2024-03-29 02:50 (금)
북한의 사이버 공격 조직 ‘유닛 180’…자금조달 목적 해킹
상태바
북한의 사이버 공격 조직 ‘유닛 180’…자금조달 목적 해킹
  • hsk 기자
  • 승인 2017.05.24 13:39
이 기사를 공유합니다

“북한, 공격 근원지 숨기기 위해 제 3국서 정보통신 기술 인프라 사용해 주로 공격”

nk-2.jpg
탈북자 및 인터넷 보안 전문가들에 따르면 북한의 주요 간첩 기관에는 ‘유닛 180(Unit 180)’이라고 불리는 특별한 조직이 있고, 이 조직은 대담하고 성공적인 사이버 공격을 감행한다. 최근 북한은 미국, 한국, 그리고 12개 이상의 다른 국가들의 재정 네트워크에 연속적인 온라인 공격을 감행해 비난 받아왔다고 로이터 통신이 전했다.

이 외신에 따르면, 사이버 보안 연구원들은 이번달 150개국 30만대 이상 컴퓨터를 감염시킨 WannaCry(워너크라이) 랜섬웨어와 북한이 연결되어 있을 수 있는 기술적 증거를 발견했다고 언급했다. 북한은 이 혐의에 대해 터무니 없는 소리라고 반박하고 나섰다.

북한에 대한 혐의 중 가장 중요한 부분은 작년 방글라데시 중앙 은행으로부터 8,100만 달러를 강탈한 사건 및 2014년 소니픽쳐스 해킹 사건과 연관된 라자루스(Lazarus) 해킹 그룹과의 연결성이다. 미국 정부는 소니 해킹 사건으로 북한을 비난했고, 검찰이 방글라데시 중앙 은행 사이버강도 사건에 대해 평양을 상대로 소송을 낼 계획이라고 말했다.

아직 결정적인 증거는 제공되지 않았고, 형사 고발도 아직 접수되지 않은 상태다. 또한 북한은 소니와 은행 해킹 배후설을 부인하고 있다. 전세계에서 가장 폐쇄된 국가 중 하나인 북한에서 비밀 공작에 대한 정보를 얻는 것은 매우 어렵지만 북한을 연구하는 전문가들과 탈북자들이 몇가지 근거를 제공하고 있다.

컴퓨터 과학 교수였다가 2004년에 남한으로 탈북한 김모씨는 여전히 북한 내부 자료들을 가지고 있다. 그는 평양의 사이버 공격은 자금 조달을 목표로 하며, 주요 해외 정보 기관 RGB(Reconnaissance General Bureau) 소속인 ‘Unit 180’ 조직에 의해 감행되고 있다고 말했다.

그는 “Unit 180은 은행 계좌에서 돈을 유출∙인출하는 해킹을 주로 하고 있다”고 말했다. 그는 이전에 그의 학생들이 북한 사이버 사령부에 가담했다고 언급한 적이 있다. 그는 또한 “북한 해커들은 흔적을 남기지 않기 위해 더 나은 인터넷 환경을 가진 해외로 가기도 한다. 그들은 무역 회사 직원, 해외 지사 직원, 중국 또는 동남아시아 협력 벤처 직원들로 빙자하기도 한다.”고 덧붙였다.

워싱턴에 본부를 둔 전략 국제 문제 연구소의 북한 전문가는 평양이 먼저 해킹을 간첩 행위의 툴로 사용하고, 그 후에 남한과 미국 타깃에 대한 정치적 괴롭힘을 사용한다고 말했다. 그는 “그들은 범죄 행위를 위해 해킹을 감행한 소니 사건 이후, 정권을 위해 경화(달러와 같이 널리 통용되는 통화)를 모으는 방향으로 변화했다”고도 언급했다.

미 국방부는 작년 의회에 제출한 보고서에서 “북한은 사이버를 비용 측면에서 효율적이고 비대칭적이고 부인할 수 없는 공격도구로 생각하고 있다. 네트워크가 인터넷으로부터 분리되어 있기 때문에 보복 공격으로부터의 위험도 적기 때문이다. 그리고 제 3국 국가의 인터넷 인프라를 사용할 가능성이 높다”고 밝혔다.

한국 관계자들은 북한의 사이버 전쟁 작전에 대한 많은 증거를 가지고 있다고 말한다. 한국 외교부 관계자는 “북한은 공격의 근원지를 숨기기 위해 제 3국을 이용해 그들의 정보통신 기술 인프라를 사용한다”고 언급했다. 그는 방글라데시 은행 강도 외에도 필리핀, 베트남, 폴란드 은행에 대한 공격도 평양이 배후에 있을 것으로 생각된다고 덧붙였다.

지난해 6월, 경찰은 160개 한국 기업과 정부 기관의 14만대 이상의 컴퓨터가 북한에 의해 해킹당했다고 밝혔다. 이는 악성코드를 심어 큰 규모의 사이버 공격의 토대를 마련하려는 북한의 장기 계획의 일환이다.

북한은 또한 2014년 한국 원자로 사업자에 대한 사이버 공격 배후로도 지목되고 있다. 한국 보안기업은 해당 공격이 중국에 있는 기지에서 진행된 것이라고 말했다. 또 북한의 공격은 중국 기지를 사용해 어떤 종류의 프로젝트를 수행하든 중국 IP 주소만 나올 수 밖에 없다고 언급했다.

말레이시아 또한 북한의 사이버 작전 기지로 사용되고 있다. 전문가들은 북한 해커가 표면적으로 무역 또는 IT 프로그래밍 회사에서 일하고, 일부는 웹 사이트를 운영하거나 게임, 도박 프로그램을 판매하기도 한다고 전했다.

말레이시아에 위치한 북한 RGB 간첩 기관에 두 개의 IT 회사가 연결되어 있다는 사실도 밝혀졌지만 아직까지 해킹에 연루된 정황은 포착되지 않았다.

미국의 북한 전문가는 ‘유닛 180’이 북한 정보 기관의 많은 엘리트 사이버 공격 그룹 중 하나라며, “요원들은 중학교에서 발탁되어 몇몇 엘리트 교육 기관에서 심화 교육을 받는다. 그들은 중국 또는 동유럽 호텔에서 작전을 수행한다고 덧붙였다.

미국 관계자들은 북한이 워너크라이 랜섬웨어의 배후에 있다는 결정적 증거는 없다고 말한다. 하지만 익명을 요구한 한 고위 관리자는 “그들이 실제로 랜섬웨어에 관여하고 있는지 여부가 그들이 진정한 사이버 위협 존재라는 사실을 바꿀 수는 없다”고 말했다.

미국 보안전문가들은 “북한의 사이버공격 능력은 꾸준히 향상되고 있으며, 미국의 사설 또는 정부 네트워크에 심각한 피해를 줄 수 있는 위협적인 공격자들이라고 생각한다”고 말했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★