전직 美해군 4성장군 "북한 사이버공격 목적은…"

파이어아이 보안위협 전문가, 북한-중국 등 사이버공격 동향 소개

컴퓨팅입력 :2017/04/27 15:46    수정: 2017/04/27 15:47

미국 해군(U.S. Navy) 4성장군 출신 보안위협 전문가가 북한의 사이버공격 목적을 4가지로 요약했다. 북한의 정치적 안정, 군사 안보 향상, 국가적 자부심 고취, 한국·미국·일본 지역의 혼란 유발이다.

사이버보안업체 파이어아이의 커스터머에듀케이션 담당 부사장 패트릭 월시(Patrick Walsh)는 27일 서울 삼성동의 미디어브리핑 발표를 통해 한국을 겨냥한 북한의 사이버 공격 사례와 그 배경을 설명하며 이같이 밝혔다.

패트릭 월시 파이어아이 커스터머에듀케이션 부사장. 전직 미 해군 4성장군(Admiral) 출신이다.

월시 부사장은 사이버공격의 유형을 사이버스파이, 사이버범죄, 핵티비즘, 네트워크공격, 4가지 동기로 나눠 설명했다. 사이버스파이는 방위산업기술, 군 연구개발(R&D)기관, 싱크탱크, 외교부, 정부기관을 표적으로 삼는다. 사이버 범죄는 경제적 이익이 목적이라 현금화할 수 있는 정보를 침해한다. 핵티비즘은 정치 및 이념적 공격을 가리킨다. 네트워크 공격은 기반시설(infrastructure)을 노린 파괴적 공격이다.

월시 부사장은 이가운데 세계 사이버스파이 활동 대부분이 중국과 러시아에서 발생하고 있으며, 이란, 중동, 한국, 인도, 남아메리카에서도 많은 활동이 관찰되고 있다고 지적했다. 그는 사이버 보안을 국가 안보와 연관지어 한국의 지정학적안보와 함께 사이버보안에 북한과 중국이 중대한 영향을 끼치고 있다고 설명했다.

패트릭 월시 부사장의 발표 자료 일부. 사이버공격 동기에 따른 4가지 유형.

그에 따르면 중국, 러시아, 북한, 이란은 사이버 범죄 조직을 고용, 조율, 조직, 지시, 작업, 위임, 감독하고 기금을 후원하기도 한다. 러시아는 군사활동을 지원하기 위해 정부, 군대, 적으로부터 정보를 유출한다. 반면 북한과 이란의 스폰서는 정부 이미지를 보호하기 위해 상징적 목표를 추구한다.

■북한 해킹 그룹의 역대 한국 사이버공격 사례들

월시 부사장은 "북한은 데이터침해, 컴퓨터네트워크 공격을 기반으로 김정은 정권의 정치적 안정과 군사 안보를 향상시키고 국가적 자부심을 고취하기 위해 활동한다"며 "한국, 미국, 일본 지역을 혼란시킬 목적으로 공격 역량을 개발하고 있다"고 주장했다.

파이어아이에 따르면 한국을 겨냥한 북한발 사이버 공격은 여러 차례 있었다. 지난해 3월 북한 해킹 그룹은 국내 방위산업체와 국방 관련 기관을 공격했다. 엑스마크(Exmark)와 픽미(PickMe)라는 악성코드를 유포했고 핵실험 이후 대북 제재와 관련된 내용을 이용해 악성코드 실행을 유도했다.

북한 해킹 그룹은 같은 달 국방 및 한미 동맹과 관련된 개인 대상으로도 사이버 공격을 진행했다. 2015년 미 공군협회 행사, 미국 핵무기 제재, 한미 동맹, 한반도 평화 통일을 위한 국제 협력 등의 내용을 담은 악성 문서가 동원됐다. 이 공격에 엑스마크 악성코드가 사용됐다.

패트릭 월시 부사장의 발표 자료 일부. 북한의 사이버공격 동향.

