벤자민 리드 연구원.
벤자민 리드 연구원.

새롭게 공개된 북한의 해커 조직 ‘APT 37’ 과 관련한 보고서를 낸 미국 보안업체 ‘파이어아이’는 북한의 해커 조직들이 현금은 물론 한국 정부와 탈북자 정보까지 빼내려고 시도한 것으로 분석했습니다. 오랜 기간 글로벌 해킹 진원지로 불리던 중국 조직들보다 더욱 공격적인 이유도 이 때문인 것으로 분석했습니다. 안소영 기자가 ‘파이어아이’에서 사이버 첩보 활동을 분석하는 벤자민 리드 연구원을 인터뷰했습니다.

기자) ‘ATP 37’은 어떤 조직인가요? 

[녹취: 벤자민 리드 사이버 첩보 활동 연구원] “APT37 Reaper is a cyber espionage group that we believe is acting in support of the North Korean government.”

리드 연구원) 저희는 ‘APT37’을 북한 지원을 받고 활동하는 사이버 간첩으로 보고 있습니다. 그들을 지난 수년간 추적해왔는데요. ‘APT37’은 2012년부터 활동해 왔고 지금은 더 활발하게 움직이고 있는 것으로 보입니다. 주된 목표물은 한국이었는데, 지난 해부터 베트남과 일본, 중동으로까지 활동 범위를 넓힌 것으로 조사됐습니다. 아직 미국에는 ‘APT37’의 공격과 관련한 보고는 없습니다.

기자) 최근에 특별히 조사된 사이버 공격이 있었습니까?

[녹취: 벤자민 리드 사이버 첩보 활동 연구원] “We believe that they attempted to compromise the organizations related to Winter Olympics for strategic intelligence to gather information on what they(South Korea) were up to.”

리드 연구원) 동계올림픽과 관련한 단체들을 해킹하려는 시도가 있었던 것으로 믿고 있습니다. 올림픽과 관련한 한국의 전략 정보를 모아보려 했던 것으로 보입니다. 이 밖에도 한국의 대기업, 교육 시설은 물론이고 탈북자 단체, 남북통일 관련 사업체 등 북한에게 흥미로운 한국 내 단체들이 공격을 당했습니다.

기자) ‘APT 37’, 얼마나 위험한 해킹 조직으로 보시나요?

[녹취: 벤자민 리드 사이버 첩보 활동 연구원]”They are definitely a capable group, we have been internally tracking them down for two years, they have part of the reasons we are releasing the reports now is because of both of expanding geographical targeting.” 

리드 연구원) 확실히 역량 있는 조직입니다. 저희가 본격적으로 그리고 내부적으로 이 조직을 조사해 온 것은 2년쯤 되는데, 이 가운데 이런 보고서를 발표한 것은 이들의 활동 범위가 지형적으로 확장된 것도 있지만, 최근 ‘제로데이’ 의 취약점을 이용하는 정황을 확보해서입니다.

기자) 제로데이는 어떤 공격을 말하는 거죠?

[녹취: 벤자민 리드 사이버 첩보 활동 연구원] “Essentially, zero-day' refers to the fact that the developers have “zero days” to fix the problem that has just been exposed.”

리드 연구원) 근본적으로 ‘제로 데이’는 개발자들이 (해킹에 노출)되고 문제를 해결할 시간이 하루도 없다는 뜻입니다. 컴퓨터 운용체계나 프로그램 등에서 새로운 취약점이 발견되면, 관련 보호 장치나 패치가 나옵니다. 그런데 그런 관련 장치가 발급되기 전에 해커들이 공격을 수행하는 겁니다. 말하자면 아무런 준비 없이 속수무책으로 당하는 거니까, 막을 수도 없습니다. 상당한 위협으로 간주되는 부분이죠.

기자) 이런 정황들 외에 이들의 위협이 상당해 지고 있다는 단서는 어떻게 찾으셨나요?

[녹취: 벤자민 리드 사이버 첩보 활동 연구원] “So it is different in the scope, they have included sort of beyond the North Korea, we haven’t seen them using it, but seen them deploy wiper malware which has potential to sort of wipe the all the contents in the computer.”

리드 연구원) 말씀 드렸듯이 이들의 목표물이 확대되고 있다는 것을 찾았습니다. 또 대표적으로 ‘와이퍼 멀웨어’라는 악성코드 때문입니다. 아직 이 코드를 사용했다는 단서는 찾지 못했지만 확실히 확보했다는 것은 찾아냈습니다. 이 코드는 PC내 모든 것, 심지어 공격 흔적 마저 지워버리는 해킹 툴인데요. 금융 범죄에 많이 쓰입니다.

기자) 보통 IP 주소를 토대로 해킹의 배후를 찾아 내지 않습니까? 북한이 아닌 제3국 해커들이 이런 점을 노리고 북한의 IP를 사용하지는 않을까요?

[녹취: 벤자민 리드 사이버 첩보 활동 연구원] “That is hypothetically possible, but it would be challenging because North Korea has very small amount of IP addresses signed to them compared to the country like US, so It would be much harder for them to pull off.”

리드 연구원) 가설적으로 보면 가능하죠. 하지만 상당히 어려운 일입니다. 왜내면 다른 나라들과 비교해 북한에 할당된 IP주소는 상당히 적습니다. 지금 정확한 숫자는 갖고 있지 않지만, 상당한 차이가 있습니다. 그래서 북한의 IP주소를 임의로 뽑아 사용하는 것은 굉장히 어려운 일입니다. 

기자) 보고서를 보면 북한 해커들이 중국 해커보다 공격적이라고 명시돼 있는데요. 

[녹취: 벤자민 리드 사이버 첩보 활동 연구원]” The Chinese Groups, for a long time, were primarily targeting, so called, traditional espionage. They were targeting countries, militaries. They were also targeting commercial entities to try to get steal intellectual properties.”

리드 연구원) 중국 조직들은 오랜 시간 동안 소위 ‘전통적 간첩’ 활동을 벌여 왔다고 말할 수 있습니다. 목표물이 특정 국가의 정부나 군 당국으로 한정돼 있는 거죠. 또는 기업 등의 지적 재산권을 탈취하려 하죠. 보고서에 나온 그 부분은 반드시 ‘ATP137’만을 지적한 것은 아닙니다. 북한 해커들로 추정되는 이전 사례들을 보면 전통적인 사이버 공격과 다릅니다. 금융시설에 대한 해킹이 예입니다. 세계 각국 은행 간 거래망, 비트코인 거래소 전산망 등을 뚫어 사이버 금융 범죄로까지 이어가는 것이 북한 해커들의 특징입니다. 북한은 불법적인 핵무기 프로그램 개발로 국제사회의 각종 제재를 받고 있습니다. 돈 줄이 끊기다 보니 돈이 되는 것이라면 범죄도 서슴지 않는 것으로 분석됩니다. 또 지금까지 저희 업체의 조사 결과, 북한 정권의 지원을 받으면서 해킹을 통해 각종 전략 정보를 얻으려는 것입니다. 한국 정부의 현황, 그리고 북한 탈북자들과 한국 내 어떤 단체들이 교류하는 지에 대한 정보를 얻어서 북한 정권의 의사 결정에 반영하려는 걸로 보입니다.

지금까지 벤자민 리드 연구원으로부터 점점 더 정교해지고 공격성을 띄는 북한의 해킹 조직에 대한 이야기를 들어봤습니다. 대담에 안소영 기자였습니다.