남북 평화 분위기가 무르익고 있다. ‘조만간’ 한반도에서의 전쟁은 끝날 것으로 보인다. 그러나 사이버 세상에서 ‘종전’은 요원한 일인 것 같다. 사이버 스파이전과 수익을 위한 사이버 공격이 계속 진행되고 있기 때문이다.
파이어아이는 4일 자사가 추적하고 있는 ‘APT38’ 공격그룹에 대해 상세히 설명하는 보고서를 발표했다. 파이어아이는 APT38이 북한 정권의 후원을 받고 있다고 확신하고 있다. 이 보고서에서 파이어아이는 지난달 미국 정부가 기소한 해커 박진혁 씨와 그가 소속돼 활동했던 것으로 의심되는 해킹그룹 라자루스(Lazarus)에 대해서도 설명했다. 라자루스는 방글라데시 중앙은행 해킹 사건의 주범으로 지목되며, 소니픽처스 해킹과 워너크라이 랜섬웨어 공격의 주범이거나 긴밀한 관련이 있을 것으로 의심된다.
파이어아이에 따르면 APT38은 2014년부터 지금까지 11개 국가, 16개 이상 기관을 공격했으며, 주로 금융기관을 노려 금전적인 수익을 얻으려고 했다. 공개된 활동만 계산해보면 11억달러 이상의 금액을 훔치려고 시도했던 것으로 보인다. 2014년은 소니픽처스 해킹 사고가 일어났던 해이다.
“사이버 범죄 배후를 밝혀라”
라자루스가 북한 정부의 후원을 받는다는 주장은 소니픽처스 해킹 사고에서부터 시작된다. 북한 지도자 암살을 소재로 한 코미디 영화 ‘인터뷰’를 제작한 소니픽처스가 해킹을 당했으며, 미국은 북한의 소행이라고 결론을 내렸다. 이후 이 사고와 유사한 공격 방식이나 공격도구가 발견되면 ‘북한 소행’이라고 결론지어지게 됐다.
실제로 방글라데시 중앙은행 해킹 주범으로 지목된 라자루스 그룹이 사용하는 공격도구가 소니픽처스 해킹과 유사점이 있으며, 여기에 사용된 악성코드 중 일부가 워너크라이에도 사용됐다. 평창동계올림픽 공격에도 유사한 코드가 등장해 ‘북한 소행’으로 알려지게 됐다.
이와 유사한 형태의 공격을 하는 사이버 범죄 그룹은 사이버 스파이 활동도 하지만, 금전적인 수익을 위한 활동에 집중한다고 파이어아이는 분석한다. 이들의 주요 활동은 랜섬웨어, 암호화폐 탈취, 무단 암호화폐 채굴, 금융기관 해킹 등에 집중된다. 파이어아이를 포함한 보안 전문가 그룹들은 오랜 경제제재를 받아온 북한이 정치자금을 마련하기 위해 정권 차원에서 사이버 전사를 양성했으며, 전 세계를 상대로 사이버 범죄를 벌이고 있다고 주장한다.
전문가 중에서는 ‘성급한 일반화의 오류’를 지적하는 시각도 있다. 워너크라이 공격 당시 보안 전문가 중에서는 워너크라이가 사용한 악성코드는 오래 전 부터 사용돼 온 것으로 북한과 연관돼 있다고 볼 근거가 희박하다고 지적한 바 있다.
평창동계올림픽을 노린 ‘올림픽 파괴자’ 공격도 초기에는 북한이 배후에 있는 공격그룹으로 의심했지만, 더 정밀한 분석 끝에 북한이 아니라는 결론에 이르게 됐다. 카스퍼스키랩은 이 공격자들은 북한으로 의심될만한 증거를 지능적으로 교묘하게 남겼으며, 실제 공격 조직은 북한이 아니라고 주장했다.
조작된 증거로 사이버 범죄 배후 특정 못해
우리나라에서도 북한 소행으로 의심되는 공격 피해가 매우 많았다. 한국수력원자력 해킹, 농협 해킹, 3·4/7·7 디도스, 3·20 사이버 테러, 인터파크 해킹, 군 전산망 해킹 등 셀 수 없이 많은 공격이 북한이 일으킨 것으로 결론지어졌다.
최근 발견된 것 중 중국 범죄그룹으로 오해하도록 증거를 조작한 한국어 기반 공격 시도도 있었다. 이스트시큐리티 시큐리티대응센터(ESRC)가 8월 자사 블로그에 포스팅한 ‘작전명 로켓맨(Operation Rocket Man)’ 분석 보고서에서는 공격자들이 중국 기반 공격으로 위장한 몇 가지 사례를 소개했다. 중국어의 영문식 표기를 오기하거나 C&C 서버의 계정 소유자가 중국인의 이름인 것처럼 설정했으며, 악성코드에 중국와 연관된 다양한 기록을 의도적으로 남긴 것이 발견됐다.
악성코드 분석 전문가들이 한 두 가지 증거만으로 ‘북한 소행’으로 결론짓는 것은 아니다. 조작된 증거 속에서도 범죄자를 특정할 수 있는 결정적인 증거가 반드시 포함돼 있다. 공격자들도 사람인만큼 실수를 하기 마련이다. VPN이 잠시 끊기면서 공격자의 실제 위치가 노출되는 지점도 있는 것도 사실이다.
그러나 실제 범죄자가 검거되고 범죄사실이 모두 투명하게 증명되기 전 까지 모든 증거는 조작돼 있다고 의심해 보는 태도도 필요하다. 분석가가 발견한 ‘결정적 증거’도 사실은 위조된 증거일 가능성을 완전히 배제해서는 안된다.
유행에 민감한 공격자
지하세계에서는 공격도구를 개발하는 조직과 공격하는 조직, 유통조직이 역할을 분담해 활동하고 있으며, 새로운 공격도구를 개발하면 이를 변형시켜 공격을 진행한다. 공격에 성공한 도구는 비싼 가격에 팔리고, 여러 공격조직이 사용하기 때문에 특정 악성코드가 발견됐다 해서 공격 조직의 실체를 정확하게 지목하는 것은 어려운 일이다.
국내 한 악성코드 분석가는 “공격자의 배후를 알아내는 것은 범죄 수사의 영역이다. 또한 사이버 범죄는 모방이나 증거위조가 쉽기 때문에 공격자가 검거된 후 공격의 실체를 명확하기 밝히기 전에는 공격자를 특정하는 것이 쉽지 않다”고 말했다.
그러면서 그는 “그러나 악성코드를 분석해보면 주기적으로 새로운 공격도구들이 등장하는 것을 볼 수 있다. 마치 IT 기업이 새로운 제품이나 버전을 발표하는 것처럼, 신종 악성코드 패밀리가 등장하면 이를 변경한 변종 도구가 무수히 발견되는 트렌드는 분명히 있다”며 “공격자들도 유행에 민감하며 새로운 도구를 사용하는데 매우 많은 관심을 갖고 있다. 공격 도구의 트렌드를 추적해 향후 발생할 공격 방식을 예측하고 대응하는 것이 필요하다”고 덧붙였다.
