> 기획 > 이슈
북한의 전략무기는? … 해킹능력국방부부터 금융에 이르기까지 무차별 공격
김동윤 기자  |  webmaster@k-today.com
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2017.11.01  10:59:15
트위터 페이스북 미투데이 요즘 네이버 구글 msn

북한이 현재까지 핵무기로 계속적인 위협을 하고는 있지만, 사실 이것은 겉으로 드러난 위협일 뿐. 실제 이를 활용할 것으로 보이지는 않는다. 미국의 경제적인 압박에도 계속적인 도발을 감행하는 이유는 무엇일까. 무슨 꿍꿍이가 있는 것일까. 혹 우리가 알지 못하는 강력한 무기라도 있는 것일까. 무기가 있다면 그것은 무엇일까. 전문가들은 북한의 무차별적인 해킹 능력이 가장 강력한 전략무기가 될 것이라고 입을 모은다.

   
 

뚫려 버린 국방부 전산망 작전 노출

최근 국방통합데이터센터(DIDC)가 북한인 추정 해커에 해킹당했을 당시 북한 지도부를 제거하기 위해 한미 연합군이 작성한 ‘김정은 참수 작전’ 계획이 북한에 유출된 것으로 확인돼 충격에 빠진 바 있다. 국회 국방위원회 소속 이철희 더불어민주당 의원은 10월 10일 “지난해 9월 국방통합데이터센터가 북한인 추정 해커에 뚫렸을 때 중요한 기밀이 대거 유출된 것으로 확인됐다”고 밝혔다. 이 의원실에 따르면 당시 유출 자료는 우리 군 외부 인터넷망과 내부 인트라넷(국방망)에서 235GB(기가바이트) 분량으로, 2급 기밀 226건, 3급 기밀 42건, 대외비 27건 등이 포함됐다.

특히, 유출된 자료 중에는 북한 지도부를 타격하는 ‘참수작전’의 구체적인 내용이 들어있는 ‘작전계획 5015’, 국지 도발 대응 계획인 ‘작전계획 3100’ 문서도 있었다. 참수작전과 관련해선 북한 지도부 이동 상황 식별ㆍ보고와 은신처 봉쇄, 공중 강습, 북한 지도부 확보ㆍ제거ㆍ복귀 등 4단계 계획이 유출된 것으로 알려졌다. 이 의원은 “국방부가 유출된 자료 중 182GB 분량에 대해서는 어떤 내용이 유출됐는지 파악조차 못한 상태”라고 말했다.

이에 앞서 국방부는 전쟁 상황 시 군사작전과 지휘 사항을 전달하는 군 내부 작전정보시스템인 ‘한국군합동지휘통제체계(이하 전장망)’가 북한이 만든 ‘워너크라이’ 랜섬웨어에 공격당한 바 있다. 지난해 9월 북한에 국방망을 해킹 당한 데 이어 전장망마저 뚫린 것이다. 대형 해킹 사고 후에도 제대로 사이버 보안 조치는 이뤄지지 않았다. 군 사이버 보안 체계를 새로 짜야 한다는 목소리가 높다. 

육군 모 사단 전장망이 지난 8월 21일 한·미 연합연습 을지프리덤가디언(UFG) 기간 워너크라이에 감염됐다. 전장망은 평시엔 군사연습과 훈련 시 정보를 주고받을 때 쓴다. 전시에 군사작전과 지휘 사항을 전달하는 최고 등급 보안망이다. 전장망이 마비되면 국가 안보에 치명타다.

‘워너크라이’ 랜섬웨어에 공격… 유입경로조차 몰라

워너크라이는 지난 5월 초 세계를 강타했다. 영국 의료기관 47곳을 비롯해 르노 등 각종 제조공장 라인을 가동을 중지시켰다. 워너크라이 공격 하루 만에 세계 150여개국 약 23만여대 기기가 감염됐다. 미국 정부는 5월 북한이 지원하는 해킹 조직 라자루스가 워너크라이를 유포했다고 밝혔다.

합동참모본부는 5월 14일 워너크라이 랜섬웨어 대응 차원에서 인포콘을 3단계로 격상했다. 이런 조치에도 군은 워너크라이 확산이 멈춘 3개월 후에 전장망 감염 피해를 봤다. 당시 전장망에 대한 워너크라이 대응이 제대로 이뤄지지 않았다. PC 업데이트를 하지 않은 정황이다. 마이크로소프트(MS)는 이미 3월 관련 보안 업데이트를 진행했다.

