[정보보호]북한 사이버전 조직 최소 3개 이상 활동

관련 통계자료 다운로드 북한 사이버전 수행조직

2009년 7. 7 서비스분산거부(DDoS)공격

2013년 3. 20 방송·금융 사이버테러

2014년 11. 24 소니픽처스 자료 유출

2014년 12. 9 한국수력원자력 내부 PC 하드디스크 파괴

북한 소속으로 추정되는 해커집단 3개 그룹이 한국을 대상으로 활발히 활동하는 것으로 드러났다.

사이버전 전문분석 그룹 이슈메이커스랩(대표 사이먼 최)은 북한 사이버전 수행 조직이 최소 3개 그룹으로 나뉘어 주도면밀하게 작전 중이라고 밝혔다. 이슈메이커스랩은 이들이 사용한 악성코드와 유포방법, 공격대상, 명령&제어(C&C) 서버 운영, 추적 회피 기법, 주요 활동 IP 대역을 분석해 이 같은 결과를 얻었다.

[정보보호]북한 사이버전 조직 최소 3개 이상 활동

이슈메이커스랩은 2009년 7·7 DDoS 공격 사건부터 2011년 4·12 농협전산망 마비, 지난해 소니픽처스 자료를 탈취한 그룹을 A그룹으로 분류했다. 이들은 주로 국가 기밀정보와 사회혼란을 목적으로 해킹을 시도한다. 대국민과 정부기관, 언론, 금융이 주요 공격 대상이다. C&C서버와 자체 암호화 기법을 이용해 통신하는 것이 특징이다. A그룹은 업데이트 파일 변조 등으로 악성코드를 유포한다.

2013년 3·20 사이버테러를 일으킨 조직은 B그룹이다. B그룹은 같은 해 발생한 6·25 사이버테러 때 A그룹을 돕는 역할을 했다. 주로 군사 기밀 정보를 수집하고 기간망 침투를 시도한다. B그룹은 국내 소프트웨어 액티브X나 웹 브라우저 취약점을 이용한다. C&C는 웹 기반 통신이나 인터넷 실시간 대화(IRC) 통신을 쓴다.

지난해 말 한수원 원전 도면 유출사고는 C그룹 소행으로 추정된다. 카스퍼스키랩이 ‘킴수키’라고 명명한 그룹이다. C그룹은 국내외 정보를 수집한다. 외교, 통일, 안보, 국방, 연구 쪽 정보를 수집한다. C그룹은 주로 해외 이메일 계정을 생성해 C&C로 쓴다. 이들은 한글오피스 등 문서 취약점을 이메일에 첨부하는 방식을 주로 사용한다.

[정보보호]북한 사이버전 조직 최소 3개 이상 활동

사이먼 최 이슈메이커스랩 대표는 “북한 사이버전 수행 조직은 최소 세 개 그룹으로 나눠 활동하고 있으며 유기적으로 연계해 작업을 수행한다”고 말했다. 그는 “이들 주요 그룹 외에도 더 많은 사이버 전사가 양성되고 있을 것”이라고 덧붙였다.

김인중 국가보안기술연구소 창의혁신부장은 2013년 국정원장이 국회에 제출한 보고서를 기반으로 “북한은 7개 해킹 조직에 1700여명 규모의 전문해커를 보유했다”며 “프로그램 개발 등 해킹지원 세력은 13개 조직 4200여명에 달한다”고 밝혔다.

침해대응전문기업 맨디언트 설립자 캐빈 맨디아 파이어아이 사장은 “국가가 지원하는 사이버 공격은 성공할 때까지 매우 오랜 시간 작전이 진행된다”며 “북한 사이버 공격 능력 수준이 어느 정도인지 가늠하기 힘들다”고 말했다.

김인순기자 insoon@etnews.com