북한 관련 사이버공격 그룹 분석을 지속적으로 해 오고 있는 ‘이슈메이커스랩’(IssueMakersLab)은 22일 K-ISI 2016컨퍼런스에서 ‘랜섬웨어와 북한: 북한의 랜섬웨어 개발 능력은”이란 주제로 발표를 진행해 큰 관심을 끌었다. 북한 해커들이 사이버테러 이외에도 돈벌이 수단으로 해킹공격을 지속적으로 하고 있으며 특히 최근에는 랜섬웨어 공격을 통해 외화벌이를 하고 있다는 것. 그들의 랜섬웨어 공격 능력이 어디까지 와 있는지 알 수 있는 시간이었다.

이슈메이커스랩 측은 “러시아 해커들이 금전 획득을 위해 전세계 랜섬웨어 공격에서 많은 비중을 차지하고 있다. 한편 한국 내에서도 블랙마켓에서 랜섬웨어 소스코드를 만들어 판매하고 있으며 친절하게도 랜섬웨어 사용법과 컴파일 바이너리, C&C 서버도 만들어 주겠다는 광고도 올라와 있고 실제 구매해 사용하는 자들도 있다”며 “크립토락커 랜섬웨어는 1500만원에 판매되기도 하고 공격서버도 익명으로 유럽에 만들어준다. 어떤 구매자는 1월에 구매해 4월까지 3개월만에 랜섬웨어 공격을 이용해 4억을 벌었다고 자랑하는 글까지 올라와 있었다”고 설명했다. 최근 사이버범죄자들에게는 랜섬웨어가 가장 좋은 돈벌이 수단이 되고 있다는 것을 말해주고 있다.

북한도 예외는 아니다. 우선 랜섬웨어로 돈을 벌려면 랜섬웨어 개발능력과 비트코인 활용 역량 그리고 추적할 수 없도록 익명 네트워크인 토르 사용에 익숙해야 한다. 이슈메이커스랩은 북한이 랜섬웨어로 돈을 벌기 위해 이 모든 역량을 충분히 갖추고 있다고 강조했다.

연구회 측은 “북한은 이미 토르 사용을 효과적으로 하고 있다. 2013년 3.20 사이버테러사고가 터지고 3달뒤 청와대 홈페이지 해킹, 대전정부청사 DDoS(디도스) 공격이 발생했을 때 북한 해커들은 이미 토르 C&C서버 10개를 운영중이었으며 6.25 디도스 공격에서도 마찬가지로 토르 네트워크를 활용한 것으로 확인했다”고 설명했다.

또 “북한 해커들은 랜섬웨어 유지를 위해 RSA 공개키 암호화를 사용해 암호화 강도를 높이고 있다. 개인키가 없으면 복호화가 어렵기 때문이다. 그들은 2009년부터 RSA키 암호화 알고리즘을 사용해 군사기밀을 수집할 때 활용하고 있다”고 덧붙였다.

북한은 또 랜섬웨어로 외화를 벌기 위해 비트코인 거래도 자연스럽게 하고 있다고 전했다. 핵으로 인한 대북제재와 개성공단이 폐쇄되면서 외화벌이가 어려워진 북한은 2013년 3월 실험적으로 비트코인 수집용 악성코드를 뿌렸다. 한국 뿐만 아니라 전세계에 뿌렸지만 초창기라 비트코인 추적이 가능했다. 이후 4월과 5월에 비트코인 수집 악성코드를 다시 제작해 살포했고 며칠 테스트를 했음에도 불구하고 수천 달러를 벌었다. 이후 지속적으로 비트코인 채굴용 악성코드를 개발해 공격을 지속하고 있다고 이슈메이커스랩 측은 분석했다.

연구회 측은 “이후 2013년 5월에 북한은 이미 비트코인 거래를 시도했다. 거래소를 통해 비트코인 거래를 하면 계정을 입력해야 하기 때문에 추적의 위험성이 있다. 때문에 북한은 익명으로 일대일 대면거래로 비트코인을 세탁해 현금화 하고 있다는 것이다. 이런 쉬운 돈벌이 수단을 북한이 마다할 일이 없다. 이번 인터파크 해킹공격 때도 비트코인을 요구한 것을 보면 북한이 비트코인을 충분히 자유롭게 사용할 수 있는 수준”이라고 밝혔다.

한편 북한의 랜섬웨어 개발 능력에 대해서도 “랜섬웨어는 암호화를 위해 특정 확장자를 정해 암호화한다. 북한은 이미 한수원 사태 때 한글파일이든 알집파일이든 파괴할 특정 확장자를 선별해 파괴했으며 또 3.20 사이버테러 당시 언론사 공격시에도 사진이나 동영상 파일만 파괴해 더 큰 피해가 발생하도록 하는 악성코드 개발 능력을 보여줬다”며 “랜섬웨어 개발시에도 남한에서 중요하게 생각하는 파일들을 잘 알고 있기 때문에 중요한 확장자만 골라 암호화할 수 있는 랜섬웨어를 개발하고 실제로 사용하고 있다”고 설명했다.

이외에도 북한은 랜섬웨어 공격시 필수적인 웹사이트 바탕화면 변조 기술도 이미 6.25 사태나 소니픽쳐스 사고 때 바탕화면 변조기술 능력을 보여준바 있다. 또 최근에는 워드프레스를 마음대로 활용하고 있으며 플래시 취약점을 이용한 공격도 적극적으로 사용하고 있다. 이를 통해 랜섬웨어를 대량으로 유포하고 있다는 것이다.

특히 북한 외화벌이 해커들은 한국 의료기관들을 노리고 있다고 강조했다. 북한은 이미 2014년 8월에 국내 백신업체 취약점을 이용해 대형 대학병원 시스템을 장악한 바 있다. 환자 진료 데이터를 암호화하기 때문에 랜섬웨어에 걸리면 병원은 마비가 된다. 그래서 돈을 줄 수밖에 없기 때문이다. 때문에 랜섬웨어 공격 주요 타깃이 되고 있는 상황이다.

또 언어 문제도 지적했다. 이슈메이커스랩은 “북한은 한글 친화적인 랜섬웨어를 제작할 수 있다. 러시아나 해외 랜섬웨어는 구글 번역기를 돌리는 수준으로 한글 페이지를 보여주는 수준이지만, 북한은 한글에 최적화된 랜섬웨어 사이트를 제작할 수 있다”고 밝히고, C&C 서버 확보 능력에 대해서도 “북한은 이미 전세계를 대상으로 1700여 개 C&C 서버 확보능력이 있다는 것을 확인했다”고 전했다.

마지막으로 “국내 블랙마켓에서도 북한 해커조직으로 의심되는 활동들이 계속 포착되고 있다. 외화벌이가 힘든 상황에 랜섬웨어로 돌파구를 찾으려고 하는 것이다. 따라서 이런 공격들은 앞으로 더욱 기승을 부릴 전망”이라며 “랜섬웨어에 정부와 기업들이 관심을 가지고 대응 방안에 대한 논의와 연구들이 활발히 진행되어야 할 것”이라고 강조했다.

데일리시큐가 주최한 2016 대한민국 정보보호 인텔리전스 컨퍼런스(K-ISI 2016)는 지난 22일 한국과학기술회관에서 200여 명의 공공, 금융, 기업 보안실무자가 참석한 가운데 정보보호 인텔리전스를 주제로 흥미로운 발표들이 진행돼 높은 평가를 받았다.

★정보보안 & IT 대표 미디어 데일리시큐!★