“北해킹그룹, SW공급망 노려 피해기업 골랐다”

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

구글 계열 사이버 보안 기업 맨디언트가 북한 해킹그룹의 최근 사이버 공격 트렌드로 소프트웨어(SW) 공급망을 노린 점을 꼽았다. SW공급망을 사용하는 수많은 기업, 정부, 기관 등을 타깃할 수 있어서다.

루크 맥나마라 맨디언트 수석 애널리스트는 29일 서울 강남구 강남파이낸스센터에 위치한 구글코리아에서 열린 'APT43 리포트 후속 미디어 브리핑'에서 “수많은 정부·기업·기관이 사용한다고 알려진 SW공급망을 침해하면 굉장히 많은 타깃에 접근할 수 있다”면서 “북한 지능형지속위협(APT) 그룹이 SW공급망 공격을 통해 다양한 잠재 피해자 중 선택해 공격했다”고 말했다.

맥나마라 수석 애널리스트는 북한의 최근 사이버 작전 특징을 잘 보여주는 사례로 3CX와 점프 클라우드 공격을 소개했다. 두 사례 모두 SW공급망 회사 직원을 통해 침입, 고객사에 멀웨어(악성 소프트웨어)를 심었다.

북한 해킹조직은 피해기업 고객사 중 핀테크 기업을 노렸다. 북한 해킹조직은 암호화폐를 탈취해 핵개발 자금 등을 조달하는 것으로 알려졌다.

맥나마라 수석 애널리스트는 “이번 공격은 핀테크 관련 기업에 침입해 결국 암호화폐를 수집하기 위한 목적으로 보고 있다”고 말했다.

특히 점프 클라우드에 대한 사이버 공격은 북한과 직접적인 관계가 드러났다고 강조했다. 점프 클라우드를 공격한 멀웨어 일부 코드가 과거 북한이 사용한 코드와 일치했다. 또 북한 해커가 가상사설망(VPN)을 사용하지 않고 시스템에 접속했는데, 평양에 있는 인터넷주소(IP)로 나타났다.

맥나마라 수석 애널리스트는 IP 위조 가능성에 대해 “굉장히 짧은 순간 IP가 나타난 뒤 다시는 사용하지 않은 등 북한 공격자 실수로 판단한다”면서 “IP는 (북한 해킹조직이라고 추정할만한) 다른 여러 증거 중 한 조각”이라고 말했다.

루크 맥나마라 맨디언트 수석 애널리스트는 29일 서울 강남구 강남파이낸스센터에 위치한 구글코리아에서 열린 'APT43 리포트 후속 미디어 브리핑'에서 . 전자신문
루크 맥나마라 맨디언트 수석 애널리스트는 29일 서울 강남구 강남파이낸스센터에 위치한 구글코리아에서 열린 'APT43 리포트 후속 미디어 브리핑'에서 . 전자신문

사이버 보안에 있어 인공지능(AI)은 양날의 검이라는 평가를 내렸다. 먼저 공격자는 AI를 통해 허위정보를 퍼뜨리는 정보작전을 수행할 수 있다. AI로 생성한 허위 동영상을 통한 공격은 활발히 이뤄질 전망이다. 젤렌스키 우크라이나 대통령이 러시아에 항복하는 내용을 담은 가짜 동영상이 대표적이다. 현재 기술은 조악한 수준이지만 향후 정치 지도자, 최고경영자(CEO) 등이 말하는 허위 동영상 공격에 AI를 악용할 수 있다는 게 맥나마라 수석 애널리스트의 예측이다.

AI는 방어에도 도움이 된다. 보안담당자가 사이버 위협을 신속히 찾아내고, 단순 반복 작업을 자동화해 업무 부담을 줄일 수 있다. 또 전문지식이 필요한 업무를 일반 직원도 AI를 활용해 수행할 수 있게 돼, 정보보호업계 인력난도 해소할 수 있다.

맥나마라 수석 애널리스트는 “침해 대응에선 공격자보다 빨리 움직여 앞서 나가는 게 중요하다”면서 “생성형 AI의 도움을 받으면 속도 측면에서 더 빨라질 것”이라고 말했다. 그러면서 “맨디언트 컨설턴트도 구글 AI 챗봇 '바드' 등을 활용해 자동화와 업무부담 면에서 도움을 받고 있다”고 덧붙였다.

조재학 기자 2jh@etnews.com