[디지털데일리 김보민기자] 북한 배후 사이버 공격이 다른 국가발 위협보다 대담하다는 평가가 나왔다. 소프트웨어(SW) 공급망을 겨냥하는 것은 물론, 위장 취업을 감행하는 등 기법이 고도화하고 있다는 이유에서다.

9일 보안업계에 따르면 국가정보원(이하 국정원)은 북한 해킹조직이 고도화된 수법을 사용해 주요 국가기관과 기업의 기밀 자료 및 기술을 절취하고 있는 사실을 포착했다고 밝혔다.

북한은 SW 공급망 내 취약점을 침투하고, 보안관리 허점을 노려 해킹 공격을 가하고 있는 것으로 나타났다. 아울러 IT 용역업체를 해킹해 기관과 기업을 우회 침투하고 있는 양상도 보이고 있다.

일례로 북한 해킹조직은 이달 한 방산협력업체 전자결재와 의사소통용 그룹웨어의 보안상 허점을 악용해 악성코드를 설치했고, 직원 이메일과 네트워크 구성도 등 내부 자료 절취를 시도했다. 지난 2월에는 모바일 신분 확인업체 관리자 페이지가 인터넷이 쉽게 접속된다는 허점을 노려, 보안 검색엔진을 활용해 취약점을 분석해 관리자 권한으로 무단 접속하는 일이 발생했다.

북한이 SW 공급망을 통해 해킹 공격을 시도한 것은 이번이 처음이 아니다. 다만 보안업계에서는 기법이 치밀해지고 있어 주의가 필요하다는 목소리가 나온다. 존 헐트퀴스트(John Hultquist) 구글클라우드시큐리티 맨디언트 위협인텔리전스 총괄은 "북한은 지난 20년 동안 공급망 공격과 내부자를 이용해 조직을 표적으로 삼는 수법을 진화시켜 왔다"며 "대규모 디지털 자산 탈취를 감행하거나, 전 세계 수백 개 기업에 위장 취업하는 등 다른 공격자보다 대담한 편"이라고 진단했다.

특히 범국가적 수익 창출에 해커가 기여하고 있다는 점이 우려된다고 강조했다. 헐트퀴스트 총괄은 "북한은 민감 데이터에 접근하는 동시에, 정권 유지를 위한 막대한 자금을 조달하고 있다"며 "수많은 조직이 북한 공격에 영향을 받고 있고, 이러한 현상은 앞으로 지속될 것"이라고 전망했다.

지난해 3월 유엔(UN)이 발표한 보고서에 따르면, 북한은 2017년부터 2023년까지 암호화폐 절도로 인해 약 30억달러의 수익을 창출했다. 암호화폐 거래 플랫폼으로 위장한 악성 애플리케이션을 생성한 뒤 배포하거나, 지갑을 훔쳐 피싱 웹사이트로 사용자를 끌어들이는 전술을 활용한 것으로 파악된다.

다른 국가 배후 조직 또한 사이버 공격으로 수익 창출 목적을 달성하고 있지만, 기법 측면에서 차이점이 두드러지는 부분이다. 중국 배후 공격의 경우, 랜섬웨어를 배포해 정보를 탈취하는 APT41과 같이 국가 차원의 첩보 행위를 은폐하는 데 특화돼 있다. 러시아는 우크라이나와의 갈등 이후 사이버 범죄 커뮤니티를 동원해 첩보 행위와 교란 작전을 수행하기 위한 도구와 인력을 확보하는 움직임을 보였다.

대외적으로 알려진 북한 해킹 그룹의 활동도 거세지고 있다. 김수키는 수익 창출보다는 전략적으로 정보를 수집하는 데 집중하고 있는 그룹이다. 정부 기관, 학계, 싱크탱크를 대상으로 소셜 엔지니어링 전술을 펼치는 것이 특징이다. 안다리엘은 정부, 국방, 핵, 의료, 제약 등을 대상으로 첩보 작전을 수행하고 금전적 목적으로 범위를 확장하고 있다.

한편 북한발 공격이 거세진 시점에서, 국제 협력이 필요하다는 목소리도 제기된다. 구글클라우드시큐리티는 "사이버 범죄 위협을 국제 협력이 필요한 국가안보 우선순위로 인식하는 접근 방식이 필요하다"며 "단일 랜섬웨어 서비스 제공업체가 단속되더라도 다른 많은 대체자가 존재하는 만큼, 사이버 보안 방어를 강화해야 한다"고 강조했다.