북한 사이버 전사가 시스템 파괴범을 넘어 사이버 은행 강도로 변했다.
핵 실험과 미사일 발사 등 무력 도발로 국제 사회 재제 수위가 높아져 외화벌이 수단이 막힌 탓이다. 은행 사이버 공격은 금전 이익과 동시에 시스템 파괴로 사회를 혼란시킨다. 사회 혼란과 돈을 한꺼번에 챙기는 일거양득 공격 목표다.
26일 사이버전 전문가들은 북한이 2015년을 기점으로 금융기관을 집중 공격했다고 분석했다. 올해 2월 발생한 국내 A은행 망 분리시스템 취약점을 노린 표적 공격과 현금인출기(ATM) 해킹도 북한 흔적이 남아있다.
국내 ATM을 감염시킨 악성코드는 수년 전부터 국내 IT기업과 방위산업체, 국방망을 공격한 북한 파일과 연결된다. 국내 특정 대학 서버는 2015년 방위산업체 해킹에 이용됐는데 최근 ATM 공격에도 다시 쓰였다.
한국인터넷진흥원 관계자는 “북한은 인터넷을 마비시키는 분산서비스거부(DDoS) 공격과 시스템 파괴 등 보여주기식 공격에서 2015년 이후 정보탈취와 금전 획득에 열을 올린다”고 분석했다.
북한은 한국을 넘어 세계 은행으로 표적 범위를 넓혔다. 김정은체제 후 북한은 세계 31개국 100여개 은행을 공격했다. 시만텍 등 글로벌 보안 기업은 나자로(Lazarus)그룹이 폴란드, 멕시코 등 100여개 금융기관을 공격했다고 밝혔다. 나자로그룹은 2014년 소니픽처스 해킹 사고를 일으킨 주범이다. 미국 정부는 당시 소니픽처스 해킹 주범으로 북한을 지목했다.
미 정보당국은 방글라데시 중앙은행 계좌를 해킹해 8100만달러(약 900억원)를 빼돌린 것도 북한 소행에 방점을 찍었다. 미 검찰이 해당 사건을 조사하며 북한을 도운 중국인 등을 기소할 것으로 보인다. 에콰도르 아우스토로 은행, 베트남 티엔퐁 은행과 필리핀 은행에서도 유사 해킹이 발생했다.
북한 사이버공격 세력은 2013년 3·20 사이버테러 때 수개월간 농협 등 국내 금융 시스템 안에 잠복했다. 이 과정을 거치며 금융 인프라와 프로세스를 학습했다. 일반 기업과 다른 금융 인프라 간 거래 등을 파악해 추후 공격에 이용했다.
러시아 보안 기업 카스퍼스키랩은 “나자로그룹은 악성코드 중 일부를 다른 코드 개발에 재사용한다”면서 “공격자가 사용하는 드로퍼 악성코드(다른 악성코드를 설치하는 파일)가 암호로 보호된 압축 파일로 저장된다”고 설명했다. 북한으로 지목된 공격에 사용된 압축 파일 암호가 같다. 악성코드가 유사할 수 있지만 이를 압축한 파일 비밀번호까지 일치한다.
통일연구원이 펴낸 '과학기술 발전과 북한의 새로운 위협' 보고서에 따르면 북한은 군과 노동당 산하 7개 해킹 조직에 전문인력 1700여명을 두고 있다. 이와 별도 해킹 지원 조직이 10여개에 달하며 6000명이 관여한다. 사이버 공격 인력이 총 7700여명에 달한다.
김인순 보안 전문기자 insoon@etnews.com