POC 2019 홈페이지 모습

북한 해커들이 실제로 존재하는 인물을 가장해 국방 분야 관계자들을 해킹하려는 시도가 이뤄지고 있다는 주장이 나왔다. 

미국 보안업체 맥아피의 라이언 셔스토비토프(Ryan Sherstobitoff) 수석 분석가는 11월 8일 서울 양재동 더케이호텔에서 열린 국제 보안 행사 POC 2019에 참여해 미국 FBI와 함께 분석한 북한 해커 동향을 소개했다.

라이언 셔스토비토프 수석 분석가에 따르면 미국 정부는 북한 해커들을 ‘히든 코브라’로 지칭하고 있다. 히든 코브라에는 라자루스 그룹, 블루노로프, APT 37 등 여러 해커 단체들이 포함돼 있다. 미국 국토안보부와 FBI, 보안 업체, 보안전문가들이 협력해 이들 해커 단체와 악성코드 등을 분석하고 있다.

라이언 셔스토비토프 수석 분석가는 최근 북한이 다른 인물을 가장하는 공격을 진행하고 있다고 경고했다. 예를 들어 실제 방산업체에 근무하고 있는 채용담당자 정보를 활용해 가짜로 링크드인 등에 계정을 만든 후 방산업체 관계자들에게 채용을 하려는 것처럼 접근한다는 것이다. 그는 “해커들이 방산업체 채용관계자를 사칭해 공격했는데 여러 방산업체들이 타겟이 됐다.

이메일 등을 보내서 채용하려는 것처럼 했는데 여러 언어를 구사했는데 원어민으로 생각할 정도로 능숙했다”며 “해커들이 국방 프로그램에 관심을 보이고 있고 미국 에너지 부문을 겨냥하고 있다. 인프라와 금융 부문도 타겟팅 할 수 있다”고 지적했다.

라이언 셔스토비토프 수석 분석가는 “주로 한국 군사 프로그램에 개입한 개인들이 타겟팅 됐다. 한국에 배치된 싸드(THAAD), 조기레이더경보시스템, 무인기 등 관련 업체 사람들이 대상이었다”며 “이들의 특징은 실제 인물을 가장하고 있다. 또 영어 등 외국어 구사력이 발전하고 있고 배우(진짜 행세를 하는 가짜 인물)들이 타겟을 잘 알고 있는 것처럼 보인다”고 설명했다.

라이언 셔스토비토프 수석 분석가에 따르면 해커들은 영어는 물론 이스라엘 히브리어, 러시아어 등을 유창하게 구사하고 실제 인물인 것처럼 능숙하게 연기를 했다고 한다. 그러면서 악성코드가 담긴 이메일을 보내거나 악성코드로 감염시킬 사이트에 접속하도록 유도했다는 것이다. 

라이언 셔스토비토프 수석 분석가는 북한 해커들의 활동을 분석한 결과 국방 분야 뿐 아니라 암호화폐도 공격 목표가 되고 있다고 주장했다. 그는 “암호화폐와 금융 쪽이 타겟이 되고 있다”며 “이는 정치적 상황으로 대북제재가 이뤄지고 있기 때문인 것으로 보인다”고 말했다. 

한편 라이언 셔스토비토프 수석 분석가는 악성코드 소스코드를 분석으로 북한 해커로 판단할 수 있는지 여부에 대해 “100만 개 이상의 자료를 기반으로 분석하고 있다. 악성코드의 소스코드가 퍼블릭(일반적으로 사용되는)한 것인지 특별히 사용되는 것인지 분석하고 있다. 해커들이 남긴 핑거프린팅(증거)을 보면서 심도 있게 분석을 하는 것이다. 단순히 소스코드 라이브러리만 보는 것이 아니다”라고 설명했다.

강진규 기자  maddog@nkeconomy.com

 

관련기사

저작권자 © NK경제 무단전재 및 재배포 금지