MS 보안 기구 MTIC, ‘H0lyGh0st’, ‘플루토늄’ 등 해커 집단 지목
“제재와 재해 등 망가진 경제 살리려, 국외 해커 활동으로 돈벌이”
‘인도, 한국, 미국 에너지․방위산업 집중 공격, 비트코인으로 몸값“
[애플경제 김홍기 기자] 마이크로소프트의 사이버 보안 기구인 ‘MTIC’(Microsoft Threat Intelligence Center)가 최근 “북한은 왜 사이버 범죄자들을 시켜 랜섬웨어 공격을 하는가?”라는 제목의 짧은 보고서를 공개해 관심을 끌고 있다. MTIC는 단적으로 말해 “‘H0lyGh0st’로 자칭하는 랜섬웨어 조직들이 북한 경제가 어려움을 겪고 있는 것을 상쇄하기 위한 방법으로 북한 정부에 의해 후원받을 가능성이 크다”고 단언하고 있다.
랜섬웨어 공격은 일반적으로 민간 범죄 집단이 취약한 조직을 희생시켜 돈을 벌기 위해 벌이는 경우가 대부분이다. 그러나 만약 어떤 국가가 또 다른 적대적인 국가에 대해 이런 공격을 펼칠 가능성도 전혀 배제할 순 없다. 북한과 관련된 일련의 랜섬웨어 공격을 조사한 MTIC의 새로운 보고서는 그런 점에서 주목을 끌 만하다.
앞서 마이크로소프트에 의해 DEV-0530으로 이름붙여졌던 사이버 범죄 집단 H0lyGh0st은 2021년 6월경부터 주로 다른 나라들에 있는 중소기업들을 상대로 랜섬웨어 공격을 시작했다. 이 집단은 손상된 시스템에서 중요한 파일을 암호화하고, 사이버 공격의 증거로 피해자에게 먼저 샘플 파일을 보낸다. 그런 다음 피해자가 데이터를 해독할 수 있도록 해준다는 명목으로 주로 비트코인의 형태로 몸값을 뜯어낸다. 몸값이 지불되면 일단 파일들은 복구된다. 그러나 말을 듣지 않을 경우 이들은 그 자료를 피해자의 고객들에게 보내거나 소셜 미디어에 공개하겠다고 위협한다.
H0lyGh0st는 또 “돈을 버는 것 이상의 선량한 목적”으로 이런 범죄 행위를 저지른다고 강변하기도 한다. 예를 들어 “‘.ionon’ 웹사이트에서 빈부격차를 해소하기 위해 애쓰고 있으며, 배고픈 사람들을 돕고 피해자들이 사이버 공격에 대한 경각심을 갖도록 하고 있다”고 주장한다. 실제로 이들은 피해자들에게 사이버 공격의 취약점을 설명하거나, 몸값이 지불된 후엔 심지어 손상된 파일을 해독하는 방법을 알려주는 등 자신들만의 독특한 ‘매뉴얼’도 과시하고 있다.
이들과 북한 당국과의 연결 가능성은 두 가지 징후로 판단할 수 있다. 우선 MTIC가 ‘H0lyGh0st’ 운영의 시간과 패턴을 분석한 결과, UTC(세계표준시)+8과 UTC+9 시간대의 활동을 발견했다고 밝혔다. UTC+9, 즉, 세계표준시보다 9시간 빠른 시간은 북한(정식 명칭 조선민주주의인민공화국)의 표준시이다.
게다가, 마이크로소프트사와 MITC는 “H0lyGh0st와 또 다른 ‘플루토늄’이라고 불리는 그룹 사이에 특정한 연관성을 보이고 있다”고 밝혔다. 북한의 사이버 범죄 조직인 ‘플루토늄’은 진작부터 인도, 한국, 미국의 에너지 및 방위산업을 공격했다. 두 그룹은 동일한 인프라와 유사하게 명명된 사용자 지정 악성 프로그램 컨트롤러를 사용했다. 또한 MTIC는 이미 널리 알려진 플루토늄 공격자의 계정과 통신하는 H0lyGh0st 이메일 계정을 발견, 둘 사이의 연결고리를 밝혀냈다.
그렇다면 왜 국가가 랜섬웨어로 눈을 돌릴까? 이에 대해 마이크로소프트와 MTIC는 한 가지 가능한 동기를 언급했다. 즉, 만약에 북한 정부가 H0lyGh0st 공격을 직접 후원하고 있는 것이 사실이라면, 북한 경제를 지탱할 수 있도록 돈을 버는게 목적이다. 그 동안 국제 제재, 자연 재해, COVID-19 봉쇄와 다른 재난으로 타격을 입은 북한은 경제가 최악이 상황으로 치닫고 있다. 그런 악화된 경제 상황을 조금이라도 개선하기 위해 북한은 지난 몇 년 동안 랜섬웨어 공격을 후원해 왔을 수도 있다는 얘기다.
전문가들은 “가난하거나 심한 제재를 받고 있는 북한과 같은 나라는 정상적인 수단을 통해 그들이 확보할 수 없는 돈과 자본을 조달할 수 있는 매력적인 수단이 랜섬웨어 공격임을 발견했다”고 한다. 솔루션 아키텍처 기업의 부사장인 크리스 클레멘트츠도 “특히 암호화폐는 규제와 통제가 잘 이뤄지고 있는 전통적인 금융 시스템 밖에서 대규모 자금 송금이 가능해졌다.”면서 “자금 지원이 제한된 사이버범죄집단은 중소기업처럼 가장 만만한 상대를 공략해 큰 수익을 얻고 있다”고 ‘테크리퍼블릭’에 밝혔다.
믈런 북한 정부가 이러한 랜섬웨어 사건의 배후에 있지 않을 수도 있다. 국가가 지원하는 사이버 공격이 일반적으로 H0lyGh0st가 목표로 삼는 것보다 훨씬 더 광범위한 피해자를 목표로 하기 때문이다. 또 H0lyGh0st와 ‘플루토늄’의 회원들은 그들의 개인적인 이익을 위해 단체들을 공격하기 위해 (정부나 조직과는 별개로) 개별적으로 일하고 있을 수도 있다는 설명이다.