• 페이스북
  • 트위터
  • 유튜브

[군사대로]전면전 양상 띠는 北 해킹 공격…국지도발만큼 위협적

등록 2021.07.18 09:00:00수정 2021.08.02 09:21:23

  • 이메일 보내기
  • 프린터
  • PDF

北, 우리측 주요 기관 대상 무차별 해킹

2009년부터 디도스 등 방식으로 도발

라자루스, 김수키 등 해커조직 활동 중

해킹, 미사일 도발처럼 남북 합의 위반

[서울=뉴시스] 북한 기상수문국. 2021.07.18. (사진=노동신문 캡처) *재판매 및 DB 금지

[서울=뉴시스] 북한 기상수문국. 2021.07.18. (사진=노동신문 캡처) *재판매 및 DB 금지

[서울=뉴시스] 박대로 기자 = 북한의 대남 사이버 공격이 갈수록 거세지고 있다. 원자력 기술을 전문으로 연구하는 한국원자력연구원이 북한 소행으로 추정되는 해킹에 12일간 노출됐고 최초의 국산 전투기 KF-21을 개발하는 한국항공우주산업(KAI) 역시 북한에 의해 해킹 피해를 입었다. 서울대학교병원에서도 북한 해커 조직에 의해 환자 정보 6969건이 유출되는 해킹 피해가 발생한 것으로 나타났다.

북한의 사이버공격이 시작된지 햇수로 20년이 넘었다. 2000년도에는 개인용 컴퓨터(PC)와 웹사이트를 중심으로 이뤄졌다. 2011년부터는 금융사와 언론사 전산망을 공격했으며 2014년도 후반에는 국가사회기반시설이 공격을 당하기 시작했다.

기술적인 측면에서 보면 북한의 사이버 공격은 단기간의 디도스(분산 서비스 거부) 공격 같은 단순한 공격에서 장기간에 걸친 높은 수준의 공격으로 진화하고 있다. 악성코드 기능은 사용자 정보 수집이 아닌 데이터 파괴, 하드디스크 파괴 등으로 한층 강력해지고 있다.

북한이 사이버전력을 전략적 무기로 활용하는 이유는 사이버공격이 적은 인원, 적은 비용으로 최대의 효과를 누릴 수 있어 효율적이기 때문이다. 나아가 직접 침투할 필요가 없고 은밀하게 활동할 수 있어 제재와 보복이 어렵다는 점 역시 장점이다.

북한 사이버 공격의 목표는 한국 사회 혼란 조성, 유사시 군사작전 방해, 국가기능마비, 체제선전, 경제수입 확보를 위한 외화벌이 등이다. 구체적인 목표는 전면전 발생 시 1차적으로 정보망을 공격해 미군 지원을 지연시키고 2차적으로 우리 군의 C4I(전술지휘정보체계)를 타격해 전투기 등 무기체계와 군수지원체계 등을 무력화하는 것이다.

북한은 사이버전사를 해외(중국, 중동, 동아시아, 남아메리카 등)에 준비해 둔 거점(안전가옥)에 파견한 후 우회 서버를 이용해 사이버테러를 실행한 다음 곧바로 공격 근원지를 폐쇄하고 인원을 복귀시킨다. 이 때문에 공격 원점을 찾기 어렵다. 공격자 식별에 수개월이 걸리기도 한다. 공격 원점을 식별한다 해도 국가 간 관할권 문제와 외교적 문제로 인해 원점 타격이 어렵다.
[서울=뉴시스] 황해남도기상수문분국에서. 2021.07.18. (사진=노동신문 캡처) *재판매 및 DB 금지

[서울=뉴시스] 황해남도기상수문분국에서. 2021.07.18. (사진=노동신문 캡처) *재판매 및 DB 금지

북한의 한국 대상 사이버 공격 중 사회적 파장과 국가안보상 중요성이 큰 사건들은 2000년대 후반부터 발생했다. 북한 논리폭탄 실험(2007년), 한국군 장교대상 트로이목마 메일 전파(2008년), 화학물질 사고대응정보시스템 CARIS 해킹(2009년) 등이 대표적이다.

