[세컷뉴스] 정보와 자금을 탈취하는 ‘북한의 3대 해킹 조직’...‘김수키·라자루스·안다리엘’

시선뉴스=양원민 기자ㅣ경찰이 최근 국내 방산업체 10여 곳이 지난 2022년 북한의 해킹 조직 3곳에 의해 자료 유출 피해를 입은 사실을 확인했다. 세 조직은 모두 서로 다른 수법으로 국내 방산업체를 노렸는데, 꾸준히 우리나라 정부와 기업에 해킹을 시도하며 정보와 자금을 탈취하는 북한의 해킹 조직들을 살펴보자.

첫 번째, 김수키

김수키는 북한 정찰총국 산하 해커조직으로 전 세계 정부와 정치권·학계·언론계 주요 인사를 대상으로 사이버 공격을 감행해 얻어낸 정보를 북한 정권에 제공한다. 이들은 2013년 러시아 정보보안업체가 해커의 이메일 계정인 ‘김숙향(kimsukyang)’이라는 이름으로 보고서를 발표하면서 알려졌다.

김수키는 발신자를 속여 이메일을 보내 비밀번호 등을 입력하도록 해 자료를 빼내는 방식으로 해킹하는 것으로 알려져 있으며, 지난 2014년 12월 한국수력원자력(한수원) 해킹 사건에서도 이와 같은 방식을 이용했다. 이후로도 2016년 국가안보실 사칭, 2021년 대우조선해양 잠수함과 함정 개발기술 절취 시도, 한국항공우주(KAI) 한국형 전투기 KF-21 보라매 등 다양한 무기체계 절취 시도 등 꾸준히 해킹을 시도하고 있다.

또 최근 지난 2일(현지시간) 미국 정부가 북한 해커들이 미국의 대북 정책 관련 정보를 수집하기 위해 미국 정부 당국자나 전문가에게 발신자를 위장한 이메일을 발송하고 있어 주의해야 한다고 경고했는데, 이 또한 ‘김수키’의 소행이었다.

두 번째, 라자루스

라자루스도 김수키와 마찬가지로 북한 정찰총국 소속 해커집단으로 남한과 미국 등의 금융기관을 주공격 대상으로 삼고 있다. 2014년 소니 해킹 사건과 2016년 방글라데시 중앙은행 해킹 사건의 용의자로 지목되며 이름이 알려졌다.

미국 민간보안업체 파이어아이(FireEye)가 2018년 2월 발표한 자료에 따르면 라자루스 아래엔 미로·침묵·별똥·물수제비 등 4개의 천리마 조직이 있으며, 이 조직들은 해킹을 통해 정보 수집, 네트워크 파괴, 금융 탈취 등을 하는 것으로 추정되고 있다. 특히 ‘미로’는 한국의 국방부, 방산업체 등을, ‘침묵’은 2014년 영화 <인터뷰> 제작사 소니픽처스를 각각 해킹했다는 혐의를 받는다.

라자루스는 최근 중국 투자자를 사칭해 구인·구직 소셜 네트워크 링크트인에서 피싱 공격을 펼쳤다. 이에 보안업체 슬로우미스트는 라자루스가 최근 엑스(X·옛 트위터) 계정을 통해 링크드인에서 피해자들의 정보를 빼내고 자산을 탈취하는 것을 주의해야 한다고 경고했다.

세 번째, 안다리엘

김수키, 라자루스와 함께 북한의 주요 해킹 조직으로 역시나 북한 정찰총국에 소속되어 있다. 이들은 사용자의 시스템을 마비시키는 악성코드를 유포하여 원하는 것을 가져가는 수법을 사용하는데, 지난 2020년과 2021년에만 IT와 국방, 조선 관련 업체들에 12번의 공격을 가한 정황이 발견됐다. 또 2022년 10월엔 서버를 유지 보수하는 업체의 직원이 사용하던 계정을 탈취해 방산 협력업체 서버에 악성코드를 감염시켜 기술 자료를 가져갔다.

북한은 이렇게 여러 해킹조직을 통해 정보를 수집하고 암호화폐 등을 탈취해 현금으로 세탁해 외화 수입을 조달하기도 한다. 이와 관련해 유엔 안전보장이사회(안보리) 산하 대북제재위원회는 지난 3월 공개한 연례 보고서에서 “2017~2023년 북한이 가상자산 관련 회사를 상대로 사이버 공격을 벌여 탈취한 금액이 약 30억 달러(약 4조원)로 추산된다”고 밝힌 바 있다. 북한은 이렇게 얻은 자금과 정보로 핵무기 등 대량살상무기 개발 등에 투자하며 몸집을 불리고 있다.

보안 전문가들은 해킹 피해를 최소화하기 위해서는 협력 업체들까지 보안 취약점을 점검하고, 프로그램을 지속해서 업데이트해야 한다고 조언한다. 또 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 내려받은 실행 파일을 특히 주의해야 하며, 개인정보는 누구에게도 쉽게 알려주어선 안 된다.