미 국토안보부 산하 사이버안보·기반시설안보국(CISA).
미 CISA·재무부·FBI·사이버사령부가 26일 공개한 북한 해킹그룹 '비글보이즈' 활동 재개 합동 경보

계속해서 이번에 발령된 북한 사이버 금융범죄 경보의 의미와 ‘비글보이즈’의 대표적인 사이버 금융 범죄 사례, 예방 지침 등에 관해 김시영 기자와 함께 알아보겠습니다.

진행자) 먼저 이번에 발표된 사이버 경보가 갖는 중요한 의미는 무엇일까요?

기자) 네, 북한 사이버 역량이 국제 금융 체제에 대한 심대한 위협이라는 점이 다시 한 번 확인된 것입니다.  북한이 인터넷망을 이용해 멀리 떨어진 나라의 은행에 악성 코드를 심고 자기 컴퓨터처럼 조종한 것이나 마찬가지이기 때문입니다. 한 나라의 금융 기간망에 혼란을 줄 수 있다는 점에서 중대한 위협이라는 겁니다.  또한, 북한 해킹의 기술적 방법과 발견 그리고 대비책 등이 상세하게 다뤄졌다는 점에서도 예방 차원의 의미가 있습니다. 

진행자) 북한 해킹조직 ‘비글보이즈’는 이번에 처음 세상에 알려졌는데요, 이 단체의 대표적인 금융 사이버 범죄 사례로는  어떤 것이 있었나요?

기자) 네, 이번 발표에서 나타난 비글보이즈의 가장 악명높은 금융 사이버 범죄 사례는 2016년 8천100만 달러를 방글라데시 은행에서 빼낸 사건이었습니다. 당시 미 연방준비은행이 수상한 송금 정보를 포착하면서 총 10억 달러 규모의 편취 시도를 막아 피해는 더 커지지는 않았습니다. 

진행자) 비글보이즈는 어떻게 각국의 사이버 보안 감시망을 피했나요?

기자) 네, 비글보이즈의 활동 재개 소식 외에 흥미로웠던 부분은 이 단체가 국제 사이버 안보 감시망을 회피하기 위해 자신들이 사용했던 악성 프로그램을 스스로 지워버렸다는 점이었습니다. 뿐만 아니라 프로그램을 다시 사용하게 될 경우 서명 등의 기록을 자동으로 다른 것으로 바꾸는 기능도 있었다고 합니다. 이밖에 방화벽 체계를 무력화하는 코드를 심거나 해커들이 해당 전산망에 접속했던 시간을 조작하는 등 매우 치밀한 회피 전술을 썼던 것으로 드러났습니다.

진행자) 북한이 ATM 을 통한 현금 편취를 시도한다는 경보가  발령된 것이 이번이 처음인가요?

기자) 아닙니다. 지난 2018년 10월에도 북한이 ATM망을 사용해 현금인출 사기를 벌이고 있다고 경고한 바 있습니다.  다만 그때는 사이버 행위자가 ‘히든코브라’로 통칭되는 북한 해커단체로 지목됐다면, 이번에는 그 주체가 비글보이즈라는 산하 조직으로 특정됐다는 차이가 있습니다.  이번에 합동 경보를 발령한 CISA, 재무부, FBI 그리고 사이버사령부는 지난 2018년 10월부터 모두 64건의 북한 금융 사이버 범죄 내용을 웹사이트에 게재하고 이를 추적해 왔습니다.  이와 별개로 최근에는 신종 북한 해킹그룹 '블라인딩캔'이 미국 등 해외 국방 항공우주 분야 기업에 대한 사이버 공격을 감행했다며 보안 경보를 CISA 자체적으로 발령하기도 했습니다.

진행자)이번에 미 정부 4개 사이버 안보 담당 기관들이 제시한 민간 차원의 실질적 예방 지침에는 어떤 것들이 있습니까?

기자) 네, 일단 사이버 안보 당국들이 가장 먼저 강조한 것은 비글보이즈의 악의적 사이버 활동 사실을 인지하는 대로 즉시 국토안보부 산하 사이버안보 기반시설 안보국(CISA) 이나  재무부에 통보하라는 것입니다.  실제 그동안 이렇게 통보된 내용들을 바탕으로 각종 관련 멀웨어 코드 등을 CISA 웹사이트에 공유해 온 것도 추가 피해를 막기 위한 조치라고 할 수 있습니다. 개인적으로는 개인식별번호(PIN)를 반드시 사용하는 것은 물론, 금융 정보 보안 단계를 여러 단계로 구성해 사적 전산망이 침입당하지 않게 하라는 등의 세부적인 주의사항이 있었습니다.

김시영 기자와 함께 미국 사이버 안보 담당 부처의 북한 사이버 금융범죄 합동 경보의 의미와 예방 지침 등을 알아봤습니다.