무기 정교하게 가다듬은 북한, 한국은 비상
- 북한의 래버린스천리마, 세 그룹으로 나뉘어
- 기존 래버린스천리마에 암호화폐 탈취 전문 그룹 두 개
- 늘 그랬듯, 한국을 공격 훈련장이자 실험 무대로 활용할 듯
북한의 악명 높은 해킹 그룹 래버린스천리마(Labyrinth Chollima)가 세 개의 조직으로 분파했다고 보안 기업 크라우드스트라이크(CrowdStrike)가 분석했다. 크라우드스트라이크는 이 세 조직에 각각 래버린스천리마, 골든천리마(Golden Chollima), 프레셔천리마(Pressure Chollima)라는 이름을 붙이겠다고 자사 블로그를 통해 밝히기도 했다.
“새로 탄생한 래버린스천리마는 분파 이전과 마찬가지로 국방, 물류, 중공업 분야를 노리는 것으로 나타났습니다. 하지만 파생된 두 그룹인 골든천리마와 프레셔천리마의 경우 암호화폐 산업을 집중적으로 노리고 있습니다.” 크라우드스트라이크의 설명이다. 아무래도 암호화폐 탈취에 역량을 집중시키려는 게 이번 그룹 재편의 목적인 것으로 보인다고.
달라진 건 ‘목적’만이 아니다. 세 그룹은 공격 도구도 달리 사용하고 있는 것으로 분석됐다. “다만 그 도구들 모두 2000년대와 2010년대에 래버린스천리마가 사용했던 악성코드 프레임워크를 진화시킨 것으로 보입니다. 지금은 서로 다른 도구들이지만 거슬러 올라가면 같은 뿌리를 가지고 있다는 의미입니다.”
상이해 보이는 공격 도구들이 같은 뿌리를 가지고 있다는 것은 또 무슨 의미일까? 크라우드스트라이크는 “공격 단체들이 자원을 어느 정도 공유하고 있다는 뜻”이라며 “도구 외에 공격에 사용되는 여러 인프라가 겹치기도 한다”고 지적한다. 그러면서 “중앙에서 여러 해킹 그룹들을 운영하고 있음을 드러내는 정황 증거”라고 정리한다. 북한 정권이 국가 운영을 위해 다양한 해킹 그룹들을 운영하고 있다는 것으로, 이는 서방 보안 기업들이 항상 의심해 오던 것이기도 하다. 다만 이를 입증할 명확한 증거는 아직 없다.
북한 해킹 그룹의 잦은 개편
하나의 APT 그룹이 나뉘거나 합쳐져서 또 다른 해킹 조직을 형성하는 건 항상 있어 왔던 일이다. ‘북한’하면 가장 먼저 떠오르는 해킹 그룹 라자루스(Lazarus)의 경우, 여러 차례에 걸쳐 세분화 과정을 거쳤다. 블루노로프(Bluenoroff), 안다리엘(Andariel), 김수키(Kimsuky), 스타더스트(Stardust) 등이 라자루스로부터 파생됐다고 보안 업계는 보고 있다. 블루노로프는 금융 분야를, 안다리엘은 한국 국방 조직들을, 김수키는 외교 분야 조직들과 싱크탱크들을 주로 노린다.
북한에서 해킹 그룹들이 흩어졌다 뭉쳤다 하면서 재구성되는 이유는 ‘공격의 목적’ 때문이다. 특히 이번에 언급된 골든천리마와 프레셔천리마처럼 ‘돈’을 집중적으로 벌어야 하는 상황에서 이런 일들이 자주 일어나는 것으로 알려져 있다. 앞서 언급된 블루노로프가 ‘외화 벌이’에 집중하기 위해 탄생한 그룹의 좋은 예다. 이번에 암호화폐 탈취를 전담할 그룹이 두 개나 생겨났다는 건, 북한 정권이 국고 채우기에 혈안이 됐다는 뜻으로 해석 가능하다.
