[데이터넷] 세계 정세가 심각한 위기 상황으로 치닫고 있는 가운데, 한반도가 ‘일촉즉발’의 상황에 놓이게 됐다. 한미일-북중러 대립이 심화되는 상황에서 각국 정부는 동맹 여부와 상관없이 수단과 방법을 가리지 않는 첩보전을 벌이고 있다. 특히 우리나라는 모든 국가의 주요 타깃이 되고 있을 뿐만 아니라, 첨단기술을 노리는 사이버 스파이, 중요 인프라를 노리는 APT 공격까지 다양한 공격이 치열하게 전개되고 있다. 심각한 안보위기로 다가온 ‘사이버전’에 맞서 어떤 노력을 해야 하는지 살펴본다.<편집자>

국방·외교·통일 분야 공격 이어져

국내외 보안기업들이 추적하고 있는 북한 공격그룹의 대표적인 활동을 살펴보면, 맨디언트가 추적중인 APT43은 미군, 정부 내에서 개발·저장된 정보, 방위산업기지(DIB), 핵 안보 정책과 비확산에 초점을 맞춘 미국 학계·싱크탱크가 개발한 연구, 보안 정책에 관심을 보였다. 우리나라의 관련 산업과 글로벌·지역 정책에 둔 비영리 단체, 대학, 대북 수출 제한 상품에 대한 정보를 제공할 수 있는 기업 등을 대상으로도 공격을 진행한다.

이들은 스피어피싱과 자격증명 수집을 위한 스푸핑된 웹사이트를 이용한다. 유명 검색엔진, 암호화폐 거래소로 가장한 도메인을 만들거나 업무 관련 메일, 상급기관의 업무협조 요청 등의 내용으로 위장해 피해자를 속인다.

마이크로소프트가 추적하는 세륨(CERIUM), 징크(ZINC)는 국방, 항공우주 기업을 표적으로 하며, VPN 취약점을 통해 접근을 시도했다. 우리나라 군, 정부기관이 사용하는 애플리케이션을 사용한 공급망 공격을 펼쳤으며, 탈취한 RDP, VPN 계정을 이용한 공격도 진행했다.

레코디드퓨처가 추적하고 있는 TAG46은 국내 유명 포털사이트 로그인 화면으로 위장한 피싱사이트로 통일, 외교, 안보 분야 전문가의 계정정보를 탈취한다. 이들은 타깃 피해자만 연결되는 피싱 사이트를 이용하며, 피해자의 계정정보를 유출한 후에는 다시 정상 사이트로 연결시켜 보안 탐지를 불가능하게 한다. 이들의 공격을 분석하기 위해서는 분석가가 감염되어야 하는데, 정교한 타깃 맞춤형 공격을 단행하는 북한 공격자를 속이는 것이 쉬운 일은 아니다.

NSHC가 추적하는 섹터A 그룹은 지난해 전년대비 2.5배 더 많은 공격을 벌였으며, 난이도가 낮은 공격 시도로도 충분히 성공을 거뒀던 것으로 보인다. 이들은 국책연구소, 정부기관, 교육, NGO, 방송통신, 금융분야를 공격했으며, 정치, 사회, 경제, 기술 등의 주제를 연구하거나 견해를 공개하는 기관, 대북분야 연구원이다.

이들은 피싱 공격으로 계정정보를 탈취해 내부 시스템 침투 발판을 만들고, 포털사이트 계정정보를 탈취한 후 포털과 연동된 이메일, 클라우드에 저장된 유관조직의 정보를 수집한다. 또 네이버 블로그에서 활동하는 투자정보 관련 내용을 수집하는 활동을 전개한다.

공급망 공격도 북한 해커들이 자주 사용하는 방법이다. 우리나라에서는 공동인증서나 금융인증서를 이용해 인증서 사용자를 감염시키는 사고가 자주 발생한다. 3월 발견된 이니텍 공동인증서 해킹이 그 대표적인 예이다.

지난해부터 진행된 VoIP 솔루션 회사 3CX 공급망 공격은 2021년 금융 소프트웨어 기업 트레이딩 테크놀로지의 감염된 엑스트레이더를 이용해 진행됐다. 시만텍은 엑스트레이더 공급망 공격에 유럽과 미국의 에너지 기업, 금융기업도 감염됐다고 분석했다.

가상자산 탈취 집중하는 북한 공격자

북한 정부 지원 그룹 중 금전 목적의 공격활동을 벌이는 조직은 주로 가상자산 탈취에 집중하고 있다. 북한은 2016년 UN에 의해 제재가 가해진 후 전면적인 대외 교역활동이 차단돼 극심한 경제난을 겪었다. 그래서 대미 협상 지렛대를 삼기 위해 핵을 비롯한 무기 개발에 나섰다. 이에 필요한 자금은 가상자산을 통해 걷어들인 것으로 알려진다. 가상자산 초기부터 북한 해커들은 채굴활동을 적극적으로 펼쳤으며, 채굴을 위한 인프라 탈취 공격을 벌여왔다. 가상자산 가치가 높아지자 거래소와 가상자산 투자자를 해킹해 가상자산을 훔쳤다.

