북한 당국 후원, ‘6개 해킹 집단’ 주의보

[애플경제 김예지 기자] 북한의 사이버공격 그룹들의 활약은 국제적으로도 가장 큰 경계 대상이다. 그 수법 또한 세계 해킹 집단들 중에서도 최상위 그룹으로 분류될 만큼 뛰어나며 악랄하다. 그 중에서도 김수키(Kimsuky), 라자루스(Lazarus), 코니(Konni) 등은 세계 각국의 사이버보안 당국과 보안업계에서도 악명이 높다.

대부분 2009년 이후 등장, 활약

그 중에서도 늘 기승을 떨면서 가장 악명을 드높인 것은 라자루스 그룹이다. 이는 지난 2009년부터 활동한 것으로 추정된다. 파괴적인 공격을 일삼으며 한국을 비롯한 각국에 수많은 피해를 안겼던 라자루스는 최근엔 특히 금융 분야를 집중 타깃으로 삼고 있다.

김수키는 2012년부터 활동을 시작했다는게 전문가들의 대체적인 견해다. 한국과 미국, 러시아, 유럽 등 다양한 국가들을 대상으로 해킹을 시도하고 있다. 김수키는 특히 한반도와 남북 대치상황, 핵정책, 외교, 안보 등의 분야 관심을 갖고 사이버공격을 일삼고 있다. 또 라자루스 하위 그룹인 안다리엘(Andariel)이 있다. 이는 역시 라자루스와 비슷한 2009년경 등장한 것으로 짐작된다. 한국 등의 공공부문과 정부, 국방과 군사분야, 기업 등을 주로 공격하고 있다.

이들 사이버범죄 집단을 숫자로 명칭을 붙여 분류하는 방식도 있다. 이에 따른 것이 북한의 또 다른 사이버범죄 그룹인 APT37, APT38 등이다.

APT37은 2012년부터 활동한 것으로 추정되며, 주로 한국을 대상으로 한 사이버공격에 집중하고 있다. APT38 역시 라자루스 그룹의 하위 그룹으로 추측된다. 은행 등 금융권과 증권과 암호화폐 등의 거래소 등을 집중 공격하며, 때에 따라선 카지노와 같은 유흥시설을 공격한 적도 있다.

이들에 관한 심층 분석을 하고 있는 보안업체 이글루코퍼레이션은 APT라는 ‘시리얼’ 방식의 분류에 대해 문제를 제기하고 있다. 이에 따르면 보안솔루션업체 맨디언트(Mandiant)는 APT뒤에 숫자를 붙여 북한 공격그룹은 APT37이나 APT38 등으로 구분하고 있다. 그러나 “이런 방식은 직관적인 관리가 가능하지만, 그룹명을 통해 공격 유형이나 특징을 유추하기 어렵다는 단점이 있다”는게 이글루코퍼레이션의 지적이다. 이에 흔히 공격 국가나 그룹의 목적에 따라 연상되는 단어를 붙이는게 보통이란 얘기다.

다만 “공격벡터 및 기술, 도구, 기법 등의 아티팩트가 유사하더라도 기관이나 기업에서 명명하는 방식이나 분류 체계가 상이하기 때문에 그룹 이름이 다르게 부여된 경우도 있다.”는 설명이다.

국내 보안업계, ‘코니’에 특히 주목하기도

특히 이글루코퍼레이션은 이 밖에도 북한발 사이버 공격그룹 중 하나인 ‘코니(Konni)’에 주목하고 있다. 이에 따르면 코니는 사이버공격 집단 분류 기준에 따라 ‘김수키’나 ‘라자루스’ 등 다른 북한발 사이버 공격그룹으로 분류하기도 한다.

그러나 이는 라자루스나 김수키보다 한참 후인 2014년부터 활동하다가, 2016년과 2017년에 추가로 발견되었다. 러시아나 한국 등을 주요 대상으로 하며, 악성메일의 첨부파일을 초기 공격벡터로 사용하는게 특징이다. ‘.scr’(화면보호기)를 유포하는게 이들의 주 무기다. 2014년 당시 처음 발견될 때 ‘코니’의 악성코드 명은 ‘beauty.scr’이었다. 그러나 2016년에 발견된 해킹 당시 등장한 파일은 ‘How can North Korean Hydrogen Bomb Wipe Out Manhattan(북한 수소폭탄이 맨해튼을 쓸어버릴 수 있는 방법)’이란 살벌한 내용이었다. 그 후에도 북한 관련 내용이 언급되면서 그 연관성이 제기되었다.

‘코니’ 역시 다른 북한발 사이버 공격 그룹들과 마찬가지로 주로 북한 혹은 한국이나 미국과 연계된 정치적 사안을 소재로 사용한다. 그러나 공격 수법이나 사용하는 악성코드 등은 크게 다르다. 지난 2019년엔 국내 보안업체 이스트시큐리티(ESTsecurity)가 ‘코니’를 ‘APT그룹’으로 분류해 추적하기 시작했다. “이 과정에서 코니는 기존의 김수키나 APT37과의 연관성에 대해서도 논쟁이 있었으나 현재는 다른 공격 형태로 보는 시각이 지배적”이란게 이글루코퍼레이션의 해석이다.

지난 2018년 팔로알토(Palo Alto)는 APT37이 사용한 ‘NOKKI’ 악성코드와, 코니의 RAT 악성코드의 연계성을 확인하기도 했다. APT37은 Reaper, Group123, Scarcruft 등으로 불리기도 한다. 이를 계기로 주로 코니는 “APT 그룹이 아닌 APT37에서 사용하는 하나의 ‘도구’”라는 시각이 확산되고 있다.

국가 지원 사이버공격 그룹 급증

한편 국제사회에서 최근엔 주로 북한, 이란, 러시아, 중국과 같은 국가 지원 집단 사이버 공격그룹들이 늘어나 큰 우려를 낳고 있다. 이들은 각자의 정부 지원 아래 타국의 정보 탈취, 공급망 공격, 다른 나의 사회 불안을 조성하는 등의 공격 활동을 벌이고 있다.

이글루코퍼레이션은 “국내에서도 피해가 지속적으로 증가하는 추세”라며 국가사이버안보센터가 최근 발표한 ‘사이버보안권고문’을 상기시켰다. 이에 따르면 국가사이버안보센터는 2024년 들어 ▲방산 분야 해킹사고를 담은 ‘韓獨 합동 사이버 보안 권고문’, ▲김수키(Kimsuky)의 공격을 정리한 ‘美 정부와의 합동 보안 권고문’, ▲안다리엘(Andariel)에 의한 ‘韓美英 합동 사이버보안권고문’ 등 북한발 공격그룹을 포함한 ‘국가 지원 사이버 공격그룹’과 관련된 다수의 사이버 보안 권고문을 발표했다.

에 의한 공격이 활발하게 이뤄지면서 앞서 언급한 협력 체계를 비롯해 국내외 다수의 기관 및 보안업체에서 관련 인텔리전스 정보를 적극적으로 발표하고 있다. 공격그룹에 대한 정보를 관리하고 효과적으로 대응하기 위해 공격 패턴 분석을 기반으로 특정 해킹 그룹을 클러스터링하여 분류하는 작업도 진행되고 있다.