Uncategorized

[전문가 분석] 사이버보안업체 리크타(Reaqta)사의 세르주 운 아태국장 인터뷰 북한 해킹, “기술적 검토 해보니 남한내 종북세력, 사이버 공격에 공조(共助)했을 것”

05 2016 MAGAZINE

글 : 김동연  월간조선 기자

⊙ 북한, 해킹 추적 어렵게 하려고 다른 조직과 연계해
⊙ 해킹 추적 피하려고 괜히 유럽도 공격해
⊙ 대남 사이버 공격 궁극적 목적은 남남갈등 유발

세르주 운 Serge Woon
호주 왕립 공과대학 컴퓨터시스템공학 전공 학사, 로열 홀러웨이 영국런던대학교 이학석사(B.S) / 전 이탈리아 사이버보안업체 해킹팀(HT)의 소프트웨어 전문가, 현 리크타(REAQTA) 아시아·태평양 국장 / 10년 이상 IT 보안구조설계 전문가로 활동, 한국 국가정보원(NIS)-미국 FBI 등에 보안프로그램 개발 및 자문

 

리크타(Reaqta)사(社)는 해외 정보기관의 사이버보안 및 분석을 맡고 있는 유럽의 사이버보안 전문업체다. 이 업체의 세르주 운 국장은 IT 업계에서 10년 이상 몸담은 전문가다. 운 국장은 과거 이탈리아 사이버보안업체 해킹팀(HT)에서 소프트웨어 전문가로 일한 바 있다. 해킹팀은 작년 내부 이메일이 유출되면서 우리 국가정보원(NIS), 미 연방수사국(FBI), 태국·멕시코의 군과 경찰 등이 메신저 모니터링 프로그램(RCS) 개발을 의뢰한 사실이 세간에 알려졌다.

세르주 운 국장에게 서면으로 북한의 사이버 능력과 소니 픽처스 해킹사건에 대해 문의해 봤다.

“북한, 추적 피하려고, 라자루스 그룹과 연계해”

리크타사의 홈페이지.

다음은 세르주 운 국장이 보내온 답변이다.

“문의하신 내용은 민감한 내용이며 특히 요즘은 사이버상에서 그 공격(해킹)의 근원지를 명확히 잡아낸다는 게 쉽지 않습니다. 그런데 저를 비롯한 사이버보안 전문가들은 북한의 이번 공격은 라자루스 그룹(Lazarus Group)과 깊은 연관이 있음을 확인했습니다.

라자루스 그룹은 국제적인 사이버범죄 집단으로 사이버 해킹을 일삼는 집단입니다. 이 집단은 2007년을 기점으로 여러 해킹을 진행했습니다. 대표적인 해킹으로는 ‘플레임 작전(Operation Flame, 해킹의 작전명-플레임은 화염·火焰이라는 뜻)’이 있습니다.

라자루스 그룹의 이 해킹공격은 북한의 주도하에 남한을 집중공격했던 ‘트로이 작전(Operation Troy)’과 밀접한 연관이 있습니다. 2009년부터 2013년까지 라자루스 그룹은 북한과 함께 남한에 사이버 공격을 퍼부었습니다.

라자루스 그룹의 공격에는 독특한 패턴이 있습니다. 이것은 컴퓨터 내부로 침입한 뒤, 안에 있는 정보들을 탈취해 간다는 것입니다. 지난 트로이 작전에서 라자루스 그룹은 남한으로부터 대량의 군사관련 정보들을 탈취해 갔습니다.

정보를 탈취한 뒤로는 마스터 부트 레코드(Master Boot Record, MBR)를 박살내고 남아 있는 내용을 모두 삭제해 버립니다. 이런 MBR 공격 외에도 DDoS공격(단번에 다수의 컴퓨터가 일제히 하나의 서버에 접속해 서비스를 중단시키는 공격)도 라자루스 그룹이 자주 사용하는 공격 패턴 중 하나입니다. 이들이 이런 DDoS 방식의 공격을 하는 이유는 공격대비 최대 효과를 내기 위함과 동시에 (남한) 정보당국의 추적을 따돌리기 위한 것으로 보입니다.”