이후 발생한 북한의 사이버 공격은 한국 사회에 큰 파장을 일으키기 시작했다.

2009년 7·7 사이버공격 사건은 북한이 2009년 7월7일부터 3일간 61개국 586대 서버를 이용한 디도스 공격으로 청와대, 국회, 네이버, 미국백악관, 재무부, 국토안보부 등 우리나라와 미국의 주요 기관 36개 사이트 인터넷 접속을 지연시키거나 접속불능을 일으킨 공격이었다.

북한은 악성코드의 기능과 공격대상을 최신화할 수 있는 숙주서버에 특정시간에 일정주기로 접속한 뒤 10만대 이상 좀비 PC를 조종해 웹사이트들을 동시에 공격했다.

이 사건 후 민관 간 악성코드 등 관련 정보공유 부족, 좀비PC 신속한 확보체계 부재 등으로 인한 디도스 대응능력 미흡, 주요 유관기관 간 업무충돌 해소를 위한 업무 사령탑 부재 등이 문제점으로 지적됐다.

2011년 3·4 디도스 공격은 2011년 3월3일부터 7일까지 3일간 모두 70개국 746대 서버를 활용해 국내 주요 40개 사이트를 디도스 공격한 사건이다. 공격 방식은 2009년 7·7 사건과 동일했고 악성코드 설계방식과 통신방식도 일치했다.

웹하드 설치프로그램 변조를 통해 악성코드를 유포하는 방식에 대한 대응책이 미흡했던 점과 정부기관 간 위기대응역량이 분산돼 사이버공격에 효율적으로 대응하는 데 한계가 있었던 점 등이 공격을 막지 못한 이유로 꼽혔다.

2011년 4·12 농협전산망 해킹공격은 2011년 4월12일 국내 농협 전산망 자체가 이용 불가능 상황에 빠진 사건이다. 이 사건은 농협 유지보수업체 직원의 노트북을 좀비 PC로 감염시켜 7개월 이상 집중 관리한 뒤 원격조정 공격한 신종 공격이었다.

좀비 PC로 활용한 유지보수업체 직원의 노트북은 2010년 9월 S웹하드 사이트에서 범인들이 업데이트 프로그램으로 위장해 유포시킨 악성코드에 감염됐다. 악성코드가 발견되지 않도록 암호화하는 방식과 30여개 삭제 대상 파일의 확장자가 이전 북한 디도스 공격 때와 일치했다.

이 사건 후 외주 협력업체 보안 관리 상 허점과 금융기관 등 민간 기업에 대한 보안 관제를 실시하지 않아 사이버공격을 탐지하고 차단하는 데 미흡했던 점 등이 지적됐다.

2013년 3·20 방송사·금융기관 사이버공격은 2013년 3월20일 북한 정찰국이 MBC를 비롯한 방송사와 국내 주요 언론사, 농협, 신한은행, 제주은행 등 금융기관 전산망을 악성코드로 감염시켜 동시에 다운시킴으로써 8672억원에 달하는 피해를 준 사건이다. 북한은 컴퓨터 부팅 영역만 공격한 게 아니라 하드디스크 자체를 손상시켰다. 손상된 데이터는 원형으로 복구되지 않았다.

2013년 6·25 디도스 공격은 2013년 6월25일부터 7월1일까지 4회에 걸쳐 국내 정부·언론·민간업체 등 69개 서버가 공격을 받은 사건이다.

이 공격으로 주요기관 누리집이 변조됐으며 하드디스크 삭제와 함께 정부와 민간기관이 보유한 294여만명 개인정보가 유출됐다. 북한이 전산망 공격을 예고하고 있는 상황에서 예측 가능한 위기대응에 미흡했다는 점, 민관군 유관기관 간 사이버위협 정보 공유체계가 원활하지 않았다는 점 등이 지적을 받았다.

2014년 서울메트로, 한국수력원자력 원전, 국군 사이버사령부 해킹사건 역시 대규모 피해로 이어졌다.