군은 전장망에 어떤 종류 악성코드에 감염됐는지도 밝히지 못했다. 군은 악성코드가 영상 운영장비 'IP Wall' 장비 세팅 과정에서 유입된 것으로 추정했다. 한 보안 전문가는 “최초 유입 지점이 IP Wall이라면 전장망과 연결되는 기기에 대한 보안성 검토가 이뤄지지 않았다는 말”이라면서 “군의 사이버 보안 총체 부실을 보여 준다”고 지적했다. 군 자료에 따르면 전장망 일부 PC가 'mssecsvc.exe, tasksche.exe' 파일에 감염됐다고 보고했다. 해당 실행 파일이 워너크라이 랜섬웨어다.

군은 미상 경로에서 유입된 악성코드 파일이 특정 경로 'C:windowsmssecsvc.exe'로 자가 복제한다고 명시했다. 동일 IP 대역과 랜섬 IP를 스캔해서 네트워크에 연결 가능한 IP가 확인되면 윈도 서버메시지블록(SMB)의 취약점을 이용, 네트워크 웜으로 전파한다고 설명했다. 워너크라이 전형 특성이다.

워너크라이는 5월에 확산을 멈추는 킬스위치가 작동, 더 이상 확산하지 않는다. 그 대신 전장망과 같이 인터넷과 폐쇄된 망이 감염되면 킬스위치가 작동하지 않아 피해를 준다. 군은 여전히 최초 유입 경로를 파악하지 못하면서 피해 사실 감추기에 급급했다.

김승주 고려대 사이버국방학과 교수는 “전장망은 완전히 폐쇄됐다고 믿는 망 분리 맹신이 가져온 결과”라면서 “워너크라이 사태를 철저히 대응한 민간과 달리 군의 허술한 체계가 만천하에 드러났다”고 성토했다. 이철우 의원은 “사이버사령부는 해당 악성코드가 워너크라이 랜섬웨어라는 사실조차 파악하지 못하고 단순 바이러스 감염으로 알았다”면서 “지난해 국방망 해킹 사고를 당하고도 전혀 달라진 것이 없다”고 질타했다.

해군 잠수함 미사일 콜드런치, 북에 해킹당해

북한이 해군 잠수함의 콜드런치(Cold Launch) 기술을 해킹한 것으로 드러났다. 콜드런치는 잠수함 발사관 내부에서 고압의 압축공기시스템을 이용, 미사일을 사출시킨 뒤 공중에서 점화하는 기술이다. 최근 북한 신포급 잠수함의 잠수함발사탄도미사일(SLBM) 콜드런치 기술의 급속한 진전을 감안하면 해킹한 우리 해군 기술을 활용했을 가능성도 있어 파장이 예상된다.

국방 사이버 조사 분야에 정통한 군 간부 ㄱ씨는 “북한군 정찰총국과 관련된 해커조직이 잠수함을 건조하는 국내 방산업체를 해킹해 콜드런치 기술을 절취한 것으로 조사됐다”고 밝혔다. 이어 “해킹이 북한 SLBM의 콜드런치 방식을 획기적으로 발전시킨 배경일 수 있다”고 말했다.

그는 해킹당한 기술이 2020년 전력화 예정인 장보고-Ⅲ 잠수함(3000t급)에서 나온 것인지, 전력화가 마무리된 장보고-Ⅱ 잠수함(1800t급) 것인지에 대해서는 언급을 피했다. 장보고-Ⅲ급은 수직발사관을, 장보고-Ⅱ급은 어뢰발사관을 이용한 콜드런치를 각각 적용하고 있다.

예비역 해군장성 ㄴ씨는 해군의 3000t급 잠수함 설계도가 해킹당했을 가능성도 배제하지 않았다. 그는 “북한이 다수의 SLBM 발사관을 장착한 3000t급 잠수함도 건조 중이라는 보도가 나오고 있다”며 “북한의 과거 잠수함 건조 수준을 감안할 땐 해킹을 통해 장보고-Ⅲ급 설계 기술을 확보했을 가능성이 있다”고 말했다.

그러나, 군과 경찰 관계자들은 관련 수사 여부조차 확인을 거부했다. 다만 “노코멘트” 가능성을 부인하지 않았다. 수사 당시 기무사 고위 관계자였던 ㄷ씨는 “확인하기 어려운 사안”이라고 말했다. 당시 해킹 수사를 맡은 경찰 한 간부는 “사이버테러 담당부서에서 방산업체 해킹을 수사한 것 외에는 잘 모른다”고 언급을 피했다. 고위 간부 ㄹ씨는 “우리는 NCND 할 수밖에 없는 사안으로, 군쪽에서 창구는 군쪽으로 해달라고 요청했다”고 말했다.

