북한은 외화벌이 수단으로 ‘랜섬웨어’를 활용할까

“북한은 외화벌이 수단으로 랜섬웨어 악성코드를 활용할까?” 아직까지는 이 질문에 납득할만한 답을 내놓은 사례는 없다.

하지만 북한이 사이버공격을 경제적 목적으로 적극 활용하고 있다는 분석은 최근 사이버범죄 전문가들 사이에서 꾸준히 나오고 있다.

그 근거로 꼽히는 대표사례가 올해 초 발생한 방글라데시중앙은행 해킹이다. 국제은행간통신협회(SWIFT) 시스템 취약점을 이용해 미국 뉴욕 연방준비은행 계좌에서 8100억달러(900억원)라는 엄청난 금액의 돈을 유출한 해킹에 북한이 연루돼 있다는 분석이 나왔다. 이 사건을 조사한 민간 보안업체들은 파키스탄, 북한 등 최소한 3개국 기반 해킹조직이 공조했을 것이란 분석을 내놨다. <관련기사 – 방글라데시중앙은행 해킹 ‘남의 일’ 아니다…‘KB국민은행’ 스위프트 코드 발견>

방글라데시중앙은행뿐 아니라 뒤이어 알려진 베트남, 필리핀 은행 해킹도 동일 조직 소행으로 관측되고 있다.

국내에서는 수사기관에서 북한 소행으로 결론 낸 인터넷쇼핑몰 ‘인터파크’ 해킹이 꼽힌다. 지난 5월 알려진 이 사건은 공격자 회원 개인정보를 유출한 뒤 회사 대표(CEO)에게 메일을 보내 돈(30억원 상당의 비트코인)을 요구했다.

미사일 발사와 핵실험 강행으로 국제사회로부터 전례없는 강력한 경제제재를 받고 있는 북한이 현재 사이버범죄자들에게 매우 높은 수익을 안겨다주는 ‘랜섬웨어’ 악성코드를 제작해 유포할 수 있다는 예상이 나오는 것도 무리는 아니다.

국내에서 ‘랜섬웨어’가 거래되는 블랙마켓에서는 최근 북한 해커로 의심되는 정황도 발견됐다.

현재 북한은 ‘랜섬웨어’를 제작해 유포할만한 충분한 능력을 보유하고 있는 것으로 추정되고 있다.

국내 사이버전 연구그룹으로 알려진 이슈메이커스랩은 데일리시큐 주최로 최근 열린 ‘대한민국 정보보호 인텔리전스 컨퍼런스(K-ISI)’에서 ‘랜섬웨어와 북한’을 주제로 북한의 랜섬웨어 개발 능력을 분석한 결과를 소개했다.

Issuemakerslab사이먼 최 이슈메이커스랩 대표는 “강도 높은 대북제재를 받고 있는 북한은 외화벌이가 힘들어진 상황에서 ‘랜섬웨어’를 활용할 가능성이 있다”며 “현재 충분한 ‘랜섬웨어’ 개발·유포, ‘비트코인’ 거래, 그리고 위장 능력까지 보유하고 있다. 블랙마켓에서 의심스러운 정황이 발견되고 있고 돈벌이뿐 아니라 사회혼란을 목적으로 랜섬웨어가 이용될 수 있는 만큼 인텔리전스를 활용해 주의깊게 살펴보고 대응방안을 고민해야 한다”고 말했다.

현재 맹위를 떨치고 있는 ‘랜섬웨어’는 감염되면 파일을 암호화하거나 PC 등의 기기를 사용하지 못하도록 해놓고 이를 풀어주는 대가(비트코인)를 요구하는 악성코드다. 사이버공격자들에게 엄청난 수익을 안겨다주고 있어 전세계적으로 ‘랜섬웨어’ 위협은 갈수록 증가하고 있다.

‘랜섬웨어’는 그동안 주로 러시아와 옛 소련에 포함됐던 동유럽 국가 사이버공격자들이 많이 유포해 온 것으로 분석됐다. 금전적 이득을 노리고 블랙마켓에서 랜섬웨어를 만들어 판매하거나 랜섬웨어를 구매해 유포한 국내 사이버범죄자들도 생겨났다.