참고로 이와 비슷한 현상이 중국에서도 발견된 적이 있다. 2015년에서 2017년 사이 중국인민해방군 내 여러 부대에 소속된 수많은 APT 조직들이 서로 흡수되거나 갈라진 것이다. 그러면서 APT1이라는 이름으로 추적되던 해킹 단체는 갑자기 활동이 뜸해졌다. 대신 APT41이라는 새로운 단체가 당시 나타나 지금까지도 각종 국가들을 대상으로 스파이 활동을 진행하고 있다. 그 외에 여러 APT 단체들이 서로 구별된 목적에 따라 임무를 수행하는 중이기도 하다. 중국 APT 조직들도 중앙의 관리를 받고 있다는 의혹이 서방 보안 기업들 사이에서는 존재한다
APT 재구성의 이유
APT가 재구성되는 가장 큰 이유는 ‘공격 효율’을 높이기 위해서다. A라는 그룹과 B라는 그룹이 각자 열심히 노력해서 누군가를 염탐할 수 있게 됐는데, 알고 보니 둘이 같은 표적을 공격하고 있었다면, 낭비도 그런 낭비가 없다. 거기에 들어간 노력은 물론 비용과 시간도 전부 헛 쓴 게 되어버린다. 해커들에게 가장 중요한 가치는 ‘가성비’이기 때문에 이런 상황이 발생하는 걸 극도로 꺼려한다.
그런데 뭔가 이상하다. 같은 표적을 공격했다 하더라도 A가 자기가 얻을 것을 얻어가고, B도 애초에 노렸던 것을 가져간다면, 각자 임무를 성공한 것이지 ‘자원을 낭비했다’는 결론에 도달하지 않는다. 그런데 그 A와 B의 고용주가 같다면 어떨까? 그러면 A와 B가 같은 표적을 공격한 것이 그 고용주에게는 낭비이자 손해가 된다. A와 B가 같은 표적을 공격하는 걸 꺼려하는 건, A와 B 스스로가 아니라 그 둘의 공통 고용인일 수밖에 없다. 해킹 조직들이 공격 효율을 높이기 위해 재구성된다는 건, 그들 모두를 한꺼번에 관리하는 누군가가 존재한다는 걸 암시한다고 보안 업계가 해석하는 이유다.
국가 차원에서 APT 조직을 양성하고 운영하는 건 북한과 중국에 국한된 이야기는 아니다. 여러 나라들이 비슷한 의혹을 받고 있고, 그런 해킹 부대들이 사이버 공간에서 암투를 벌인다는 건 공공연한 사실이기도 하다. 그렇다면 북한과 중국이 ‘중앙에서 APT 조직들을 관리한다’고 유독 의심을 받는 건 왜일까? 서방 기업들이 비판의 화살을 그 두 나라에 돌림으로써 서방 국가들의 사이버전 행위를 감추려는 것일까?
중앙에서 통제한다는 것의 의미
‘해킹 부대’는 어느 나라나 보유하고 있다. 다만 북한과 중국처럼 ‘중앙에서 관리’하지는 않는다. 중앙이 아니라 군이나 정보 기관에 소속돼 있는 게 일반적이다. 그러므로 그런 조직들이 합법적으로 존재하고 활동할 수 있는 법적 기반도 마련돼 있다. 이들의 활동은 법적 테두리 안에서 이뤄지며, 따라서 투명하게 공개되는 편이다(적어도 공식적으로는). 이런 식의 해킹 부대 운영이 중앙 관리 체계보다 도덕적, 윤리적으로 우월하다는 게 아니라, 사회 안전망과 기반이 시스템적으로 마련돼 있다는 의미다.
중앙에서 관리한다는 건, 중앙 정부 내에서도 힘이 집중되어 있는 인물이나 부서, 기관이 독점적으로 해킹 부대 통솔 권한을 가지고 있다는 의미일 때가 많다. 북한에서는 김정은이, 중국에서는 시진핑이 이 해킹 부대의 움직임에 깊은 영향력을 미치고 있다는 뜻이다. 그러므로 법적 근거가 부실하고, 그러므로 투명하게 작전을 수행하지 않을 때가 많다. 이런 식의 해킹 부대 운영이 윤리적, 도덕적으로 아래에 있다기보다, 해킹 부대의 투명한 운영을 위한 기반이 덜 성숙해 있다는 뜻이다.