세르주 운 국장은 북한이 해킹에 라자루스 그룹을 가담시킬 경우 북한에 두 가지 이점이 생긴다고 분석했다. 첫째, 정보당국의 추적을 어렵게 하고, 둘째 해킹집단을 활용함으로써 해킹의 공격전술을 다양하게 사용할 수 있다.

실제로 이런 이점 때문에 아직도 일부 종북단체는 소니 픽처스 해킹과 남한의 DDoS 공격을 라자루스 그룹에 덧씌우고 ‘북한은 결백하다’는 북한의 주장에 동조하고 있다. 그런데 북한의 과거 테러 전례로 볼 때, 이런 여타 조직과의 연계 공격은 흔한 일이다.

1988년 서울올림픽을 앞두고 북한은 중동 테러조직의 수장인 아부 니달(Abu Nidal)에게 돈을 주고 김포공항에 폭탄을 설치해 폭파한 바 있다. 운 국장의 말을 종합해 보면, ‘라자루스 그룹=북한’이라는 모종의 공식이 생긴 셈이다. 세르주 운 국장은 이어서 다음과 같이 설명했다.

“라자루스 그룹의 해킹 능력은 갈수록 진화해 점차 추적이 더 어려워지는 양상을 보입니다. 2013년 자행된 대남 사이버 공격, ‘다크서울(DarkSeoul)’이 대표적인 사례입니다. 공격의 방식(modus operandi)이 지난 트로이 작전과 매우 유사했습니다. 당시 공격의 일부를 추적하자 북한이 사용하는 IP 주소가 나타났습니다. 이번에도 역시 다량의 정보가 탈취됐고 탈취 이후 곧장 남아 있던 정보가 모두 삭제되는 패턴을 보였습니다.

2014년 소니 픽처스 해킹도 마찬가지입니다. 소니 픽처스를 공격했다고 자처한 자들은 ‘GOP(Guardians of Peace, 평화의 수호자)’라고 불리는 해킹 집단입니다. 그런데 이들이 사용한 해킹 프로그램 코드(code)의 많은 부분에서 라자루스 그룹이 사용하는 코드들이 나타났습니다. 이것이 소니 픽처스 해킹의 배후로 라자루스 그룹과 북한이 지목된 이유입니다.

“기술적 검토 하니, 남한내 종북세력 공조흔적 찾을 수 있어”

국정원이 “북한이 남측 주요 인사들의 스마트폰을 해킹했다”고 발표한 지난 3월 8일 오전 서울의 한 시민이 자신의 스마트폰 해킹 여부를 확인하고 있다. 사진=조선일보

연이은 해킹에 북한과 라자루스 그룹이 지목되자, 북한은 자신들이 해킹의 배후가 아닌 것처럼 꾸미려고 2014, 2015, 2016년에 걸쳐 돌연 유럽의 전산망을 공격합니다. 유럽 사이버 공격에서는 정보는 탈취하지 않고 악성코드에 감염된 컴퓨터들의 소프트웨어를 박살내는, 조금은 다른 전술을 구사합니다. 한마디로 자신들의 공격방식을 다양화해 일전의 소니 픽처스 공격의 용의선상에서 빠져나오려고 발버둥치는 꼴이었습니다. 그런데 코드를 분석해 보니 ‘다크서울’ 공격 때와 유사한 방식이었습니다.

모든 내용을 종합해 보면, 몇 가지 결론에 도달합니다. 북한은 라자루스 그룹을 활용해 대남 사이버 공격에서 공격대비 최대효과를 도모합니다. 공격시 공격받은 컴퓨터에 피해를 적게 남기지만 추적이 어렵도록 국제적인 네트워크를 활용해 공격합니다(operating abroad).