또 북한은 코로나19 감염을 막기 위해 팬데믹 기간동안 국경을 모두 봉쇄했는데, 이로 인해 경제난이 더욱 심해져 가상자산 탈취 공격을 더 적극 전개했다. 체이널리시스 분석에 따르면 지난해 전 세계에서 38억달러 규모의 가상화폐가 탈취됐고, 그 중 43.4%인 17억달러가 북한에 의해 발생한 것이다. 호라이즌 브릿지 1억달러, 쿠코인 2.81억달러, 업비트 4850만달러 해킹사고가 북한에 의한 것으로 알려진다. 마우이, 홀리고스트(H0lyGh0st) 등의 랜섬웨어를 제작해 유포하기도 했다.

북한의 가상자산 탈취는 국경을 가리지 않는다. 마이크로소프트는 가상자산을 주로 노리는 북한 공격그룹 코페르니슘(COPERNICIUM)이 미국, 캐나다, 유럽, 아시아 전역의 가상자산 관련 기업에 침투했는데, 심지어 북한의 가장 강력한 동맹국인 중국 본토와 홍콩의 기업까지 해킹했다. 이들은 링크드인 등 SNS에서 가상자산 관련 비즈니스 개발자, 고위임원을 사칭해 투자 혹은 채용을 제안하면서 접근했다.

다양한 방법으로 가상자산 탈취

북한은 탈취한 가상자산을 세탁하는 다양한 방법을 갖고 있다. 맨디언트가 추적하고 있는 APT43이 주로 정권의 자금조달과 해킹을 통해 훔친 가상자산을 세탁하는 활동을 한다. 맨디언트가 조사한 북한의 자금세탁 방법 중 하나는 클라우드 마이닝 서비스를 지불하는 방법이다. 카지노에서 현금을 칩으로 바꾸었다가 칩을 다시 현금으로 바꾸는 것과 같은 방법으로 자금추적을 차단한다.

또 이들의 자금세탁을 돕는 조력자 중에는 중국의 공격그룹도 있는 것으로 보이며, 미국의 몇 몇 암호화폐 채굴 서비스를 이용해 자금을 세탁하는 정황도 발견되기도 했다. 안드로이드 악성앱을 이용해 암호화폐 대출을 찾는 중국 사용자를 공격했을 가능성도 발견된다.

체이널리시스는 BNB 체인 기반 디파이 대출 프로토콜 ‘큐빗(Qubit)’ 해킹을 분석하면서 북한 해커의 공격 방법을 상세히 설명했다. 큐빗은 큐브릿지 프로토콜을 이용해 다른 체인의 자산을 큐빗에서 빌릴 수 있도록 설계했는데, 해커는 큐브릿지 관리 코드 취약점을 이용했다.

이들은 이더리움 예치 없이 큐브릿지에서 자산을 무제한 발생시켜 8000만달러를 빼돌리고 당시 자주 사용하던 토네이도 캐시 믹서로 보내 자금을 세탁했다. 토네이도 캐시에서 세탁된 이더리움을 받은 해커는 그 중 일부를 탈중앙화 거래소로 보내 다른 토큰으로 교환하고, 또 다시 일부는 다른 중앙화 거래소로 이동시켜 자금 추적을 어렵게 만들었다.

미국 거주 중국인 대상 중국 해커의 보이스피싱

중국의 사이버 활동도 여전히 위협적이다. 중국은 전 세계 소규모 국가를 대상으로 광범위하게 사이버 스파이 활동을 펼치면서 경제·군사 영향력을 키울 수 있는 정보를 수집하고 있다. 중국은 일대일로 이니셔티브(BRI)를 드라이브하면서 중앙아시아, 아프리카 등의 국가를 대상으로 정보수집 활동을 한다.

마이크로소프트는 이 지역이 미국의 관심 지역이라는 점을 언급하며 중국이 이 지역에 대한 영향력을 높이기 위해 첩보활동을 벌이고 있으며, 이 국가 외에도 태평양 섬 국가로 지역을 확장해 베트남, 인도네시아 등을 표적으로 공격하고 있다고 설명했다.

NSHC 중국 정부 지원 해킹그룹 ‘섹터 B’의 지난해 활동 요약 보고서에서는 이들이 전 세계 정부기관의 정치, 외교 활동 정보를 수집하고 있으며, 22개의 하위그룹 활동을 파악했다고 설명했다. 이들은 정부기관, 국방, 제조, 교육, IT 분야 정보를 수집했으며, 미국, 홍콩, 베트남 등을 집중 공격했다.

미국에 거주하는 중국인을 겨냥해 중국인이 보이스피싱 벌이는 사고도 발생하고 있다. FBI는 사기꾼이 중국 법 집행관이나 검사로 가장해 피해자를 금융범죄 용의자로 지목하고 돈을 뜯어내고 있다고 밝혔다. 우리나라 보이스피싱 사기꾼처럼 영장 등 가짜 서류를 보여주고, 정부의 공식 전화 혹은 변호사로부터 걸려온 전화로 위장한다고 설명했다.

