실시간
뉴스

보안

북한·중국·러시아, 세계 사이버안전 위협하는 문제아 3인방 활동 활발

[디지털데일리 이종현기자] 국제 정세는 여전히 한 치 앞도 내다볼 수 없을 정도로 혼탁하다. 러시아와 우크라이나의 전쟁이 지속하고 미국과 중국의 경쟁이 심화되며 북한의 미사일 도발이 어어지는 등 크고작은 사건이 연달아 발생하고 있다. 이처럼 ‘문제아’로 꼽히는 러시아, 중국, 북한은 현실 세계뿐만 아니라 사이버공간에서도 활발한, 문제적 활동을 펼치고 있다.

사이버보안 기업 트렐릭스는 2023년 1분기 사이버위협 보고서를 통해 중국의 위협에 대해 상세하게 소개했다. 랜섬웨어 및 국가 주도 지능형지속위협(APT) 공격 단체의 공격자를 특정했고, 그 공격자 대다수가 중국 해커라는 점이다. 트렐릭스에 따르면 1분기 탐지된 공격 활동 중 79%는 무스탕 판다(Mustang Panda)와 UNC4191과 같은 중국 연계 APT 단체다.

무스탕 판다는 브론즈 프레지던트, 허니마이트, 레드델타, 레드리치 등 이름으로도 불리는 중국 기반 해커조직이다. 대만, 홍콩, 몽골, 베트남, 가톨릭 바티칸 등 종교 단체를 집중 타깃으로 삼고 있다. 타깃의 모국어를 사용해 정부 조직을 사칭하고 코로나19 및 러시아-우크라이나 전쟁과 같은 국제 이벤트를 활용하는 스피어 피싱 캠페인을 펼친다.

존 포커(John Fokker) 트렐릭스 어드밴스드 연구센터 위협 인텔리전스 담당 총괄은 “러시아-우크라이나 분쟁이 시작된 지 1년이 지난 지금 몇몇 국가들은 첩보 활동과 교란 작전을 위해 공격적인 사이버 능력을 전략적으로 활용하고 있다”며 “선진국과 개발도상국 모두 주요 APT 단체로부터 통신, 에너지, 제조 등 핵심 인프라에 대한 위협을 받고 있다. 공공 및 민간 조직이 보안 인프라를 구축해야 한다는 경고”라고 말했다.

중국 국적의 해커에 의한 위협은 한국까지도 이어진다. 올해 초 ‘샤오치잉’이라는 해커조직이 한국 정부를 대상으로 공격을 예고한 것이 대표적이다. 샤오치잉은 한국 학회 웹사이트 등 보안이 취약한 곳을 겨냥해 공격 활동을 펼쳤다. 적극적으로 활동 소식을 전한 것과 달리 실속이 없었다는 평가를 받지만, 다양한 중국 해커조직이 한국 기업·기관을 대상으로 사이버공격을 하고 있는 것은 사실이다.

전쟁을 이어가고 있는 러시아의 경우 해커조직이 ‘사이버군’으로서의 역할을 수행하고 있다. 우크라이나를 비롯해 러시아와 경쟁 중인 국가를 대상으로 위협을 펼치고 있는데, 최근 네덜란드와 벨기에의 3개 항구 웹사이트가 다운된 사건의 배후로 러시아 해커조직이 지목되기도 했다. 유럽연합(EU), 미국 등의 공항 웹사이트도 주요 타깃 중 하나로, 기반시설에 대한 공격이 이어지고 있다.

러시아 해커에 의한 한국 기업·기관의 정보유출 사례도 발견되고 있다. 다크웹 등에서는 한국 국민의 개인정보가 담긴 기업 내부자료가 러시아어 기반 문서로 유통되는 중이다. 수만명의 2022년 연말까지의 데이터가 담긴 자료를 영리적 활동이 아니라 무료로 배포한다는 점에서 금전 갈취보다는 흥미나 피해 유발을 위한 활동으로 추정되는 부분이다.

한국의 경우 중국, 러시아보다도 위협적인 상대가 있다. 북한이다. 북한 해커조직은 꾸준히 한국 기업·기관·개인을 대상으로 사이버공격을 펼치고 있다. 365일 24시간 내내 이어진다고 해도 과언이 아니다.

경찰청 국가수사본부는 최근 국내 외교·안보 전문가 9명이 북한 해커조직의 스피어피싱 공격의 피해를 입었다고 발표했다. 150명을 대상으로 포털 등 웹사이트를 위조한 피싱 사이트의 접속을 유도해 아이디·패스워드를 훔쳐냈다. 피해자 9명은 전직 장·차관급 3명과 현직 공무원 1명, 학계·전문가 4명, 기자 1명 등이다. 북한 해커조직은 피해자 9명의 메일 송·수신 내역 및 첨부문서, 주소록 등을 4~9개월간 실시간 모니터링했다.

2022년12월 경기도 성남시 판교 국가사이버안보협력센터에서 백종욱 국정원 3차장이 북한 해킹 위협에 대해 설명 중인 모습.
2022년12월 경기도 성남시 판교 국가사이버안보협력센터에서 백종욱 국정원 3차장이 북한 해킹 위협에 대해 설명 중인 모습.

국가정보원(이하 국정원)도 수시로 북한 해킹 위협을 공개하는 등, 대국민 정보공유에 나서는 중이다. 또 지난 2일에는 한국수력원자력의 배후로 알려진, 북한 대표 해커조직 김수키(Kimsuky)에 대한 독자 제재도 진행했다. 김수키를 제재 대상으로 지정한 것은 전 세계 최초다. 북한의 사이버위협을 더 이상 방관하지 않겠다는 정부 의지가 반영된 결과다.

정부는 “김수키와 북한 해커조직은 전 세계를 대상으로 무기 개발 및 인공위성·우주 관련 첨단기술을 절취해 북한의 소위 위성 개발에 직간접적인 관여를 해왔다”며 “이번 조치는 북한이 국제사회의 경고에도 불구하고 소위 위성 명목의 장거리 탄도미사일을 발사한 데 이어 재차 발사를 감행하겠다고 위협하고 있는 데 대응해, 북한이 도발에 대한 대가를 반드시 치르도록 하겠다는 우리 정부의 강력한 의지를 보여주는 것”이라고 발표했다.

국제연합(UN) 경제제재를 받고 있는 북한은 극심한 자금난을 겪고 있다. 이런 상황에서도 꾸준히 미사일 개발 및 발사를 할 수 있는 것은 그만큼 밀거래나 해킹으로 돈을 벌어들이고 있다는 의미다. 국정원은 2022년 북한이 암호화폐 탈취 등으로 벌어들인 불법적인 수익이 8000억원 이상일 것으로 말한 바 있다.

지속하는 문제아 3인방의 위협에 국제 사회도 힘을 모아 대응하는 추세다. 한국은 미국을 비롯해 독일, 일본 등과 사이버위협에 대한 공동 대응에 나서고 있다. 특히 미국과는 지난 4월 한-미 사이버동맹을 ‘파이브아이즈’ 수준으로 강화하겠다는 내용의 전략적 사이버안보 협력문서를 채택하기도 했다. 조 바이든, 윤석열 등 양국 정상이 사이버보안을 주요 정책 과제로 삼은 것의 연장선이다.

디지털데일리 네이버 메인추가
x