이슈메이커스랩은 ‘랜섬웨어’가 가진 특성에 따른 북한의 역량을 분석했다.

“강도 높은 비대칭형 암호화 알고리즘(RSA) 사용”

‘랜섬웨어’는 파일을 암호화해 인질로 삼기 위한 방법으로 대칭형 암호화 알고리즘(3DES, AES)과 비대칭형 암호화 알고리즘(RSA)을 사용한다. 공격자들은 주로 2048비트부터 강도가 높은 4096비트의 RSA 암호화 알고리즘을 사용해 개인키가 없으면 복호화하기 어렵게 만들고 있다.

키만 얻으면 복호화가 가능한 대칭형 암호화 알고리즘과는 달리 비대칭형 암호화 알고리즘은 개인키와 공개키가 서로 달라 해커가 개인키를 제공하지 않는 한 복호화가 불가능하다. ‘랜섬웨어’에 감염돼 백업돼 있지 않은 중요한 자료가 이 방식으로 암호화돼 있는 경우 공격자들로부터 키를 받는 방법 외에는 뾰족한 수가 없다.

이슈메이커스랩은 오래 전부터 북한이 RSA 암호화 알고리즘을 사용하고 있다고 보고 있다. 군사기밀 수집 목적으로 제작돼 우리나라에 유포된 악성코드를 통해 데이터를 RSA로 암호화해 가져간 사례가 있다는 것이다.

“비트코인 , 비트코인 거래소 사용, 관련 솔루션도 개발”

Bitcoin‘랜섬웨어’ 악성코드 위협 증가와 비례해 가상화폐 ‘비트코인’ 시장 규모도 커지고 있다. 사이버범죄자들은 추적이 어려운 비트코인을 많이 사용하고 있어 비트코인 시장 확대에 기여했을 것으로 보인다.

비트코인 시장이 크게 성장한 시기는 지난 2013년 크립토월, 크립토락커 등 유명 랜섬웨어가 확산된 시점부터 최근까지 비슷하다. 비트코인 가격은 최근 80만원 안팎까지 상승했다.

이슈메이커스랩은 북한이 지난 2014년 4월 개성공단이 폐쇄된 이후 비트코인 채굴 악성코드를 제작해 유포한 사례를 소개했다.

최 대표는 “2013년 4월 13일과 5월 2일 악성코드로 비트코인을 채굴한 목록을 보면 2000만원에서 3000만원 상당의 금액이 비트코인 지갑에 쌓여 있다”며 “당시 북한은 돈벌이를 위해 실험적으로 악성코드를 제작한 것으로 보인다. 테스트용이지만 많은 돈을 확보했다. 그 뒤에도 암암리에 비트코인 채굴 악성코드를 활용하고 있다”고 말했다. 이 악성코드는 2013년 방송사와 금융사 전산망 장애를 일으킨 ‘3.20 사이버테러’ 당시 발견된 악성코드와 C&C 프로토콜, 암·복호화 방식 등에서 유사성이 높다고 분석됐다.

이어 최 대표는 “거래소를 이용한 비트코인 거래에서 북한이 빈번하게 사용하는 IP주소(175.45.XXX,XX)와 계정(John@)이 사용된 것이 발견되기도 했다. 거래소 수사를 통한 IP 추적 등을 피하기 위해 최근에는 일대일 대면거래를 통해 비트코인을 세탁하고 있다. 최근 인터파크 해킹에서도 30억 상당의 비트코인을 요구하면서 협박한 사례가 있다. 비트코인을 활용하고 있고 그 가치를 알고 있어 랜섬웨어 공격에서도 얼마든 활용할 수 있다는 것을 알 수 있다”고 설명했다.

이밖에도 북한에는 비트코인 거래 솔루션을 개발한 조선엑스포라는 소프트웨어 개발회사도 있다. 이 솔루션은 비트코인 시세·가격 등 다양한 정보를 제공할 수 있어 국가 차원에서 비트코인에 관심을 나타내고 있는 것으로 관측된다.

“익명 네트워크 ‘토르’ 사용”

NK Tor-IMG_3578‘랜섬웨어’ 공격자들은 최대한 들키지 않고 오랜 기간 활동하기 위해 사이버범죄자들이 많이 이용하는 익명네트워크인 ‘토르(Tor)’를 사용한다.

