앵커: 북한에 계시는 청취자 여러분 안녕하세요. 2020년 한 해의 북한 관련 뉴스를 총 정리하는 'RFA자유아시아방송10대 뉴스'입니다. 오늘 '10대 뉴스'의 아홉 번째 시간은 이경하 기자와 함께합니다.
앵커: 오늘의 주제부터 알아볼까요.
기자: 준비해온 자료부터 들어보겠습니다.
<헤드라인>
앵커: 오늘의 주제는 북한 정권이 코로나19 백신(북한명: 왁찐) 정보를 '해킹'하고 국제사회의 대북 제재로 막힌 돈줄을 확보하려한다는 소식이군요. '해킹'이라 하면 청취자들이 알고 계시겠지만, 인터넷 가상세계에서 타인의 전산망에 불법으로 들어가 이를 공격하거나 정보, 자금을 탈취하는 걸 말하는데요. 최근 북한 해커 조직이 전세계 코로나 백신 개발사에 사이버 공격을 감행했다는 소식이 알려졌죠?
기자: 지난 2일 미국 일간지 월스트리트저널(WSJ)은 북한이 지난 8월부터 코로나19 백신과 치료제 개발사 최소 여섯 군데를 상대로 해킹을 시도했다고 보도한 바 있습니다. 이 매체에 따르면 지난 2일 북한이 제넥신과 신풍제약, 셀트리온 등 한국 제약회사 3곳과 미국의 존슨앤드존슨, 노바백스, 영국의 아스트라제네카 등을 사이버 공격 목표로 삼았습니다. 또 월스트리트저널 뿐만 아니라 로이터 통신도 2일 북한이 이들 제약업체를 포함해 최소 9곳의 제약사·연구기관에 대한 해킹을 시도했다고 보도했습니다. 해당 매체는 북한의 해킹 목표로 보령제약과 베스 이스라엘 디코니스 메디컬센터와 독일의 튜빙겐 대학을 추가했습니다. 앞서, 마이크로소프트(MS)도 지난달 13일 코로나19 관련 약품을 개발하는 미국과 한국 등 전세계 7개 회사가 해킹 공격을 받았다고 밝혔지만 회사명은 공개하지 않은 바 있습니다.
앵커: 한국과 미국에 있는 코로나19 백신 관련 회사들도 사이버 공격을 받은 것 같은데 한국과 미국의 반응은 어떤가요?
기자: 현재 한국의 국가정보원은 북한의 해킹 시도가 있었다는 사실을 확인했습니다. 북한 출신 외교관인 고영환 국가안보전략연구원 객원연구위원의 말을 들어보시죠.
고영환 연구위원: 지난 11월 27일 한국 국가정보원은 국회 정보위원회 전체회의에서 "북한이 국내 코로나 백신과 관련해 국내 제약회사에 대한 해킹을 시도했다"면서 "해당 해킹 시도에 대해서는 잘 막았다"고 밝혔다고 정보위원회 여야 간사들인 더불어민주당 김병기, 국민의힘 하태경 의원이 전했습니다.
최근 사임한 미국 국토안보부 산하 사이버안보·기반시설안보국(CISA) 크리스 크렙스(Chris Krebs) 전 국장도 지난 6일 미국 CBS방송과의 인터뷰에서 북한과 중국, 러시아, 이란 등 전통적인 주요 4개 해킹 국가들이 백신 개발사와 관련 정부기관을 대상으로 사이버 공격을 시도하고 있다고 말했습니다. 특히 크렙스 전 국장은 북한 등이 백신 개발 뿐 아니라 공급업체에 대한 정보까지 빼내기 위한 염탐행위를 했다고 지적했습니다. 크리스 전 국장의 말을 들어보시죠.
크렙스 전 국장: 사이버안보·기반시설안보국은 이들이 백신 개발업체 만이 아니라 전체 공급망 정보에 대한 공격을 한 것으로 생각했습니다. 이들은 백신 공급 과정 전체를 망가뜨릴 수 있는 치명적 약점을 찾으려고 노력하고 있습니다.
앵커: 그렇군요. 그런데 북한이 어떤 방식으로 해킹을 시도한거죠? 그리고 사이버 공격을 당한 것으로 알려진 제약회사들의 입장은요?