시간이 지날수록 점차 공격의 기술이 복잡한 형태를 가지고 있지만 여전히 기술적으로 매우 진화된 방식은 아닙니다. 기술적인 완성도가 떨어지더라도 여전히 이들은 장기간 특정 전산망 안에 침투해서 작전을 수행하기에는 충분한 능력을 보유 중입니다. 이런 북한의 잠복침투 중 국제사회에 발각될 가능성은 현저히 낮습니다.

이들이 저지른 대규모(large scale) 공격은 나의 경험으로 볼 때 대규모로 훈련된 해커들(potentially sizeable team)이 상당한 시간과 노력을 쏟아부어 공격에 임하는 것으로 보입니다. 그리고 이런 공격을 위해서는 북한 밖, 제3국(서버)에서 공격 전 상당기간 공격대상에 대한 정보를 물색하고 감시한 것으로 생각됩니다.”

세르주 운 국장은 기자에게 기술적인 부분에 대해서도 언급했다. 그는 북한의 여러 해킹에 사용된 코드를 면밀히 분석해 본 결과, 대남 사이버 공격은 남한을 조준해 만들었다고 했다. 즉, 모든 공격은 남한의 전산망에 매우 특화되었다는 것이다.

그는 북한 이외의 세력이 해킹에 가담했을 수 있다고 분석했다. 남한내 종북세력 등의 공조 가능성을 제기한 것. 북한이 사이버 공격에 필요한 일부 내용 등을 남한의 종북세력 등에게 의뢰해 사전에 제공했다는 것이다. 사이버 공격을 위해서는 북한 외부에서 활동하는 세력의 도움이 필요할 수 있는데 환경과 지리적인 특성상 남한 내 종북세력 등이 남한의 IT기술과 관련된 핵심 내용을 북에 전달했을 가능성이 있다는 것이다.

세르주 운 국장은 일각에서 북한 이외의 공조집단으로 미국이나 소니 픽처스 내부의 직원 등을 거론하는 일부 언론의 의혹에 대해서는 그럴 가능성을 일축했다. 그는 “기술적인 세부 사항을 검토해 봤다면, 미국이나 소니 픽처스를 지목하지는 않을 것”이라며 자신의 추측을 확신했다.

“사이버 공격의 궁극적 목표는 남남갈등”

세르주 운 국장은 말미에 남한의 IT와 관련된 당부의 말로 인터뷰를 마쳤다.

“북한의 해킹능력은 점차 진화하고 있기 때문에 절대로 그들의 사이버 능력을 간과해서는 안 됩니다. 남한의 정부와 기업에 상당한 피해를 안길 수 있는 충분한 능력을 가지고 있습니다. 남한은 분명 이런 공격에 대비해 즉각적으로 사이버 공격의 주체를 식별하는 능력을 개발해야 합니다.

북한의 지속적인 대남 사이버 공격의 의도가 단순히 정보를 탈취하는 것이 아닙니다. 북한의 궁극적인 목적은 남한의 주요 전산망을 흔들어 정치적인 공작(political strategy)으로 활용하는 것입니다. 계속되는 북한의 공격 양상으로 볼 때 북한은 자신들의 사이버 능력을 과시하고 남남갈등을 촉발시킬 가능성이 농후해 보입니다.

따라서 주요 정보를 가지고 있는 남한의 정부와 기업 등은 분명 사이버 보안에 각별한 신경을 써야 할 것입니다. 시대가 지날수록 첨단기술은 우리의 삶에서 필연적으로 수반되는 것입니다. 이런 기술의 진보만큼 사이버 보안에 대한 투자도 필수 사항입니다.

앞으로의 전쟁은 물리적인 전쟁에서 사이버 전쟁으로 옮아가는 양상입니다. 한국은 이미 사이버 기술이 상당히 진보한 국가이기 때문에 이미 갖춰진 전산망을 잘 활용한다면 유사시 주요 정보를 공유하고 즉각적인 대응책을 마련할 수 있을 것입니다. 이것이 한국이 기술적으로 진보한 차세대 IT 강국이 되는 길입니다.”⊙

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google photo

Google의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중