저질렀다고 전문가패널은 진단했다.

◇ 라자루스, 러시아의 우크라 침공 측면 지원(?)

보고서는 북한에서 가장 위협적인 사이버 행위자들을 정찰총국 제3국(기술정찰국)에 소속된 산하 단체 김수키, 라자루스 그룹, 안다리엘이라고 명시했다.

이들 해커는 다른 사람이나 단체로 위장해 백도어 멀웨어(악성 소프트웨어)를 뿌리고 스피어피싱(특정한 개인 또는 단체를 겨냥한 사이버 피싱) 공격을 감행해 "북한에 귀중한" 정보를 도둑질할 수 있었다.

눈에 띄는 공격 대상 중 하나는 러시아의 침공을 받는 우크라이나였다.

전문가패널에 따르면 한 사이버보안 회사는 지난해 11월 자체 보고서에서 "우크라이나에서 활동하는 또 다른 APT(지능형 지속위협) 그룹은 북한 정부와 연계된 라자루스"라고 언급했다.

라자루스는 지난해 6월 우크라이나의 한 정부 기관을 타깃으로 삼아 "지식재산 도둑질을 목표로 전통적인 사이버 스파이 행위를 한 것으로 보고됐다"고 이 회사가 전했다.

패널은 이러한 사이버 스파이 행위에 대해 계속 조사 중이라고 밝혔다.

◇ 北해커들이 노린 정보는 '핵·군사·에너지…'

기밀정보를 노린 사이버 공격의 타깃은 주로 군사와 에너지, 인프라 등의 분야에 집중된 것으로 나타났다.

사이버 보안회사들의 보고들을 종합하면 김수키는 '애플시드'라는 이름의 백도어 멀웨어를 구매 주문서나 신청서 등으로 위장해 군기지 보수업체와 원전 관련회사 등에 배포, 피해자 계정 정보는 물론 컴퓨터 폴더와 파일까지 빼냈다.

김수키는 'SHARPEXT'라는 이름의 악성 브라우저 확장프로그램도 사용해 피해자 이메일을 해킹하고 정보를 훔친 것으로 조사됐다. 이러한 공격은 여러 나라의 핵무기 관련 기관들과 그밖에 북한이 국가 안보에 필요하다고 여기는 분야의 단체들을 주로 겨냥했다고 전문가패널은 전했다.

라자루스도 루트킷 악성코드로 한 항공우주 회사 직원을 포함해 방산회사, 전통적인 금융기업, 가상화폐 회사를 주로 겨냥했다.

일명 '징크'로도 알려진 라자루스는 오픈소스 애플리케이션의 멀웨어 버전을 만들어 역시 방산·항공우주 분야에서 '데이터 도둑질'을 시도했고, 지난해 2∼7월에는 자바 기반 로킹 유틸리티인 '로그포제이'의 취약성을 이용해 여러 국가 에너지 회사들의 네트워크를 노렸다.

북한 연계 해킹 피해액 그래프

[유엔 안보리 산하 대북제재위원회 전문가패널 보고서 캡처]

◇ 작년에만 최대 1조3천억원…北 가상화폐 도둑질 '신기록'

북한 해커들이 지난해 훔친 가상화폐 액수는 역대 최대 규모일 것으로 추정된다.

보고서는 북한이 지난해에만 6억3천만달러(약 8천272억원), 2017년 이후로는 약 2억달러(약 2천626억원)의 가상화폐를 각각 탈취한 것으로 보인다는 한국 정부의 추정치와 작년에만 북한이 10억달러(약 1조3천130억원) 이상의 가상화폐 절도를 저질렀다는 한 사이버 보안회사 분석 결과를 함께 인용했다.