기자: 북한 해커들은 직장 동료로 가장한 전자우편 계정을 만든 뒤 악성 파일 또는 링크를 첨부한 전자우편을 직원들에게 보내 해킹을 시도한 것으로 파악됐습니다. 하지만 현재 사이버 공격에 성공했는지는 아직 확인되지 않았습니다. 이에 현재 대부분의 대형 제약회사들은 북한의 사이버 공격에 확인도 부인도 하지 않은채 백신 개발에는 차질이 없다는 입장만을 밝혔습니다. 한국의 '셀트리온'의 경우 11일 자유아시아방송에 "최근 여러 해킹 시도를 파악해 차단하는 데 성공했다"고 밝혔습니다.
또 미국의 제약업체 노바백스(Novavax)의 경우 최근 자유아시아방송(RFA)에 "우리의 사이버보안팀은 뉴스에서 확인된 지속적인 해외 위협을 인지하고 있다"고 밝혔습니다.
그러면서 정부 기관 및 상업 사이버 보안 전문가와 지속적으로 연락해 협력하고 있다고 강조했습니다.
앵커: 북한이 이처럼 해킹을 통해 코로나19 백신 정보를 탈취하는 이유는 뭔가요?
기자: 전문가들은 북한 해커 조직이 의료기관을 대상으로 정보를 탈취하거나, 백신과 치료제 정보 판매를 통한 수익 창출 등 사이버 공격을 벌일 여러가지 잠재적인 동기가 있다고 지적했습니다. 특히 전문가들은 코로나19 백신과 치료제 기밀을 다른 구매자에 판매해 수익을 창출하거나, 공격대상 표적 기업 컴퓨터에 랜섬웨어를 배포해 큰 혼란을 유도하고 몸값을 받아내려 했을 것이라고 추정했습니다. 미국 민주주의수호재단의 사이버 안보 전문가인 매튜 하 연구원의 말을 들어보시죠.
매튜 하 연구원: 북한이 수익을 창출하기 위해 백신을 개발하는 기관들을 표적으로 삼았을 수 있습니다.
아울러 전문가들은 북한에서 코로나19 확진자가 없다는 주장이 사실이 아니기 때문에, 국제적인 소통과 협력이 부재한 북한이 정권 차원에서 코로나19를 치료하거나 완화할 방법을 사이버 공격을 통해 찾고 있을 가능성이 높다는 분석도 내놨습니다. 고영환 국가안보전략연구원 객원연구위원의 말입니다.
고영환: 북한은 신형 코로나 비루스 환자가 한 명도 없다고 하고 있지만 이를 그대로 믿는 전문가들은 한 명도 없습니다. 신형 코로나 환자가 없다면 북한이 백신 자료들을 훔치기 위한 해킹을 시도할 필요도 없다고 봅니다.
<브릿지> "여러분은 지금 미국의 수도 워싱턴에서 보내 드리는 2020 RFA 10대뉴스를 듣고 계십니다."
앵커: 이렇게 해킹을 자행하는 북한의 사이버 요원들은 얼마나 되나요?
기자: 우선 영국 런던 주재 왕립합동군사연구소(RUSI∙Royal United Services Institute)의 카일라 아이젠만(Kayla Izenman) 사이버 보안 분석가의 말을 들어보시죠.
아이젠만 분석가: 우리는 북한이 6천명 이상의 훈련된 사이버 전쟁 전문가를 보유하고 있다고 가정할 수 있습니다.
아이젠만은 전문가들과 한국 정보기관의 추정을 토대로, 북한에서 활동하고 있는 사이버 정예 요원이 6천명 이상일 것이라고 분석했습니다. 특히 미국 법무부 존 데머스(John Demers)국가안보담당 차관보도 금융기관 해킹 등 북한의 사이버 공격 능력이 상당한 수준이라며, 중국이 이를 돕고 있다고 지적했습니다. 데머스 차관보가 지난 10월 미국 전략국제문제연구소(CSIS)가 개최한 화상 토론회에서 한 말입니다.
데머스 차관보: 북한에는 정교하고 능력있는 사이버 침입 분야 전문가와 해커들이 있습니다. 북한은 이러한 사이버 공격 능력을 외화벌이를 위한 작전의 일부로 사용하고 있습니다.
특히 데머스 차관보는 개인이 아니라 국가차원에서 북한의 사이버 범죄 행위를 지원하는 것이 더 큰 문제라며, 중국이 돈세탁 등 다양한 방면에서 북한의 금융 관련 사이버 범죄와 제재 회피를 돕고 있다고 지적했습니다.
