앵커 : 북한에 계시는 청취자 여러분 안녕하세요. 2021년 한 해의 북한 관련 뉴스를 총 정리하는 'RFA자유아시아방송10대 뉴스'입니다. 오늘 '10대 뉴스' 세 번째 시간은 이경하 기자와 함께합니다.
앵커 :오늘의 주제부터 알아볼까요.
기자 :준비해온 자료부터 들어보겠습니다.
앵커 : 오늘의 주제는 북한이 한국이나 미국 뿐만 아니라 우방국인 중국, 러시아 등을 대상으로도 사이버 공격을 감행하고 있다는 소식이군요. '해킹'이라 하면 청취자들이 알고 계시겠지만, 인터넷 가상세계에서 타인의 전산망에 불법으로 들어가 이를 공격하거나 정보, 자금을 탈취하는 걸 말하는데요. 최근 북한 해커 조직이 우방국인 중국과 러시아에도 사이버 공격을 감행했다는 소식이 알려졌죠?
기자 : 그렇습니다. 미국 데일리비스트는 지난달 22일 미국 보안업체 '크라우드스트라이크'(CrowdStrike)의 연구자료를 인용해, 북한 정권과 연관된 것으로 추정되는 해커 세력이 중국의 보안 연구원들의 기술을 훔치려 했다고 보도했습니다. 특히 북한 해커들은 중국 뿐만 아니라 러시아도 공격 대상으로 삼은 것으로 나타났습니다. 러시아 매체 코메르산트도 지난달 23일 미국 보안업체 프루프포인트를 인용해 북한 해커조직인 '김수키'가 대북 문제를 다루는 러시아 과학자, 외교정책 전문가, 비정부기관도 공격했다고 지적했습니다.
앵커 : 중국과 러시아가 북한의 사이버 공격을 받은 것 같은데 이들 국가의 반응은 어떤가요? 또 미국의 반응은 어떤가요?
기자 : 현재 중국과 러시아 외교부 등 정부 당국은 북한의 사이버 공격이 있었는지 여부 등 공식적으로 아무런 입장을 밝히지 않았습니다. 또 최근 자유아시아방송(RFA)이 중국과 러시아 외교부, 유엔 주재 대표부 등에 논평을 요청했지만, 여전히 현재까지 묵묵부답인 상태입니다. 반면에 미국 국무부 대변인은 지난달 23일 북한이 우방국인 중국과 러시아에 대해서도 사이버 공격을 시도했다는 분석에 대한 자유아시아방송(RFA)의 논평요청에 "북한의 악의적인 사이버 활동은 미국과 전세계 각국을 위협하고 있다"고 지적했습니다. 그러면서 국무부 측은 "북한이 가하는 사이버 위협을 완화하기 위해서는 국제사회와 네트워크(전산망) 보호자, 그리고 일반인들이 경계를 늦추지 않고, 서로 협력하는 것이 필수적"이라고 강조했습니다.
앵커 : 그렇군요. 그런데 북한이 공격 대상을 어떤 방식으로 해킹을 시도한거죠? 그리고 도대체 북한이 어떤 목적으로 우방국을 해킹한 건가요?
기자 : 미국의 사이버 보안업체 '크라우드스트라이크'와 '프루프포인트'는 북한 해커 조직이 중국과 러시아에서 저명한 전문가의 이름으로 작성된 피싱, 이른바 미끼 메일을 다른 전문가에게 보내 공격 대상의 계정과 비밀번호 등을 알아낸 뒤 비공개 자료에 접근, 정보를 캐내는 '스피어 피싱 '수법을 사용했다고 지적했습니다. 일반적으로 '스피어 피싱' 방식은 전자우편을 받아 문서를 열람하면 자동으로 악성코드에 감염되는 방식으로, 평범한 문서 파일로 보이지만 원격 제어 악성코드가 숨겨져 있어 개인정보 유출시도와 추가 악성코드 설치에 노출될 위험성이 높습니다. 이와 관련해, 북한 정보통신전문 사이트 '노스코리아테크'의 마틴 윌리엄스 대표는 최근 자유아시아방송(RFA)에 북한 해커들이 공격 대상자의 관심사를 이용하는 '스피어 피싱' 방식을 자주 사용한다고 설명했습니다.
윌리엄스 대표 : 사람들이 열어보고 싶은 내용을 보내 공격하는 전형적인 해킹 방식입니다.
특히 ‘크라우드스트라이크’(CrowdStrike)는 북한 해커들이 중국 정부 측 보안 당국이 언급된 문서를 미끼로 중국 사이버보안 관계자들까지 표적으로 삼았다고 지적했습니다.
