다양한 목적을 달성하기 위한 북한의 사이버 공격

2024-03-01

Write By HyunSang Park

최근 조선민민주의인민공화국(약칭 북한)의 사이버 공격은 대한민국의 심각한 사이버 보안 위협으로 다가오고 있다.
이러한 공격은 조선로동당과 정찰총국의 소속의 해커들이 수행하는 것으로 보이며, 이러한 공격은 군사 기술 및 정보를 획득할 목적과 더불어 사회 혼란을 야기(惹起) 시키기 위한 목적으로 수행되고 있다.
이러한 북한의 국가배후 해킹단체에서 어떠한 해킹 시도를 하는지와 더불어 어떻게 대비하고 있는지, 각종 보고서와 논문을 토대로 분석하고자 한다.

우리 정부 흔들기 목적의 북한 사이버 도발
북한이 우리나라를 적대국으로 규정하는 등 도발이 우려되는 상황, 기반시설이나 대민 행정서비스를 마비시켜 사회 혼란 획책 가능
랜섬웨어 유포 및 가상자산 탈취 등 돈벌이 목적 해킹
북한이 우리나라를 적대국으로 규정하는 등 도발이 우려되는 상황, 기반시설이나 대민 행정서비스를 마비시켜 사회 혼란 획책 가능 -
국가사이버안보센터 2024년도 사이버 위협 전망 중.

본 게시물은 참고 문헌의 내용을 인용 및 참고하여 작성하였다.

본 글은 학술적 가치보다 개인의 학습을 위해 작성하였음을 미리 알린다. 또한 북한의 사이버 능력을 평가하여 조심하자는 의미로 작성한 글이며, 북한을 찬양고무를 하지 않는다.

서론

대한민국에서도 국가 배후 해킹단체에 의한 공격이 증가되고 있으며, 국가정보원 및 경찰청, 국군방첩사령부, 국가정보원 국가사이버안보센터 협동분석협의체를 통하여 민관군이 협동하여 대응하고 있다. 이러한 공격은 대부분 조선민주주의인민공화국 정찰총국 제3국 기술정찰국과 제7국 후방지원국에서 사이버전을 담당하고 있다.

북한이 불법적 사이버 공격을 광범위하게 감행하고 있다. 북한이 불법적 사이버 활동을 통해 확보한 수익은 핵 · 미사일 능력을 지탱하기 위해 자금이 절실한 김정은 정권에 현금 공급망이 되어 비핵화를 위한 국제사회의 노력에 장애물로 작용하고 있다. 2010년 김정일은 “현대전쟁은 기름전쟁, 알(탄약) 전쟁으로부터 정보전쟁으로 바뀌었다"라며 “정보전부대는 핵무기와 함께 나의 배짱이고 예비대"라고 강조하는 등 사이버전략의 중요성을 역설하 바 있다. 김정은 시대에 이르러 역시 사이버전을 “핵 · 미사일과 함께 함께 우리 인민군대의 무자비한 타격능력을 담보하는 만능의 보검"으로 부를 정도로 현대 정치와 군사 경쟁에서의 핵심으로 간주하고 있다. 조선로동당과 최고지도자 김정은의 지시하에 무력단체와 정보기관이 사이버 공격을 담당하고 있는 것으로 알려져 있다.

북한의 사이버 작전부대

북한 소행으로 의심되는 대부분의 사이버 작전은 조선인민군 총참모부 정찰총국의 6개국 중 일명 ‘121국’(별칭 ‘사이버전지도국’)에서 관할하는 것으로 추청되고 있다. 121국은 허위정보, 사이버 범죄, 스파이 활동을 게시하는 6천여명의 상근 사이버 요원 및 지원 인력을 보유하고 있다.

121국 산하에는 라자루스(Lazarus), 블루노르프(BlueNorOff), 안다리엘(Andarial) 등의 해킹그룹이 있으며 소속 해커들은 대부분 벨라루스와 중국, 인도, 말레시아, 러시아 등의 해외에서 활동하고 있다.

정찰총국을 비롯하여 1995년 설립된 100여명 수준의 조선로동앙 중앙당 35호실(정찰총국 해외정보국) 기초자료조사실은 중앙당 부서에 필요한 다른 나라 국가기관, 단체, 개인에 관한 기밀자료를 인터넷을 기반으로 해킹한다. 1999년 설립된 200여명 수준의 조선인민국 총참모부 적공국 204소는 대한민국 국군과 청소년, 일반인을 대상으로 사이버 심리전 펼치고 있다.