앵커: 이런 북한의 해킹에 대한 미국 정부의 인식은 어떻습니까?
기자: 미국 정부 뿐 아니라 의회, 전문가 등 모두 북한의 해킹 위험성을 우려하고 있습니다. 특히 미국 정부와 의회는 북한의 사이버위협을 북한의 핵무기와 못지않게 심각한 안보위협으로 보고 있습니다. 이를 잘 보여주는 예로 지난 8월 26일 국토안보부 산하 사이버안보·기반시설안보국(CISA), 재무부, 연방수사국(FBI), 사이버사령부 등 4개 기관은 '비글보이즈'라고 명명한 북한 해킹팀이 현금자동입출금기(ATM)를 활용한 금융 해킹을 재개하고 있다며 기술 경보를 합동으로 발령했습니다. '비글보이즈'는 북한 정보기관인 정찰총국의 한 부대로 원격 인터넷 접속을 통해 은행 강탈을 전담토록 한 해킹팀을 지칭하는 말입니다. '비글 보이즈'는 북한의 악성 사이버 활동을 지칭하는 말인 '히든 코브라'(Hidden Cobra)의 한 부분으로서, 방법 면에서 북한의 다른 악성 사이버활동과 구분하기 위해 미국 당국이 자체적으로 이 명칭을 붙였습니다. 또 지난 10월에도 사이버안보기반시설안보국, 연방수사국, 사이버사령부 사이버국가임무군 등이 북한 추정 지능형지속위협(APT) 조직 '김수키'의 공격과 관련해 경보를 발령하기도 했습니다.
앵커: 북한 해킹 조직인 '히든 코브라'고도 불리는 '라자루스'는 이미 악명이 높은 것으로 알고 있습니다. 어떤 조직이죠?
기자: '라자루스'는 2014년 미국 소니픽처스, 2016년 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 유포, 2019년 인도 현금자동입출금기(ATM) 공격 사건 등에 연루됐다는 의심을 받는 북한의 해킹 조직으로 알려져 있습니다. 지난해 9월 미국 재무부가 제재 대상으로 지정한 바 있습니다.
앵커: '라자루스' 말고도 '김수키' 등 북한 해킹 조직이 다양하고 명칭이 각기 다른 것 같은데 어떻게 구별이 되나요?
기자: 북한 해킹 조직을 부르는 명칭이 국가와 보안 업체마다 그리고 사이버 공격의 대상에 따라 달라집니다. 하지만 보안 전문가들은 사이버 공격 조직 이름에만 집착하기 보다는 사건과 핵심 인물에 주력하는 것이 낫다는 의견을 제시하고 있습니다. 실제 미국이 지난 2014년 소니영화사 해킹의 배후로 북한의 라자루스를 지목하고, 라자루스의 주요 인물인 박진혁을 기소한 것도 같은 맥락입니다. 미국 정부의 경우 공식적으로 이 '라자루스'를 '히든 코브라'라고 부르고 있습니다. 또 다른 북한 해킹 조직으로 '김수키'(Kimsuky)는 러시아의 대표적인 보안기업 '카스퍼스키 랩(Kaspersky Lab)'이 2013년 북한 해커의 이메일 계정을 제목으로 한 '김석양'(Kimsukyang) 보고서를 발표하면서 알려진 공격 조직입니다. 특히 한국에서 '김수키'가 2014년 12월 한국수력원자력 해킹사건에 사용된 악성코드와 유사한 악성코드를 사용한 것으로 알려지면서 한수원 해킹의 배후로 지목되기도 했습니다. 이 밖에 미국의 마이크로소프트(MS)사의 '탈륨'(Thallium)과 '진크'(Zinc), '세리움'(Cerium), 미국의 보안업체 파이어아이의 'APT37', 한국의 민간보업체인 이스트시큐리티의 '금성 121', 안랩의 '레드 아이즈' 등 분석한 보안업체와 분석가, 국가에 따라 북한 사이버공격 조직에 대한 자세한 사항과 명칭이 조금씩 다릅니다. 하지만 보안 업체들과 전문가들은 이 모든 사이버 공격 조직이 '북한' 혹은 '북한으로 추정되는 국가'로 지목하는 것에는 별다른 이견이 없습니다.
