랜섬웨어 공격으로 본 北 해커집단 흑역사는?

북, 5,000여명 해커그룹 보유

데이터 인질로 비트코인 요구 수법

이번에도 래저러스 그룹 연루 추정

김정은 조롱 영화 이유로 소니픽쳐스 공격

방글라데시서 8,100만달러 빼돌린 의혹

국내서도 농협, 인터파크 등 해킹 지목

지난 12일(현지시간) 영국 국민보건서비스(NHS) 웹사이트에 랜섬웨어 사이버공격에 받아 심각한 문제를 겪고 있음을 사용자들에게 알리는 문구가 게시돼 있다. /연합뉴스

지난 며칠 간 영국, 러시아 등 전 세계 150여개 국가에 피해를 끼친 ‘데이터 인질극’ 랜섬웨어 공격이 북한의 소행이라는 주장에 힘이 실리고 있다. 동시에 소니픽쳐스 해킹 등 지금까지 북한이 개입한 것으로 추정되는 해킹 사례와 해킹 조직에 관심이 쏠리고 있다.

16일 국제 보안업계 등에 따르면 러시아에 본부를 두고 있는 보안업체 카스퍼스키는 이번 랜섬웨어 공격에서 발견된 악성코드 ‘워너크라이(WannaCry)’가 북한 해커그룹 ‘래저러스(Lazarus)’의 코드와 유사하다고 밝혔다. 구글 연구원 닐 메타가 발견한 악성코드의 디지털 지문도 이들의 주장을 뒷받침했다.

이번 랜섬웨어 공격 사태로 전 세계인들이 불안에 떤 이유는 자신이 소유한 데이터나 기록을 눈앞에 두고도 사용하지 못하고 다른 이가 마음대로 조종할 수 있다는 공포감에서 나온다. 이는 첨부 파일을 통해서 감염되는 것도 아니기 때문에 사용자의 부주의와도 관련이 없다. 데이터나 기록을 확보한 이들은 사용자에게 다시 데이터를 사용하고 싶으면 ‘비트코인을 보내라’는 요구를 받았다.

미국 국토안보부 등은 비트코인을 보낸다고 해도 다시 데이터에 접근할 수 있을 지는 장담할 수 없으므로 비트코인을 보내는 건 범죄조직을 돕는 일밖에 안 된다고 말했다.

미국 국토안보부에 따르면 이번 사태로 해킹을 일으킨 집단이 챙긴 금액은 7만달러(약 7,831만원)가 채 안 되는 것으로 나타났다. 150국에서 20만여건의 피해를 일으킨 규모에 비하면 절대적으로 미미한 숫자다.

16일 국제 보안업계에 따르면 지난 며칠 간 영국, 러시아 등 전 세계 150여개 국가에 20만대가 넘는 컴퓨터를 감염시킨 대규모 랜섬웨어 공격은 북한이 배후에 있는 해커 조직의 소행으로 추정되고 있다. /출처=이미지투데이

그렇다면 이들은 왜 사이버 ‘데이터 인질극’을 벌일까. 북한이 사이버 해킹으로 비트코인(개인간거래(P2P)로 파일을 내려받는 방식으로 작동하는 가상화폐)을 통한 돈벌이에 나서고 있다는 사실은 오래전부터 알려져 왔다. 비트코인은 거래 익명성이 보장되고 세계 각국 정보당국에서 쉽게 자금을 추적하기 어려운 특성 때문에 이들 범죄조직에게 비교적 만만한 돈벌이 수단이 되고 있다.

데이터 인질극에 나서는 북한의 해킹 군단은 보통 북한 정찰국의 지시로 활동을 수행하며 해커 1,700명을 포함해 감독, 조력자까지 5,000명 이상의 거대한 규모로 파악된다. 5,000명에 달하는 정보기술(IT) 전문 인력이 상시적으로 타깃을 정하고 랜섬웨어 등 다양한 해킹 공격을 시도하는 것이다. 이들은 전 세계의 금융기관, 기업 등을 상대로 해킹을 시도한 뒤 이게 성공하면 비트코인을 요구하는 형태로 외화벌이에 나서고 있다.



래저러스 조직이 본격적으로 악명을 떨친 건 2014년 11월에 벌어진 미국의 다국적미디어그룹 소니 픽쳐스 엔터테인먼트가 대규모 랜섬웨어 공격을 받은 사건에서 시작됐다. 김정은 북한 국방위원회 노동당 위원장을 암살하는 내용의 ‘더 인터뷰’를 소니픽쳐스가 제작했다는 이유로 소니픽쳐스의 임직원 4만7,000명에 대한 임금정보, 금융정보 사회보장번호, 의료 정보 등 개인정보를 유출했을 뿐만 아니라 아직 개봉하지 않은 영화 본편을 일부 유출하기도 했다. 유출된 영화 5편 중에는 할리우드 배우 브래드 피트가 주연으로 나서고 제작비만 6,800만달러(760억원)가 투입된 ‘퓨리’도 있었다. 이 같은 정보 유출은 소니 픽처스에게는 커다란 시련을 안겨줬다.

김정은 북한 국방위원회 노동당 위원장을 암살하는 내용의 영화 ‘더 인터뷰’ 포스터. 이 영화를 소니픽쳐스가 제작했다는 이유로 북한 해커 조직 ‘래저러스 그룹’은 소니 픽쳐스의 임직원 4만7,000명에 대한 임금정보, 금융정보 사회보장번호, 의료 정보 등 개인정보를 유출했을 뿐만 아니라 아직 개봉하지 않은 영화 본편을 일부 유출하기도 했다. /출처=소니픽쳐스

이후에 지난해 2월 방글라데시 중앙은행이 미국 뉴욕 연방준비은행에 개설한 계좌를 해킹, 8,100만달러(904억원)를 빼돌린 것 역시 이들 조직으로 추정된다. 이 역시 카스퍼스키랩이 밝혀냈는데 방글라데시 중앙은행을 턴 래저러스 그룹이 지난 1월 다른 공격을 준비하면서 이용한 유럽 서버에서 북한의 IP주소(인터넷 연결 기기를 식별하는 유일한 번호)로 접속한 기록이 나왔다고 밝혔다. IP주소가 발견되는 건 매우 드문 일이며 일부러 북한 컴퓨터를 해킹해서 도용하지 않은 이상은 북한과 직접 연계가 있다는 설명이다.

국내에서는 정부과 민간 기업을 가리지 않고 피해를 입었던 꽤 많은 해킹 사건이 북한의 소행으로 지목돼 왔다.

래저러스 그룹은 2011년 세상을 떠들썩하게 한 농협 해킹 사태, 2014년에는 한국수력원자력(한수원)의 원전 도면을 해킹한 사건 등으로 맹위를 떨쳤다. 또 지난해 7월에는 인터넷 종합쇼핑몰 인터파크에서 1,000만명의 개인 정보를 빼돌린 뒤 270만달러(30억원)에 달하는 비트코인을 요구한 것으로 알려지기도 했다.

/정혜진기자 madein@sedaily.com