북한 "남북 정상회담 정보 빼는 사이버 첩보활동 지속"

“남북 정상회담 때 한국 정부 의도를 파악하려는 북한 사이버 첩보활동이 지속된다.”

루크 맥나마라 파이어아이 아이사이트 인텔리전스 수석분석가는 19일(현지시간) RSA콘퍼런스에서 '왜 북한은 암호화폐를 노리는가'를 주제로 발표했다. 그는 파이어아이에서 신흥 국가지원 해킹 세력을 추적한다. 북한은 해킹 세계의 '떠오르는 별'이다.

그는 남북 정상회담과 북미 대화 시도 등 국제 정세가 화해무드지만 북한 사이버 공격이 계속되는데 주목했다. 맥나마라 분석가는 “남북 화해에도 사이버 공격은 줄어들지 않았다”면서 “정상회담 때 한국 정부 입장과 의도를 파악하기 위해 사이버 첩보활동이 지속된다”고 말했다.

루크 맥나마라 파이어아이 수석 분석가.
루크 맥나마라 파이어아이 수석 분석가.

북한은 지난해부터 암호화폐 거래소와 은행을 집중 공격한다. 국제 사회 재제를 받으면서 자금이 부족해지자 암호화폐로 숨통을 틔웠다. 그는 “지난해 5월부터 북한 해킹 조직이 한국 암호화폐거래소 3곳을 공격해 자금을 빼돌렸다”면서 “주로 스피어 피싱 이메일로 직원 PC를 감염시켜 내부로 침투했다”고 분석했다.

맥나마라 수석분석가는 “북한 해킹조직은 매번 공격 때마다 새로운 악성코드를 개발해 사용하고 다양한 수법을 쓴다”면서 “민첩하게 움직이며 광범위한 활동을 한다”고 설명했다. 북한은 한국에 집중됐던 공격을 세계로 확장했다.

파이어아이는 사이버 공격주체를 다각적으로 분석한다. 공격에 사용한 악성코드와 명령&제어 서버 등 인프라를 분류한다. 주로 공격한 표적의 유사성도 살핀다. 한국을 주로 공격한 해킹 그룹은 주로 탈북자와 관련 시민단체(NGO)를 표적으로 삼았다.

맥나마라 분석가는 “훔쳐간 자료도 공격자를 밝히는데 중요한 요소”라면서 “지정학적 위치와 정치 이슈, 활동한 시간을 모두 종합할 때 북한으로 결론 내렸다”고 말했다.

그는 “평창동계올림픽 사이버 공격자는 위장 수법을 썼다”면서 “공격 주체 식별을 어렵게 하는 시도가 계속된다”고 설명했다. 맥나마라 분석가는 “러시아와 이란, 북한 등이 협력해 세계를 상대로 사이버 공격을 하면 공격자 식별이 더 어려워질 것”이라고 덧붙였다.

샌프란시스코(미국)=김인순 보안 전문기자 insoon@etnews.com