김수키(Kimsuky)

  • 정찰총국 산하조직으로 2010년 이래 활동한 것으로 추청됨.
  • 북한 정권의 글로벌 정보수집 임무를 담당함.
  • 주요 해킹기술: 일반적인 사회공학 전술, 스피어피싱, 워터링 홀 공격 등을 사용하여 피해자로부터 원하는 정보 색출
  • 대표적인 해킹 사례: 2021년 한국원자력연구원, 한국항공우주산업, 대우조선해양, 서울대학교병원 등 해킹, 2022년 태영호 국회의원실 사칭을 통한 대한민국의 외교안보전문가 및 기관 해킹

블루노로프(BlueNoroff)

  • 정찰총국 121국 산하조직으로 약 1,700여명의 규모로 알려져 있으며 2014년초 최초 활동 포착.
  • 금전적인 수익을 얻을 수 있는 곳만 공격함.
  • 주요 타켓: 대한민국을 포함한 글로벌 금융회사, 카지노, 가상화폐거래소, 금융 거래 관련 소프트웨어 개발사 등.
  • 대표적 해킹 사례: 2016년 방글라데시 중앙은행 해킹, 폴란드 금융감독원 해킹, 2018년 칠레 은행 해킹.

안다리엘(Andariel)

  • 정찰총국 121국 산하조직으로 약 1,600여명의 규모로 알려져 있으며 2016년 최초 활동 포착.
  • 무기개발 관련 정보 획득 및 경제적 이익 창출을 위한 해킹 활동.
  • 주요 타겟: 국내 방위산업체, 보안업체, 에너지 연구소, 국방 관련 기구를 비롯 도박게임, 여행사, 암호화폐거래서, ATM 기기 등.
  • 대표적 해킹 사례: 2016년 국방통합데이터센터 해킹, 2021년 한국항공우주산업(KAI) 해킹, 2023년 국내 방산업체 등의 주요 기술자료 해킹 및 랜섬웨어 공격.

북한의 악명높은 해커로는 박진혁, 전창혁, 김일 등이 있으며, 2021년 2월 미 법무부에 전세계 은행과 기업을 상대로 13억 달러를 훔치려 한 혐의로 기소되었으며 이들의 자금세탁을 도운 갈렙 알라우마리에게 징역 11년 8개월이 선고하였다. 박진혁, 전창혁, 김일의 경우 FBI로부터 영장이 발부되어 있으며, FBI에서 지속적으로 추적하고 있다.
박진혁의 경우에는 조신민주주의인민공화국 외무성은 박진혁의 존재 자체를 부인하고 있다.
미 재무부의 북한 제재대상에 올라 있는 북한 해커들의 위장회사인 ‘조선엑스포합영회사’에서 10년 이상 근무하고 있는 것으로 알려져 있다.

북한의 사이버 공격

암호화폐 거래소 공격을 통한 핵개발 자금 확보

조선민주주의인민공화국(약칭 북한) 은 암호화폐 거래소를 대상으로 사이버 공격을 수행하고 있다. 이는 북한의 UN 안보리 결의로 인하여 북한은 외환거래는 불가능하며, 이러한 상황에서 암호화폐 거래소를 해킹하여 암호화폐 탈취 및 환전하여 외화를 획득하고 있다. 2000년대 후반 이후 사이버 공격의 방향을 은행과 암호화폐 거래소 등 금융기관으로 이동하였으며, 이러한 방향성은 정치적 목적보단 재정적 이유로부터 출발하였다.
예전에 북한의 경우에는 마약과 석탄을 팔아서 외화를 벌고 있었지만, 지속적인 핵 개발로 인하여 국제사회는 유엔 대북제재를 발표하여 국제사회와의 교류가 불가능하게 만들었다.
이러한 유엔 대북제재를 회피하고 자신들을 핵과 무기 개발을 위해 사용되고 있다. 안타까운 점은 핵과 무기 개발을 위해 사용되는 비용을 북한들의 인민(사람)들을 위해 사용한다면 북한의 북한은 2016년 2월, SWIFT(Society for Worldwide Interbank Financial Telecommunication, 국제은행간통신협회)를 해킹하여 방글라데시 중앙은행이 뉴욕 연방준비은행에 예치하고 있던 1억 100만달러를 탈취하였다.
코인엑스(CoinEX) 거래소를 해킹하여 4,300만 달러를 탈취하였으며, 이러한 공격을 통해서 북한은 지속적으로 WMD(Weapon of Mass Destruction, 대량살상무기)를 개발함에 있어서 필요한 자금을 확보하고 있다. 이러한 북한의 지속적인 해킹 공격은 대한민국 정부와 미국 정부에서도 주의를 기울이고 있으며, UN 안보리 대북제재위원회 보고서에서도 북한의 사이버공격 능력이 주요 외화벌이 수단으로 전략하여 사용하다고 있다는 점을 강조하고 있다.
북한의 사이버공격을 통해 거둔 수입으로 핵과 미사일 개발을 비롯하여 WMD(Weapon of Mass Destruction, 대량살상무기) 개발에도 이용되고 있다.
북한의 사이버 공격을 통한 수입은 조선로동당 39호실에서 관리하고 있다. 조선로동당 39호실은 김씨일가의 비자금과 비롯하여 외환관리를 하고 있는 것으로 알려져 있다.
한국에서의 북한과의 금융거래는 공중 등 협박목적 및 대량살상무기확산을 위한 자금조달행위의 금지에 관한 법률 (약칭: 테러자금금지법) 및 외국환거래법에 의하여 철저하게 금지되고 있으며, 거래하는 경우 관련 법령에 의하여 처벌 받을 수 있다.