2014년 7월23일 지하철 1~4호선을 운영하는 서울메트로의 업무용 컴퓨터 3대에서 부서 업무계획 등 12건이 북한에 유출됐다.

북한은 2014년 12월 한국수력원자력 원전을 해킹해 한수원 관련 자료를 탈취하고 한수원 관계자들의 전자우편 비밀번호를 수집한 뒤 계정에서 자료들을 빼내고 한수원 직원 3571명에게 5986통의 파괴형 악성코드 전자우편을 발송했다.

같은 해 9월에는 국군 사이버사령부의 내부 전용 서버인 전군의 인터넷망 컴퓨터에 보안 프로그램을 공급하는 역할을 하는 백신 중계 서버가 북한에 해킹 당했다.

2016년 국방통합데이터센터(DIDC) 해킹은 2016년 12월 북한 해커로 추정되는 세력이 각 군의 웹사이트와 인트라넷 등 군의 모든 IT 서비스를 통합 관리하는 경기 용인 국방통합데이터센터 서버를 2016년 8월부터 2~3개월간 해킹 공격한 사건이다.

이 사건으로 악성 코드에 감염된 군 인터넷용 컴퓨터는 2500여대에 이른다. 인트라넷용 컴퓨터 중에서도 700여대가 감염된 것으로 나타났다. 해킹이 발생한 사실을 2~3개월간 인지하지 못했다는 점이 충격을 줬다.
[서울=뉴시스] 북한 사이버공격의 주요 경로. 2021.07.18. (자료=신영웅 한세대 산업보안학과 교수 논문 캡처) *재판매 및 DB 금지

[서울=뉴시스] 북한 사이버공격의 주요 경로. 2021.07.18. (자료=신영웅 한세대 산업보안학과 교수 논문 캡처) *재판매 및 DB 금지

이 같은 공격을 위해 북한은 1999년부터 사이버공격 역량 확충을 국가전략으로 채택했다. 북한 내 최고권력기관인 노동당과 군의 정찰국이 직접 통제하는 등 사이버공격 능력 강화에 집중해왔다.

북한 노동당 산하에 통일전선부와 문화교류국, 그리고 국무위원회(구 국방위원회) 산하에 정찰총국, 국가보위성, 인민군보위국 등이 사이버테러 조직을 두고 있다.

사이버전을 연구하는 국방과학연구원과 사이버전 인력을 양성하는 김일 군사대학(이하 미림대학, 구 지휘자동화대학) 등도 사이버전을 수행한다.

이들 조직은 한국과 각국을 대상으로 해킹과 악성코드 유포 등을 통해 각종 정보절취, 암호통신, 통신감청, 대남공작 기술연구·개발, 간첩 교신, 외화벌이, 사이버심리전 등 임무를 수행하고 있다.

국내외 민·관 사이버보안 전문 업체에 따르면 북한 공작기관 지원하에 라자루스(Lazarus), 김수키(Kimsuky), 금성121, APT38 등 해커 그룹이 활동하고 있다. 명칭은 해커 그룹을 최초로 발견한 보안업체가 붙였다.

정찰총국 사이버테러 전담부서인 기술정찰국(3국)은 라자루스 그룹 안에 침묵 천리마, 미로 천리마(APT37), 빛나는 천리마, 물수제비 천리마, 별똥 천리마, 안다니엘, 불루노로프, 히든코브라(평화의 수호자) 등을 두고 있다.

라자루스 그룹은 2007년 가장 먼저 창설돼 각국 정부와 군, 금융기관과 언론 등 전산망을 대상으로 데이터 절도, 금전강탈과 악성코드를 사용한 컴퓨터 파괴 공작 등 임무를 수행해왔다.

라자루스는 소니픽쳐스 영화사 해킹(2014년), 방글라데시 중앙은행 8100만 달러 해킹(2016년), 워너크라이(WannaCry) 랜섬웨어 공격(2017년) 등의 주범으로 지목됐다. 미국 연방수사국은 2018년 9월6일 라자루스 소속 박진혁을 붙잡았다.