중국정부가 운영하는 악의적인 댓글부대 트롤팜도 검거됐다. 미국 법무부는 중국 공산당에 비판적인 미국 거주 중국인을 대상으로 허위정보를 보내고 괴롭히는 활동을 한 트롤팜 운영자들을 검거했다. 이들은 미국인이 작성한 것처럼 SNS 프로필을 가짜로 만들어 러시아의 우크라이나 침공, 코로나19 기원, 조지 플로이드 살해 등의 주제로 여론전을 펼쳤다.

중국 배후의 샤오치잉 해킹조직이 국내 웹페이지 변조, 정보유출 등의 공격을 수행하고, 자신의 홈페이지와 텔레그램, 해킹 포럼 등을 통해 공개한 사고도 있었다. 이들은 국내기업에서 탈취한 내부자료를 공개하면서 자신의 영향력을 과시했다.

사이버 용병 고용하며 추적 우회

세계 거의 모든 나라들이 사이버 첩보전을 벌이고 있다는 것은 공공연한 비밀이다. 정권유지를 위해, 정적에게 치명타를 주기 위해, 상대국을 곤란하게 만들거나 위협하기 위해, 경제적으로 이익이 되는 정보를 수집하기 위해, 다양한 목적과 방법으로 첩보전이 일어나고 있다.

이들은 지하시장에서 판매하는 도구를 사용하거나, 목표 조직에 침투할 수 있는 도구와 기술, 서비스를 개발·판매하는 민간조직에 의뢰하기도 한다. 이들을 ‘사이버 용병’이라고 부르는데, 반체제 인사, NGO, 언론인 등을 공격하기도 한다.

중동의 지정학적 갈등을 한층 더 심화시키는 이란 배후 공격그룹의 경우, 이란 정부에 반대하는 인물과 국가의 정치, 외교활동 정보 수집에 집중하고 있다. NSHC 조사에 따르면 이들은 미국, 중동국가와 이스라엘 대상 해킹활동을 벌이고 있는데, 이스라엘은 이란과 핵개발을 둘러싸고 그립자 전쟁(Shadow War)을 벌이고 있어 사이버 첩보전이 그 어느 때 보다 활발하게 전개되고 있다.

비트디펜더는 이슬람 혁명 수비대(IRGC)가 운영하는 ‘민트 샌드스톰(Mint Sandstorm)’이 미국, 유럽, 인도, 튀르키예에 ‘BellaCiao’라는 멀웨어를 배포하고 있다고 발표했다. BellaCiao는 C&C 통신을 최소화하는 새로운 공격 기술을 사용하고 있으며 특정 조직에 맞춤형으로 공격을 전개한다. 초기 침투 후 스텔스 모드로 전환되며, 액세스 권한을 무기화 할 준비가 될 때까지 아무것도 하지 않고 끈질기게 기다린다.

공격하기 적당한 시점이 되면, 프록시셸, 프록시낫셸 등의 익스플로잇을 이용해 마이크로소프트 익스체인지 서버에 침투, 마이크로소프트 디펜더를 비활성화하고 정보수집, 랜섬웨어 공격이 진행될 수 있도록 추가 공격도구를 다운받아 공격을 개신한다.

순수 금전목적 공격그룹도 활발히 활동

마이크로소프트가 캐나다 보안 연구실 시티즌랩과 함께 추적하고 있는 ‘쿠어드림(QuaDream)’이라는 기업의 경우, 키프로스에 있는 인리치(InReach)라는 법인을 통해 이스라엘 정부에게 스파이웨어 ‘레인(Reign)’을 판매한다. 쿠어드림은 전직 이스라엘 군 관리, 스파이웨어 회사 NSO 그룹 직원이 설립한 회사로, 안드로이드와 iOS의 취약점을 이용해 세계 여러 국가의 정치인, 언론인, 기업인을 대상으로 스파이 활동을 하는 것으로 알려진다.

순수 금전 목적의 공격도 활발하게 전개된다. NSHC가 추적하는 ‘섹터J’는 재화적 가치가 있는 온라인 정보를 탈취하거나, 직접적으로 특정 기업 및 조직들을 해킹 한 후 내부 네트워크에 랜섬웨어를 유포하고, 중요 산업 기밀을 탈취한 후 이를 빌미로 금전적 대가를 요구하는 협박 활동 등을 수행한다.

이들은 온라인 마켓플레이스, 전자상거래가 포함된 상업 시설 분야에서 가장 활발하게 활동했다. 취약한 홈페이지에 스키밍 스크립트를 삽입한 후 사용자의 개인 정보, 신용 카드 정보, 배송 주소 등의 데이터를 탈취하거나 판매하는 등의 금전적 이익을 얻기 위한 해킹 활동을 수행하고 있다.

마이크로소프트가 분석한 오스트리아 기반 공격그룹 DSIRF는 ‘서브제로(Subzero)’라는 멀웨어 도구 세트를 개발, 판매했으며, 오스트리아, 영국, 파나마 등의 법률회사, 은행, 전략 컨설팅 회사를 타깃으로 했다.