핵능력 강화를 위한 다양한 사이버 공격

2013년 3월 31일 북한(김정은 정권)은 당 중앙위원회 전원회의에서 경제건설과 핵무력 건설을 동시에 발전시키는 새로운 전략적 노선인 ‘경제핵무력병진노선’을 채택하고, 동년 4월 1일 제 12기 제7차 최고인민회의에서 이를 법적으로 보장하는 조치를 단행하였다.

경제핵무력병진노선(2013.03.31~2018.04.20 / 주체 102.03.31~107.04.20) 을 새로운 전략노선으로 설정하여 핵능력을 꾸준히 증강하여 핵무력 완성을 선언(2017.11 / 주체 106.11)함에 따라 핵실험과 연계된 사이버 공격을 감행하였다.

2013년 2월 제3차 핵실험에 맞추어 방송사와 금융권에 대한 사이버 공격(2013.3.20. / 일명 3.20 전산망 마비사태)과 청와대 및 주요 정부기관에 대한 사이버 공격(2013.6.25. / 일명 6.25 사이버 테러)을 감행하였다.

3.20 사이버 테러 이후 대한민국 정부는 사이버 테러(공격)에 대한 경각심을 가지게 되었으며, 국가정보원을 필두로 하여 미래창조과학부, 국방부, 행정안전부 등의 정부부처와 함께 사이버보안 강화 대책을 내놓게 되었다.

2016년 1월, 제 4차 핵실험 감행에 맞추어 청와대 사칭 이메일 공격을 감행하였으며, 2016년 9월 제 5차 핵실험과 연계하여 국방부 사이버사령부 및 국방통합데이터센터 서버에 해킹 공격을 시도하였다.

2017년 9월, 제6차 핵실험과 연계하여 다음(Daum) 이메일의 취약점을 이용한 공격과 가상화폐거래소를 공격하였다.

보다 완벽한 핵무력 완성을 위해서 국내 방산업체 전산망 해킹(2016.06.)을 비롯하여 대우조선해양 해킹을 통한 잠수함, 무인기, 비행기 등의 핵 투발수단 관련 국방신기술 탈취(2016.04.) 시도 하였다.

또한 국내 정서를 불안감을 조성하기 위해 한국수력원자력의 직원 이메일을 통한 사이버 공격으로 원자력발전소 도면 등 기관 내부 자료와 청와대 · 국방부 · 국정원 작성문서로 추정되는 자료를 공개하여 국민들로 하여금 불안감을 조성하였다.(2014.12. ~ 2015.04.)

경재핵무력병진노선 시기 북한의 사이버 공격은 방송 통신과 함게 원자력 발전소 등 사회가반시설에 대한 공격과 청와대 등 정부기관에 대한 공격, 핵 투발수단을 비롯하여 기타 국방기술과 관련된 사이버 무력 시위를 감행하였고, 핵개발 자금을 확보하는 것을 주력했던 것으로 분석된다.