돈 빼내려고 매일 아일랜드 금융계 해킹

미국과 유엔의 대북(對北) 경제 제재가 갈수록 죄어오면서, 북한 정권의 사이버 해킹 조직이 자금 마련을 위해 거의 매일 아일랜드 금융기관·정부·기업을 겨냥해 해킹을 시도한다고, 아일랜드 뉴스매체 인디펜던트가 최근 보도했다.

이 신문은 지난해 10월 28일 아일랜드의 미스(Meath) 카운티 자치정부를 해킹해 430만 아일랜드 파운드(약 73억 원)을 빼내가려던 시도도 북한이 저지른 것으로, 이 돈은 북한 계좌로 넘어가기 수 분 전에 홍콩의 은행계좌에서 동결됐다고 보도했다.

아일랜드 기업들이 북한 당국의 조직적 금융 해킹 주 타깃이 되는 이유는 ▲유럽 시장을 겨냥한 전세계 다국적 기업들이 아일랜드에 위치하고 있는 반면에 ▲아일랜드 기업들의 사이버 보안 정책은 상대적으로 허술하기 때문이다.

아일랜드 기업들이 금융 해킹으로 빼앗긴 돈은 2014년의 49만 8000아일랜드 파운드(8억 5000만 원)에서 2016년엔 170만 파운드(약 29억 원)으로 늘었고, 보안 전문가들은 이 금액은 앞으로 수년 내 기하급수적으로 늘 수 있다고 경고했다. 회계컨설팅 법인인 PWC는 아일랜드 기업이 보고하는 경제범죄의 44%는 사이버 범죄라고 밝혔다.

이 탓에, 폴 키호(Kehoe) 아일랜드 국방장관은 연례 국방 백사에서 “아일랜드의 사이버 공격 대비를 조속히 업그레이드해야 한다”고 강조했다. 아일랜드의 보안 전문가들은 이 신문에, “거의 매일 수백 곳의 아일랜드 기업들을 상대로 더 정교한 사이버 공격이 진행되고 있으며, 지난해에만 모두 2100만 건의 금융 해킹 시도가 있었다”고 말했다. 이 중 중국 해커들은 기업 비밀이나 의료 정보 절취가 목적이지만, 북한 해커들은 군비(軍費) 마련을 위해 돈을 뜯어내는 것이 목적이라고 밝혔다.

그럼에도, 아일랜드 기업들의 48%는 이렇다 할 사이버 보안 정책이 없다고 한다. 아일랜드 더블린의 통신기업인 매그네트 네트워크사의 한 조사에서는 최근 2년간 아일랜드 기업 205곳 중 26%가 해킹을 당했지만, 18%는 공격을 당한 사실도 인지하지 못하고 있었다. 

한국은행 상대로도 수차례 해킹 시도

북한은 한국 금융계를 상대로도 지속적으로 사이버 공격을 시도하며, 돈을 빼가려고 하고 있다. 지난 4년 여간 한국은행을 상대로 400건 가량의 사이버 공격 시도가 있었고, 이 가운데는 북한발 사이버 공격도 포함된 것으로 나타났다. 국회 기획재정위원회 소속 자유한국당 심재철 의원이 공개한 자료에 따르면, 2013년부터 올해 8월까지 한국은행을 노린 사이버 공격 횟수는 모두 399건으로 집계됐다. 전체 공격의 82%는 해외에서 이뤄졌고, 유형별로는 해킹시도가 가장 많았다.

정부관계자는 이와 관련 “북한이 수차례에 걸쳐 사이버 공격을 시도한 것으로 파악됐다”고 말했다. 북의 해킹 시도에서 비트코인 거래소 역시 예외는 아니다. 몇 달 전 비트코인 거래소들을 대상으로 한 해킹 시도는 북한 소행인 것으로 경찰 수사에서 확인됐다.

경찰청 사이버안전국은 올 7∼8월 국내 비트코인 거래업체 4곳 관계자 25명의 이메일을 상대로 이뤄진 악성코드 공격 사건을 수사한 결과, 북한 해커 소행으로 판단된다고 9월 27일 밝혔다. 북 해커는 국내 ATM까지 손을 뻗쳤다. 국내 ATM기에서 23만 건의 금융거래정보가 해킹돼 1억 원이 넘는 피해가 발생한 것으로 나타났다. 경찰청 사이버안전국은 최근 국내 ATM 63대에 악성프로그램을 감염시켜 빼낸 23만여 건의 전자금융거래정보를 북 해커로부터 전달 받아 유통하고, 이를 이용해 카드를 복제·사용한 피의자 4명을 검거해 정보통신망법위반 등의 혐의로 구속 송치한 바 있다.