북한 해킹 그룹은 지난해 6월과 8~10월 불특정 다수를 대상으로 악성 문서를 첨부한 스피어피싱 이메일을 유포했다. 문서는 흑산도 사건, 포항 흥해 토막살인사건, 휴가신청서, 통일북한학술대회 심사서류 등 내용으로 작성돼 있었다. 여기엔 카라이(KARAE)라는 백도어가 이용됐다. 이들은 또 지난해 11월엔 한국 내 탈북민을 표적으로 한 공격을 시도했다. 북한 관련 단체 리더로 가장해 최순실 스캔들에 관련된 내용의 메일로 스피어피싱을 한 사례였다.

월시 부사장은 "한국을 둘러싼 강대국들의 긴장상태가 지속되면서 사이버 스파이 활동이 증가하고, 한국은 지정학 및 경제적 요인으로 앞으로도 계속 공격 표적이 될 것"이라며 "한국은 사물인터넷(IoT) 취약성을 이용한 공격이나 복잡한 랜섬웨어 공격을 더 많이 맞딱뜨리게 될 것"이라고 전망했다.

■중국 해킹 그룹, 미국에 사이버 산업스파이-한국에 핵티비즘 공격

월시 부사장은 중국의 사이버 공격 목적과 양상에 대해서도 소개했다. 그에 따르면 중국은 자국 기업의 이익, 최신 군사 기술, 중국 공산당 보호를 위해 지정학적인 정보 및 경제 정보와 관련된 스파이 활동을 하고 있으며, 동남아국가연합(아세안)과 관련한 정보와 의견을 수집하고 있다.

중국 사이버 스파이들은 지난 2006~2009년에는 국방 산업의 지적재산(IP) 탈취에 집중했다. 2009~2014년에는 다양한 산업 부문을 대상으로 대량의 IP 탈취를 목적으로 했다. 2015년부터 현재까지는 제한된 미국 IP 도용 또는 미국 외 지역의 IP탈취에 집중하고 있다.

월시 부사장은 "지난해 중국의 공격은 주로 미국 이외의 기업에 영향을 미쳤는데 올해 중국의 공격그룹 'APT10'이 미국 기업을 대상으로 활동을 재개할 가능성이 있다"고 말했다.

패트릭 월시 부사장의 발표 자료 일부. 중국의 사이버공격 동향.

그는 최근 한반도 사드(THAAD) 배치 반대 명분을 내건 중국 해커들의 사이버 공격 배후에 정부가 있음을 기정사실화했다. 앞서 파이어아이의 다른 보안전문가가 월스트리트저널(WSJ)과의 인터뷰에서 중국 해커그룹 'APT10'와 '톤토' 팀이 한국의 여러 조직을 표적으로 삼고 있는 것으로 파악됐다는 내용을 부연하면서다.

월시 부사장에 따르면 최근 중국 해커들이 한국 대상으로 여러 차례 분산서비스거부(DDoS) 공격, 웹사이트 디페이스 및 침입 시도를 했다. 해당 그룹의 배후에서 사드 배치를 반대하는 정치적 동기를 가진 중국 정부와의 연관성이 포착됐다는 게 그의 설명이다.

관련기사

그는 "중국은 한국을 대상으로만 사이버 공격을 진행하는 것이 아니라 러시아 군사단체, 몽골 정부단체, 일본 민간단체, 대만 뉴스매체, 정부단체 및 민간단체, 홍콩의 인권단체 그리고 베트남 정부와 민간단체도 공격하고 있는 것으로 나타났다"고 덧붙였다.

월시 부사장이 소속된 파이어아이는 사이버공격 방어에 특화된 가상머신기반 보안플랫폼을 개발한 보안솔루션 업체다. 기업과 정부 기관을 대상으로 발생하는 지능형지속위협, 제로데이 등 위협에 대응하는 실시간 위협탐지 보안솔루션을 제공한다. 솔루션은 시그니처기반 방화벽, 침입방지시스템(IPS), 안티바이러스, 행위기반분석을 통한 제로데이 공격 및 변종 공격 탐지와 차단 기능을 수행한다. 67개국 4천400개 기업에서 사용되고 있다.