포괄적 경제재에 대응한 사이버 공격

2016년 3월, 북한은 국제연합 UN으로부터 역사상 가장 강력한 것으로 알려진 대북제재 결의한 2270호의 통과로 인하여 무기수출 및 경제교역을 통한 외화수급에 심대한 차질이 생기자 사이버 공격을 적극적으로 활용하여 외화수급을 하고 있다.

방글라데시 중앙은행을 공격(2016.02.)하여 8,100만 달러를 탈취한 사건을 비롯하여 ‘원크라이 2.0’ 랜섬웨어 공격(2017.05.), 가상화폐거래소 공격등 경제재재 회피를 위한 사이버 공격을 지속적으로 감행하고 있다.

북한이 사이버 공격을 통해서 매년 벌이들이는 수입은 최소 10억 달러(한화 약 133억원)로 추정되고 있으며, 이는 북한의 연간 총 수출액의 1/3 수준을 차지하고 있다.

새로운 노선 ‘사회주의경제걸선총력집중’ 성공을 위한 사이버 공격

북한 당국은 남북 및 북미대화에 앞서 새로운 대북전략을 탐색하고, 경제발전에 필요한 외화확보와 민생겨제 활성화에 필요한 기술탈취를 목적으로 사이버 공격을 감행하였다.

기존의 전략노선인 경제핵무력병진노선의 승리를 선언하며, 새로운 전략노선으로 “사회주의경제건설총력집중노선"을 제시하면서 경제제재 완화와 민생경제 활성화를 위해 사이버 공격을 적극적으로 활용하기 시작하였다.

코로나19 대응을 위한 의료정보를 수집하기 위해 서울대병원 서버와 업무용 PC를 해킹하여 환자 정보가 유출 하였으며, 2021년 05월 열린 한·미 정상회담을 전후로 ‘스피어 피상(spear phishing)‘을 대대적으로 감행하였다.

한국정부의 전략을 탐색하고자 위해 통일부 이메일을 사칭하여 ‘월간북한동향’과 통일연구원의 조선노동당 제8차 대회 분석 자료처럼 보이는 URL을 링크하여 공격하였다.

결론

김정은 시대 들어 북한은 사이버전 능력 개발에 심혈을 기울리고 있으며 상당한 사이버 공격 능력을 갖추고 있는 것으로 판단된다.

민관군에서 함께 북한으로부터의 공격과 더불어 다양한 나라의 사이버 공격을 대응할 수 있는 능력이 필요하다. 사이버 공격에 대한 모니터링과 조기경보체계, 취약성 평가 등을 통하여 사이버 공격에 효과적으로 대응하는 자세가 필요하다.

참고문헌

다양한 참고문헌을 통하여 발췌 및 참고하여 추가적인 정보와 함께 작성하였다.

  1. U.S. Departments of State, Treasury, Homeland Security, Federal Bureau of Investigation - Guidance on the North Korean Cyber Threat
  2. 국가정보원 국가사이버안보센터 - 2024년도 사이버위협 전망
  3. 국가안보와 전략 권숙도(국민대 통합위워회)김정은 시대 북한의 경제·핵무력 병진노선의 의미와 평가
  4. 국가안보전략연구원 INSS 전략보고서 - 북한의 암호화폐 공격과 미국의 대응
  5. 국가안보전략연구원 INSS 연구보고서 - 북한 사이버위협의 특징과 대응방안
  6. 연합뉴스 김귀근 - “김정일 “정보전부대는 나의 배짱이고 예비대”
  7. BBC Korea 리차드 김 - “북한 해커조직 ‘김수키’가 뭐길래… 한국 독자제재 실효성은?”
  8. 연합뉴스 장보인 - “北해킹조직 ‘안다리엘’, 대공무기 등 국내 방산기술 빼돌렸다”
  9. CBS 노컷뉴스 김승모 기자 - “[단독]사법부, 北해킹그룹 ‘라자루스’에 털렸다…소송서류 무더기 유출”
  10. 매일신문 황희진 - 美 법무부, 북한 해커 3명 기소 “13억 달러 해킹 혐의”
  11. 디지털 데일리 이민형- [3.20 사이버테러 1년②] 사이버보안 대책, 수립만 있고 시행은 없다
  12. 자유아시아방송 워싱턴 정영 - “북 사이버 심리전 댓글부대 ‘204소’”
  13. 보안뉴스 원병철 - “대한민국을 공격하는 3대 위협그룹 ‘라자루스·블루노로프·안다리엘’”