[아이뉴스24 성지은 기자] 한반도를 둘러싼 지정학적 사이버 보안 위협이 지속되면서 북한·중국·러시아에 기반을 둔 해커그룹이 한국에 가장 큰 영향을 미치는 것으로 조사됐다.
사이버 보안기업 파이어아이 전문가들은 지난 1일부터 나흘간 워싱턴D.C. 힐튼호텔에서 열린 '사이버 디펜스 서밋 2018'에서 한국 기자단과 만나 북·중·러 해커그룹의 동향을 공유했다.
미국에 본사를 둔 파이어아이는 지능형 지속위협(APT) 탐지에 전문성을 지닌 보안기업으로, 세계 각국의 해커그룹을 추적하며 관련 정보를 미연방수사국(FBI) 등 글로벌 조사기관과 공유하고 있다.
◆北 해커, 정상회담 이후 공격 지속…"금전 탈취·파괴적 행동"
먼저 2차례의 남북 정상회담과 화해 분위기 속에서도 북한발(發) 사이버 공격은 지속되는 것으로 나타났다. 관계 개선이 있더라도 북한에 대한 국제사회의 경제제재는 이어지기 때문에 금전 탈취 목적의 해킹은 끊이지 않는 것.
산드라 조이스 파이어아이 글로벌 인텔리전스 운영 부사장은 한국을 비롯한 전 세계 금융기관을 노리는 북한 해커그룹 'APT38'을 언급하며 "외교적인 노력과 상관없이 특히 금전을 노리는 북한의 사이버 공격이 계속되고 있다"고 말했다.
이 외 북한 정부의 지원을 받는 '김수키' 그룹은 탈북자, 북한 인권활동가 등을 지속 감시하고, 군대 첩보 등을 수집하는 간첩 활동도 계속되고 있다. 또 보안이 취약한 암호화폐 거래소가 북한 해커들의 집중 공격대상이 되고 있다.
존 헐트퀴스트 파이어아이 위협 인텔리전스 국장은 "대부분의 암호화폐 거래소 공격 사례가 북한 해커그룹과 연계돼있다고 봐도 무방하다"며 "최근 암호화폐 가격이 떨어졌다고 해도 암호화폐는 수익을 내는 디지털 자원이므로 공격은 계속될 것"이라고 내다봤다.
북한 해커그룹의 특징은 '파괴적'이란 한 단어로 요약했다. 헐트퀴스트 국장은 "북한 해커그룹은 잃을 것이 없는 것처럼 파괴적으로 행동한다"며 "한 번에 시스템을 장악하고 파괴적으로 행동하는 특징을 보이는데, 가령 APT38은 (금융기관 시스템을 조작해) 한 번에 많은 돈을 훔치고 해킹 기록까지 모조리 지운다"고 설명했다.
◆中 해커, 기술 탈취·정책 수집 '집중'…露 해커, 지정학 첩보·특정 정보 '민감'
국가적으로 봤을 때 북·중·러 가운데 중국 해커그룹이 가장 해킹을 활발히 했다. 이들은 기술 탈취 목적으로 해킹을 시도했다. 특히 한국에서 관심을 보이는 분야는 반도체로, 5년여 전부터 반도체, 신재생에너지 등 기술 분야 정보 수집에 관심을 뒀다.
헐트퀴스트 국장은 "어떤 기술은 연구개발에 특히 비용이 많이 드는데, (중국 해커그룹은) 이 분야에 대한 정보를 훔치고 팔기까지 했다"며 "마치 쇼핑을 하듯이 (기술과 관련된) 정보를 훔친다"고 말했다.
이들은 정보를 빼가기 위해 보안이 허술한 관계사에 침투한 다음 주요 기업의 네트워크로 들어가는 주도면밀한 모습도 보였다. 가령 중국 해커그룹 'APT10'의 경우, 주요 기업의 지식재산권을 탈취하기 위해 관계사에 먼저 침투한 다음 기업의 네트워크로 들어가 관련 정보를 빼갔다.
최근 중국 해커그룹의 사이버 공격 가운데 가장 두드러지는 것은 정책 수집이다. 벤자민 리드 파이어아이 사이버 첩보 분석 선임연구원은 "중국 해커그룹은 2010~2011년경부터 시작해 최근 한국을 정책적 측면에서 많이 관찰하고 있다"고 설명했다.
한국 등 전 세계 주요 국가를 해킹하는 러시아 해커그룹은 지정학적 첩보 수집과 관련한 활동을 지속하고 있다. 또 올림픽, 대통령, 우크라이나, 미국 선거 등 특정 분야와 관련된 정보 수집에 민감한 모습을 보였다.
리드 선임연구원은 "러시아에서 외국 정책 수집이라든가 어느 분야에 우선순위를 정하면 민감하게 대응하는 조직이 APT28"이라면서 "최근 화학무기와 관련한 논의가 많은데, APT28이 영국을 대상으로 관련 활동을 하고 있다"고 말했다.
◆해킹 문제, 외교적 차원 접근·경각심 갖고 대응책 마련
그렇다면 한국을 대상으로 한 각종 해킹에 정부와 민간은 어떻게 대처해야 할까.
최근의 사이버 공격은 단순 악성코드 유포 목적이 아니라 정치적·경제적인 목적을 갖고 이뤄지는 만큼 외교적 차원에서 접근해야 한단 설명이다. 또 사이버 공격을 가정하고 이에 대응할 수 있는 계획을 마련하는 등 선제 노력이 필요하다.
리드 선임연구원은 "향후 사이버전은 정치가들이 무엇을 원하는가에 따라 발전 방향이 정해질 것"이라며 "국가적으로 사이버 유출 사고가 발생한다면 또는 통신망이 훼손돼 전화가 먹통이 된다면, 국가가 어떻게 대응할 것인지 가정하고 계획을 세워야 한다"고 말했다.
또 "기업 차원에서는 주기적으로 비밀번호를 바꾸고 소프트웨어를 업데이트해 보안 위협을 낮추는 노력이 필요하다"고 덧붙였다.
언제든 사이버 공격이 발생할 수 있다는 사실을 인지하고 사고가 발생했을 때 피해를 최소화하는 일도 필요하다. 또 공격의 배후를 조사하는 작업도 수반돼야 한다.
헐트퀴스트 국장은 "심리적으로 언제든 사이버 공격이 발생할 수 있다는 경각심을 가져야 한다"며 "미국에서는 러시아가 배후에서 사건을 조작하는 일 등이 있었는데, (한국에서) 특별히 큰 사고가 발생했을 때는 배후에 북한 등 다른 국가세력이 있는지 조사하고 밝히는 작업이 필요하다"고 말했다.
워싱턴D.C.(미국)=성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기