뛰어난 첩보 기술을 가진 해커들이 사회 시스템이 아니라 극소수의 인물들에 의해 조정된다는 건, 어린아이 손에 실탄이 장전돼 있는 총이 들려있다는 것과 비슷한 말이 될 수 있다. 그리고 그 총은 이미 여러 차례 희생자를 낸 적이 있고, 지금도 그러고 있으며, 앞으로도 그럴 가능성이 다분하다. 북한과 중국 APT 조직들의 소식이 나올 때마다 서방 보안 기업들이 ‘중앙 통제와 운영’을 강조하는 이유다. 피해자가 양산되기 좋은 체제라는 경고나 다름 없다. 게다가 그 두 나라는 하필 한국과 가장 가깝기도 하다.
한국에 가지는 의미
북한 해킹 조직이 분파해 세 개의 조직이 탄생했다는 건 한국에 어떤 의미일까? ‘적군의 무기 하나가 정교해졌다’고 정리할 수 있다. 한국은 언제나 북한 해커들의 전술 실험장이자 비자발적 돈주머니였다. 언어가 같고 문화가 대동소이하며 지리적으로 가깝고 가진 것도 많기 때문에 북한 해커들로서는 더할 나위 없이 좋은 사냥감인 것이다.
이번에 북한이 자신들의 무기를 정교하게 가다듬었으므로 먼저 한국을 대상으로 실험을 진행할 수 있다. 래버린스의 경우 원래 방산과 조선, 항공, 반도체 등을 겨냥했는데, 이 산업들 모두 한국에 밀집되어 있다. 분파가 래버린스의 위력에 어떤 영향을 미쳤는지 알아보기 위해서라도 한국을 공격한다는 시나리오는 얼마든지 상상 가능하며, 그리 비현실적이지 않다.
골든과 프레셔의 경우 암호화폐를 주로 노리는 단체로 규정됐다. 한국이 암호화폐 생태계에서 단연 앞서 있거나 세계에서 손꼽히는 플레이어는 아니지만, 그렇다고 아주 뒤쳐진 건 아니다. 한국에도 규모 큰 암호화폐 거래소가 여럿 존재하고, 블록체인 관련 기술 개발 행위도 꾸준히 이뤄지고 있다. 이제 막 움직이기 시작한 이 두 조직이 일단 몸풀기처럼 한국의 블록체인 및 암호화폐 생태계를 노릴 가능성도 낮다고 볼 수 없다.
최근 해커들은 사이버 공간에서만 활동하지 않는다. 물리적인 방법도 동원한 ‘하이브리드 공격’을 실시한다. 북한 APT 조직들이 이런 유행에 편승한다면, 한국은 더더욱 맛좋은 먹잇감이 될 수 있다. 물리적 위치 때문이다. 보안 전문가들은 북한 해커들을 ‘one of them’으로 보지 말아야 한다고 조언한다. 그 자체로 하나의 ‘장르’라는 것이다. “일반적인 사이버 방어 체제를 도입하는 것도 중요하지만, 북한 해커들만을 위한 리스크 완화 대책도 별도로 마련해야 합니다. 북한 해커들은 한국에 있어 그런 존재입니다.” 한 보안 전문가의 지적이다.🆃🆃🅔
by 문가용 기자(anotherphase@thetechedge.ai)
Related Materials
- Assessed Cyber Structure and Alignments of North Korea (DPRK 사이버 조직 구조·정렬, IT 노동자·해커 부대 중앙 관리 분석) - Google Cloud Threat Intelligence, 2024년
- North Korea's Cyber Strategy (Kimsuky·Lazarus·APT37 등 그룹 간 역할 분담과 RGB 예하 조직 구조 분석) - Recorded Future Insikt Group, 2023년
- Advanced Persistent Threat Profile: Lazarus (라자루스 및 하위 그룹이 DPRK 중앙 대외정보 조직의 일부로 통합 운용된다는 평가) - Eurepoc, 2024년
- S/2024/215: Report of the Panel of Experts established pursuant to resolution 1874 (2009) (라자루스 등 북한 APT 활동과 제재 회피를 위한 조직적 재편 정황) - UN 안보리 대북제재 전문가패널, 2024년
문가용 기자
![[모집] 더테크엣지의 ‘테크 영어 루틴’인 톡섹을 공개합니다](https://images.unsplash.com/photo-1629141648935-fd2986d92c6f?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDExfHxzbWFsbCUyMHN0dWR5JTIwZ3JvdXB8ZW58MHx8fHwxNzY5NzU3NzgzfDA&ixlib=rb-4.1.0&q=80&w=600)