이 업체는 북한이 우방국인 중국을 상대로도 사이버 해킹 도구(hacking tool)를 훔치려는 목적으로 사이버 공격을 시도했다고 지적했습니다. 아울러 미국 보안업체 ‘프루프포인트’는 북한 해커 조직인 ‘김수키’가 러시아의 대외정책 분야 학자와 전문가, 북한과 협력 문제를 담당하는 비정부기구 등을 해킹해, 정보를 탈취하려는 것으로 파악했습니다.
앵커 :북한이 사이버 공격을 하는 이유는 뭔가요?
기자 : 코로나19 방역을 위해 스스로 국경을 봉쇄한 북한 측에 있어 사이버 공격은 '돈'이 되기 때문입니다. 실제 미국 정부 당국과 전문가들은 북한이 사이버 공격을 벌이는 가장 큰 이유로 제재회피를 통해 '돈', 즉 외화벌이를 할 수 있기 때문이라고 지적했습니다. 특히 미국의 찰스 무어 사이버사령부 부사령관은 지난달 10일 미 사이버보안업체가 개최한 사이버안보 관련 화상회의에서 북한의 사이버공격은 현금확보(revenue generation)에 집중돼 있다고 지적한 바 있습니다.
무어 부사령관 : 북한의 사이버공격은 북한 정권 지원에 필요한 현금을 확보하는 데 매우 집중되어 있습니다. 그런 점에서 우리는 북한을 미국에 대한 적극적인 위협으로 보지 않습니다. (They are very much trying to generate money to support the regime and in that regard we don't see them really active against the US perspective.)
또 미국의 안보 관련 민간연구소 ‘발렌스 글로벌(Valens Global)’의 매튜 하(Mathew Ha) 연구원도 지난달 29일 자유아시아방송(RFA)에 “북한 정권은 주요 비대칭 안보 자산 중 하나로 사이버 공격에 계속 의존하고 있다”고 지적했습니다.
하 연구원 : 사이버 공간에서 김정은 정권의 공격 전술은 수그러들지 않고 지속되고 있습니다. 북한 정권이 코로나 19의 대유행에 따른 경제위기 속에서 사이버 공격에 적극 나서고 있습니다.
그러면서 하 연구원은 북한에 있어 사이버 공격은 비용이 저렴할 뿐만 아니라, 주요 정보를 판매하거나 가상화폐 등을 즉각적으로 취득하게 해주는 주요 제재 회피 수입원이라고 덧붙였습니다.
앵커 :그럼 북한이 사이버 공격을 통해서 얼마나 많은 외화를 벌어들었나요? 혹시 추정치가 있나요?
기자 :네, 유엔 안전보장이사회 산하 대북제재위원회 전문가단은 지난 3월 공개한 연례보고서에서 북한이 2019년부터 지난해 11월까지 사이버 공격으로 얻은 범죄 수익이 3억1천640만 달러 이상이라며, 북한이 이 돈을 핵과 미사일 개발에 사용하고 있는 것으로 보인다고 분석했습니다. 미국 공화당 하원 군사위원회 소속 마이크 로저스(Mike Rogers) 의원도 최근 북한이 더욱 정교한 사이버 공격 기술을 이용해, 국제사회의 제재를 회피하면서 핵과 미사일 프로그램 개발 관련 자금을 조달하고 있다고 지적했습니다. 지난 10월20일 미국 민간 연구기관인 헤리티지재단이 개최한 '2022 미국 군사력 지수'(2022 Index of U.S. Military Strength)에서 로저스 의원이 한 말을 들어보시죠.
로저스 의원 :사이버는 우리가 많은 관심을 돌리는 또 다른 영역입니다. 사이버는 강한 영향력을 미치지 위해 주요 행위자일 필요가 없는 영역입니다. 북한과 같은 작은 나라는 이 영역에서 주요 적국이 됐습니다.
앵커 :이렇게 해킹을 자행하는 북한의 사이버 요원들의 규모는 얼마나 되나요?
기자 :우선, 한국 국방부가 올해 초 2월 발간한 '2020 국방백서'에서 북한이 운영하는 사이버 부대의 인원수는 6천800여 명에 달한다고 설명했습니다. 이와 관련된 영국 런던 주재 왕립합동군사연구소(RUSI∙Royal United Services Institute)의 카일라 아이젠만(Kayla Izenman) 사이버 보안 분석가의 말을 들어보시죠.
아이젠만 분석가 :우리는 북한이 6천명 이상의 훈련된 사이버 전쟁 전문가를 보유하고 있다고 가정할 수 있습니다.
아이젠만은 전문가들과 한국 정보기관의 추정을 토대로, 북한에서 활동하고 있는 사이버 정예 요원이 6천명 이상일 것이라고 분석했습니다. 특히 미국 의회조사국(CRS)은 지난달 22일 공개한 사이버 보안 관련 보고서(Cybersecurity: Selected Cyberattacks, 2012-2021)를 통해 북한을 국가 주도로 사이버 공격을 감행하는 가장 정교한 사이버 공격 집단이라고 평가했습니다.