북한은 어떻게 해커들을 키우고 있을까. 북한은 10대 컴퓨터 영재들을 전국적으로 선발한 후 IT전문대학에 진학시키거나 외국에 조기유학을 보내 사이버 전사로 양성하고 있다.

중앙, 도(시·군·구역) 단위 영재 교육기관인 제1중학교에서 선발된 영재들이 금성1·2 고등중학교 컴퓨터전문반에서 IT인재 영재 교육을 이수한다. 우수 인재들은 김일성종합대학의 컴퓨터과학대학, 평양컴퓨터기술대학, 평양이과대학, 함흥컴퓨터기술대학 등에 입학한다. 이들은 프로그래밍, 명령어 자동화, 전산화 연산, 기술정찰, 사이버전 등에 대한 심층 교육을 통해 사이버 전문가로 양성된다.

이들 중 우수한 자들은 북한군 총참모부 김일 군사대학(구, 지휘자동화대학, 일명 미림대학), 정찰총국 산하 모란봉대학 등에 진학하거나 외국 유학으로 전문적인 교육을 받은 후 해킹 전문부대에 배치된다. 이 밖에 사이버 공작 전문 연구소인 국방과학원 '정보전 연구소'와 압록강 대학 등이 해킹 요원을 키우고 있다.

국내외 전문가들은 북한의 사이버 해킹 역량을 중국과 이란, 러시아에 이어 세계 4위에서 5위권으로 평가하고 있다.
[서울=뉴시스] 북한의 사이버테러 공작 기관. 2021.07.18. (자료=김윤영 경찰대학 치안정책연구소 연구관 논문 캡처) *재판매 및 DB 금지

[서울=뉴시스] 북한의 사이버테러 공작 기관. 2021.07.18. (자료=김윤영 경찰대학 치안정책연구소 연구관 논문 캡처) *재판매 및 DB 금지

전문가들은 북한 사이버공격에 철저히 대비해야 한다고 조언한다.

신영웅 한세대 산업보안학과 교수는 '북한 사이버공격의 남북한 합의사항 위반 여부의 분석에 관한 연구' 논문에서 "북한이 한국에 준 피해는 무력사용의 수준은 아니지만 국제적으로 금지되고 있는 다른 국가에 대한 간섭, 적대행위 금지, 사이버공간에 대한 불법 침입은 물론 상호신뢰 구축 합의의 위반"이라고 지적했다.

신 교수는 "북한의 한국에 대한 사이버공격은 그 빈도와 강도, 결과의 심각성을 고려할 때 북한의 어떤 재래적 국지 도발 못지않게 한국의 안보를 위협하고 광범위하게 사회불안을 유발했다"고 평가했다.

한상암 원광대 경찰행정학과 교수와 김윤영 경찰대학 치안정책연구소 연구관은 '북한의 금융기관 사이버테러 실태 대응 개선방안 연구' 논문에서 "북한은 국제사회의 대북제재로 외화벌이 통로가 마비돼 김정은의 통치자금이 줄어들자 부족한 외화를 벌충하기 위해서 한국을 비롯한 각국의 금융망 대상 외화벌이 해킹에 총력을 기울이고 있다"며 "북한 해커조직은 연간 1조원 상당을 북한에 송금하는 것으로 알려졌다"고 설명했다.

엄응용 경운대 경찰행정학과 교수는 '북한의 대남 사이버공격에 대한 대비전략' 논문에서 "김정은 체제도 이전의 김일성과 김정일 체제와 다름없이 남한 체제를 파괴하려고 핵실험과 장거리 미사일 개발뿐만 아니라 사이버공격을 활용한 도발을 계속 진행할 수 있다"며 "우리 정부는 유엔 등 국제사회와의 공조를 통해 한반도 비핵화를 위한 제재를 추진함과 동시에 북한의 대남 사이버공격에 대한 종합적이고 실효적인 정책을 수립 집행할 필요가 있다"고 조언했다.


◎공감언론 뉴시스 [email protected]

많이 본 기사