수사 결과, 북 해커는 국내 ATM기 업체 백신 서버의 취약점을 이용해 전산망을 해킹한 후, 전국 대형마트 등에 설치된 ATM기 63대에 악성프로그램을 유포해, 전자금융거래정보 23만8073건을 국내에 설치한 탈취서버를 통해 빼낸 것을 확인했다. 피의자들은 이를 전달받아 한국, 대만, 태국, 일본 등 각국의 인출책들에게 유통하고 복제카드를 만들어 국내·해외에서 현금을 인출하거나 대금 결제, 하이패스 카드 충전 등 부정 사용해온 것으로 확인됐다.

경찰청 관계자는 “북한 해커로부터 받은 카드정보를 유통했다는 피의자 진술을 확보했다”며 “북한의 사이버테러가 국내인과 결탁한 외화벌이로 확장돼, 국민 실생활까지 위협하고 있어 관련 첩보수집과 수사 활동을 강화하겠다”고 말했다.

미국 전력회사까지 사이버공격 대상 삼아

북한이 한국 국방망을 해킹한 것으로 알려진 가운데 미국의 전력회사까지 공격의 대상으로 삼았다는 보도가 나왔다. 미 NBC는 10월 10일(현지시간) 사이버 보안회사인 파이어아이(Fire Eye)가 작성한 보고서를 입수해 “북한과 연결된 해커들이 최근 미국 전력 회사에 e메일을 보내 사이버공격을 했다”고 보도했다. 해커들이 사용한 수법은 ‘스피어피싱(spear-phishing)’이었다.

전력회사 내부 인물을 표적 삼아 악성 e메일을 발송, 첨부파일을 열면 컴퓨터를 감염시켜 경유지를 통해 회사 정보를 빼내는 방식이다. 미 전력회사에 보내진 e메일은 기부모금을 위한 초대장이 첨부돼 있었다. 파이어아이는 해킹이 성공했다는 증거는 없었다고 밝혔다. 하지만, 최근 북한과의 긴장이 고조되는 가운데 미국의 전력시설들이 사이버공격의 타깃이 되고 있다고 평가했다.

미 연방수사국(FBI) 전 방첩부 책임자인 찰스 피글리우치는 “이것은 북한이 사이버 공격자로 활동하면서 우리를 해칠 수 있는 능력을 키우고 있다는 신호다”고 말했다. 북한의 사이버공격은 가상화폐거래소도 겨냥했다. 올해 들어 국제적 제재가 강화되자 고객의 정보를 빼내 가상화폐를 탈취하고 있는 것이다. 파이어아이는 최근 보고서에서 대북제재 확대를 발표한 지난 4월 이후 북한 해커가 국내 가상화폐거래소 3곳을 공격했다고 밝혔다.

수법 역시 미국 전력회사에 이용했던 스피어피싱이었다. 파이어아이에 따르면, 북한은 지난 5월말이 종합소득세 신고 마감이라는 점을 노린 세금계산서와 유명 경제연구원이 작성한 가상화폐 현황보고서에 악성코드를 숨겨놓아 이를 열어본 고객의 정보를 빼냈다. 통일연구원에 따르면 북한은, 사이버사령부를 설치해 군과 노동당 산하 7개 해킹 조직에 1700여 명의 전문인력을 양성해 배치했다. 이와 별도로 10여 개의 해킹 지원 조직에서 7000여 명의 해커를 보유하고 있다.

 

 

김동윤 기자  webmaster@k-today.com

<저작권자 © 오늘의한국, 무단 전재 및 재배포 금지>

김동윤 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
최근인기기사
1
국회 개원 이후 최초 원가검증기구 운영한다
2
완도군, 4개 권역 352억 투입 어촌 성장 이끈다
3
맑은 하늘이지만 황사 영향, 큰 일교차 주의해야
4
산자중기소위, 코로나 피해 지원 위한 추경예산 수정의결
5
윤석열 전 검찰총장 대선 후보 적합도 39.1% 단연 1위
6
박영선·오세훈, 'MB아바타'·'독재자 아바타' 설전
7
박병석 국회의장, 낸시 펠로시 미국 연방 하원의장과 첫 화상회담
8
[국회] 임신 중인 근로자도 육아휴직 가능해진다
9
매년 4월 12일, ‘도서관의 날’로 정한다
10
국회 정무위원회, 안정적인 서민금융 재원 확보 방안 마련
회사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
(08513) 서울특별시 금천구 벚꽃로234 | 대표전화 : 02)702-0111 | 팩스 : 070-4275-1429
잡지사업등록번호 : 서울중, 라00675 | 등록일 : 1982년 12월 23일 | 인터넷신문사업등록번호 : 서울 아03244
회장: 임윤식 | 사장: 정희돈 | 편집국장 : 정재형 | 청소년보호책임자 : 정재형
Copyright © 2013 오늘의한국. All rights reserved.