앵커 : 이런 북한의 사이버 공격에 대한 미국 정부의 인식은 어떻습니까? 또 북한의 해킹에 미국 정부는 어떻게 대응하고 있습니까?
기자 :미국 정부 뿐 아니라 의회, 전문가 등 모두 북한의 해킹 위험성을 우려하고 있습니다. 특히 미국 정부와 의회는 북한의 사이버 위협을 북한의 핵무기와 못지않게 심각한 안보위협으로 보고 있습니다. 실제 미국 재무부는 북한의 사이버 공격에 대해서 각종 주의보를 발령할 정도로 심각하게 받아 들이고 있는데 이를 잘 보여주는 예로 지난10월15일 미국 재무부 산하 해외자산통제실(OFAC)은 15일 '가상화폐 산업을 위한 제재준수 지침'(Sanctions Compliance Guidance for the Virtual Currency Industry)을 공개했습니다. 이 지침에서 재무부는 북한, 쿠바, 이란, 시리아, 우크라이나 크림반도 등과의 가상화폐 거래는 제재위반이라고 밝히기도 했습니다.
앵커 : 북한 해킹 조직인 '히든 코브라'고도 불리는 '라자루스'는 이미 악명이 높은 것으로 알고 있습니다. '라자루스', '김수키' 등 북한 해킹 조직이 다양하고 명칭이 각기 다른 것 같은데 어떻게 구별할 수 있을까요?
기자 : 북한 해킹 조직을 부르는 명칭이 국가와 보안 업체마다 그리고 사이버 공격의 대상에 따라 달라집니다. 하지만 보안 전문가들은 사이버 공격 조직 이름에만 집착하기 보다는 사건과 핵심 인물에 주력하는 것이 바람직하다는 의견을 제시하고 있습니다. 실제 미국이 지난 2014년 소니영화사 해킹의 배후로 북한의 라자루스를 지목하고, 라자루스의 주요 인물인 박진혁을 기소한 것도 같은 맥락입니다. 미국 정부의 경우 공식적으로 이 '라자루스'를 '히든 코브라'라고 부르고 있습니다. 또 다른 북한 해킹 조직으로 '김수키'(Kimsuky)는 러시아의 대표적인 보안기업 '카스퍼스키 랩(Kaspersky Lab)'이 2013년 북한 해커의 이메일 계정을 제목으로 한 '김석양'(Kimsukyang) 보고서를 발표하면서 알려진 공격 조직입니다. 특히 한국에서 '김수키'가 2014년 12월 한국수력원자력 해킹사건에 사용된 악성코드와 유사한 악성코드를 사용한 것으로 알려지면서 한수원 해킹의 배후로 지목되기도 했습니다. 이 밖에 미국의 마이크로소프트(MS)사의 '탈륨'(Thallium)과 '진크'(Zinc), '세리움'(Cerium), 미국의 보안업체 파이어아이의 'APT37', 한국의 민간보업체인 이스트시큐리티의 '금성 121', 안랩의 '레드 아이즈' 등 분석한 보안업체와 분석가, 국가에 따라 북한 사이버공격 조직에 대한 자세한 사항과 명칭이 조금씩 다릅니다. 하지만 보안 업체들과 전문가들은 이 모든 사이버 공격 조직을 '북한' 혹은 '북한으로 추정되는 국가'와 연관된 것으로 여기는 것에는 별다른 이견이 없습니다.
앵커 : 요즘 코로나19로 재택근무가 전 세계에서 이뤄지고 있는데, 정부 차원이 아닌 각 개인이 북한 해커의 공격을 막기 위한 방법이 있나요?
기자 :코로나19가 발병한 지난 2019년 말부터 올해 현재까지 전세계에서 코로나19 변이와 돌파 감염을 막기 위해 마스크 상시 착용과 손씻기, 거리 두기, 주기적 환기, 소독 등 개인방역 수칙 준수가 강조되고 있는데요. 전문가들은 코로나19 바이러스처럼 사이버상의 해킹과 바이러스를 막기 위해서도 기본적인 안전 수칙이 중요하다고 지적하고 있습니다. 전문가들은 컴퓨터 및 전자우편 비밀번호를 정기적으로 변경하거나 출처가 불분명한 전자우편이나 첨부파일은 절대 열지말고 바로 삭제하고, 반드시 보안 프로그램 설치하기 등을 제안하고 있습니다.
앵커 :네, 이경하 기자 잘 들었습니다. 자유아시아방송의 2021년 10대 뉴스3편 '피아 구분 없는 무차별 북 사이버 공격'편을 마칩니다. 내일 이 시간에는 2021년 10대뉴스 네번째 편 '미 의회 통과 기다리는 북한 관련 법안과 결의안'편을 보내드립니다.
기자 이경하, 에디터 양성원, 웹팀 이경하