앵커: 북한의 해킹에 미국 국방부는 어떻게 대응하고 있습니까?
기자: 미국 국방부는 북한이 악성 소프트웨어를 퍼뜨리는 것과 관련해 이른바 '지속적 개입'(persistent engagement)이라는 방법으로 대응하고 있습니다. 미국의 폴 나카소네(Paul Nakasone) 사이버사령부 사령관 겸 국가안보국(NSA) 국장은 지난 7월 미국은 북한 등 미국의 적들의 사이버 위협을 '지속적 개입'으로 대응할 역량이 충분하다고 강조했습니다.
나카소네 사령관: 첫째, 사이버 위협에 함께 맞서는 수많은 동맹들이 있습니다. 이것은 미국의 어떤 적도 따라올 수 없는 것이죠. 둘째, 지난 20여년 동안 실전경험을 통해 막강해진 미국의 사이버 군대가 있습니다. 이들은 세계적 수준의 역량을 갖춘 인력을 확보하고 있습니다.
그러면서 나카소네 사령관은 민간분야 등과 긴밀한 접촉을 통해 북한 등 적의 사이버 위협 정보를 공유하고 있는 것과 매일 이뤄지는 적들의 사이버 공격에 적극 대응하는 것이 '지속적 개입'의 2가지 요소라고 밝혔습니다. '지속적 개입'은 적들이 사이버 공격에 사용하는 멀웨어, 즉 악성소프트웨어를 일반 대중에게 공개하는 것 등을 통해 선제적으로 적들의 사이버 공격 능력을 무력화하는 것입니다. 이와 관련해 사이버사령부는 2018년 11월 5일 '바이러스토탈'(VirusTotal)이라는 웹사이트에 처음 북한의 악성 소프트웨어 표본 한 개를 공개했고 지난해 9월에는11개의 북한 소행 악성 소프트웨어 표본을 공개한 바 있습니다.
앵커: 북한의 해킹에 국방부 말고도, 미국 재무무와 법무부 등 다른 부서는 어떻게 대응하고 있습니까?
기자: 미국 재무부와 법무부는 북한 사이버 범죄에 연관된 단체나 개인에 대해 제재를 가하거나 기소하는 등 법적인 절차를 진행하고 있습니다. 실제 미국 재무부는 지난 3월 2일 북한 해킹조직 '라자루스'와 연관된 2명의 중국 국적자를 제재했습니다. 당시 재무부 산하 해외자산통제국(OFAC)은 "사이버 침입으로 인해 절취된 암호화폐의 돈세탁에 연루된 중국인 톈인인과 리자둥을 제재한다"면서 "이들은 북한의 지원을 받는 사이버 조직인 라자루스와 연계돼 있다"고 지적했습니다. 또 미국 연방 검찰은 북한이 사이버 범죄로 탈취한 가상화폐 계좌 280개 이외에도 또 다른 가상화폐 계좌 113개를 비롯해, 대북제재를 위반한 중국인 사업가 등의 자산 등 여러 북한 관련 자금에 대해 몰수 소송을 진행하고 있습니다.
앵커: 요즘 코로나19로 재택근무가 전세계에서 이뤄지고 있는데, 정부 차원이 아닌 각 개인이 북한 해커의 공격을 막기 위한 방법이 있나요?
기자: 현재 전세계에서 코로나19의 감염을 막기 위해 마스크 상시 착용과 손씻기, 거리 두기, 주기적 환기, 소독 등 개인방역수칙을 준수하는데요. 전문가들도 코로나19 바이러스처럼 사이버상의 해킹과 바이러스를 막기 위해서도 기본적인 안전 수칙이 중요하다고 합니다. 전문가들은 컴퓨터 및 전자우편 비밀번호를 정기적으로 변경하거나 출처가 불분명한 전자우편이나 첨부파일은 열지말고 바로 삭제, 보안 프로그램 설치 등을 제안하고 있습니다.
앵커: 네, 이경하 기자 잘 들었습니다. 자유아시아방송의 2020년 10대 뉴스9편 '"돈 되는 건 뭐든 한다" 코로나 백신 제약사도 해킹하는 북한'편을 마칩니다. 내일 이 시간에는 2020년 10대뉴스 마지막 편 ''무소식이 희소식?' 대화 없는 미북, 상존하는 북핵 위협'편을 보내 드립니다.
0:00 / 0:00