지난해 말 적발된 북한의 사이버 스파이 활동이 더 오랫동안 광범위하게 자행됐다는 증거가 발견됐다.
미국 보안업체 맥아피는 북한이 '샤프슈터 작전(Operation Sharpshooter)'에 쓴 명령제어(C2)서버 코드와 데이터를 분석한 내용을 공개했다. 맥아피는 해당 C2서버를 한 정부기관으로부터 제공받아 이번 분석을 실시했다.
지난해 12월 맥아피는 북한 지원 해킹그룹이 유포한 것으로 추정되는 악성코드에 미국을 중심으로 세계 87개 기관·기업이 감염된 것을 발견, '샤프슈터 작전'이라고 명명했다. 공격자는 정부, 국방, 에너지, 통신, 금융 조직을 대상으로 취업·채용을 가장, '드롭박스'로 악성문서를 내려받게끔 유도한다. 문서 매크로로 메모리에 악성코드를 심어 '라이징선(Rising Sun)'이라 명명된 멀웨어를 몰래 내려받는 작업을 추가로 수행한다. 멀웨어는 사용자 정보를 수집하고 네트워크를 정찰한다.
당초 '샤프슈터 작전'은 지난해 10월과 11월에 수행된 것으로 추정됐다. 그러나 이번 분석 결과, 이르면 2017년 9월부터 더 많은 국가와 산업분야를 대상으로 공격이 자행되는 것으로 밝혔다. 기존 분석보다 약 1년 일찍 시작됐고, 여전히 현재진행형이다. 이전에는 미국, 스위스, 이스라엘에 공격이 집중됐다면, 최근에는 미국을 포함해 독일, 터키, 영국을 표적으로 삼는 양상을 띤다.
맥아피는 '샤프슈터 작전' 발견 당시부터 북한과 연관성을 제시했다. 북한 '라자루스' 해킹그룹이 2015년 한국과 일본을 대상으로 유포했던 '듀저(Duuzer)' 백도어 트로이목마 소스코드를 '라이징선'에서 발견했기 때문이다. '라자루스'는 2014년 소니픽처스 해킹, 2016년 국제결제시스템망(SWIFT) 해킹, 2017년 '워너크라이' 랜섬웨어 공격 배후로 지목된다. 이번 C2 서버 분석에서 나미비아 수도 빈트후크에 위치한 IP주소도 발견돼, 공격 실행 전에 이곳에서 테스트를 했을 가능성도 제기됐다. 나미비아는 북한과 우호적 관계인 아프리카 국가다.
한 국내 보안업계 전문가는 “수년 전부터 북한의 사이버공격은 꾸준히 이어져왔다”며 “정보 수집 활동은 하노이 정상회담 전후로도 변함없이 진행됐다. 북한 해킹조직에게는 일상적인 작업”이라고 말했다.
팽동현기자 paing@etnews.com