북한 소행으로 지목된 2013년 ‘6.25 사이버테러’ 당시 정부 홈페이지 디도스(DDoS) 공격 때 사용된 악성코드와 명령·제어(C&C) 서버와의 통신이 토르를 통해 추가 악성코드를 받는데 사용한 사례가 있었다.

그 3개월 뒤에도 을지프리덤가디언(UFG) 연습기간 군사작전 수행 목적의 북한 악성코드에서도 발견된 당시와 동일한 방식을 사용했다.

“워드프레스·플래시 취약점, 변조 기술 활용”

‘랜섬웨어’를 유포하기 위해 공격자들은 전세계 웹사이트에서 널리 활용되는 워드프레스 취약점을 많이 이용하고 있다.

이용자들을 손쉽게 랜섬웨어에 감염시키기 위해 공격자들이 활용하는 익스플로잇킷은 대부분 플래시 플레이어 취약점이 이용된다. 작년과 올해 국내 대형 커뮤니티 사이트인 클리앙과 뽐뿌에서 유포돼 국내 많은 이용자를 랜섬웨어에 감염시킨 방식도 구글 오픈X같은 광고 플랫폼의 취약점을 이용해 악성코드를 심었다. 이 때 활용된 앵글러 익스플로잇킷이나 뉴트리노 익스플로잇킷도 플래시 취약점을 활용한다.

NK지식인연대, 자유북한방송 등 탈북 단체 등이 운영하는 웹사이트나 북한 관련 매체에서 유포된 악성코드에서도 이같은 취약점이 이용된 사례가 있다.

[안랩] Petya 감염 화면그리고 서버(케르베르)나 페트야 등 여러 ‘랜섬웨어’에서 나타나는 PC 바탕화면 변조, 마스터부트레코드(MBR) 변조 기능도 북한 소행으로 지목된 2013년 6.25 공격과 소니픽처스엔터테인먼트 해킹, 재작년 말 한국수력원자력(한수원) 해킹 사고 등에서 사용된 기법이다.

“대규모 C&C 확보 능력 충분”

이슈메이커스랩은 2015년 2월 등장해 3개월 동안 활동하다가 돌연 활동중단을 선언하면서 마스터키를 공개한 ‘테슬라스크립트’의 C&C 서버를 확보해 분석했다. 그 결과 2만개 악성코드를 제공하기 위해 306개의 C&C서버를 운영하고 있었던 것을 확인했다. 이 가운데 두 개의 C&C 서버는 무역회사 등 국내 기업에서 각각 발견됐다.

이는 ‘랜섬웨어’ 공격에서 C&C 확보 능력이 필수라는 것을 보여준다. 지난 2009년 7.7 디도스(DDoS) 공격 당시 1700개의 C&C 서버를 확보했다는 점에 비춰보면 북한은 전세계에 걸쳐 C&C 서버를 만들 수 있는 능력을 보유하고 있는 것으로 평가된다.

“한글에 익숙…국내 블랙마켓서 북한 말투 발견”

한글 크립트XXX최근 한글이 지원되는 랜섬웨어가 국내에 유입되고 있다. 비슷한 언어를 사용하는 북한 역시 한국어 지원 랜섬웨어를 만들 수 있다. 숙련된 한국어 표현이 가능한 반면에 출처를 숨기기 위해 일부러 번역기를 사용한 듯 어색한 문체를 사용할 수도 있을 것으로 보인다.

최근 국내 블랙마켓에서는 북한 해커로 의심되는 글이 게재되기도 했다. 이 글을 쓴 사람은 프로필 사진으로 한수원 해커가 활용한 것과 비슷한 원전마크를 사용했고 ‘콤퓨타’, ‘인민 컴퓨터’, ‘접속하는 장단도 없고’, ‘확률이 거의 없슴다’ 등 조선어 표현을 사용했다.

최 대표는 “북한으로 의심되는 말투와 표현, 사진 등을 사용하고 있지만 보다 정확한 증거를 찾기 위해서는 보다 다양한 정황을 살펴볼 필요가 있다”며 “국내에서 ‘랜섬웨어’로 인한 피해를 예방할 수 있는 밑거름이 될 수 있도록 다양한 연구활동을 수행하며 노력하겠다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다