올 들어 한반도에 조성된 남북간 평화 무드 속에서도 북한의 사이버 공격은 끊이지 않을 것이라는 관측이 나왔다. 특히 북한 정권이 조종하는 것으로 의심되는 해커 조직이 지난해부터 한국을 넘어 전세계로 활동 반경을 넓혀가고 있는 것으로 드러났다.

미국 사이버 보안 업체 파이어아이의 팀 웰스모어 아시아태평양지역 위협정보분석 디렉터는 5일 서울 그랜드인터컨티넨탈호텔에서 가진 기자간담회에서 “최근 지속되는 평화 분위기 속에서도 아직 북한 쪽의 공격이 줄어들었다는 충분한 근거는 없다”면서 “사이버 첩보 활동은 긴장 관계의 국가 사이에서뿐 아니라 우호적인 국가들 사이에서도 일어나는 만큼, 한국에 대한 북한발 사이버 공격은 지속될 가능성이 높다”고 전망했다.

최근 중국, 이란, 러시아 등 여러 나라에서 한국을 향한 사이버 위협이 발생하고 있지만, 가장 위협적인 나라는 단연 북한이다. 파이어아이는 최근 ‘리퍼(Reaper)’라고 불리던 해커 조직이 북한의 국가적 지원을 받아 한국에 ‘지능형 지속 위협’을 가하고 있다고 판단하고 ‘APT37’이라 이름 붙였다.

웰스모어 디렉터는 “이들은 은밀한 첩보 수집을 목적으로 하는데, 적어도 2012년부터 한국 정부의 정책 방향에 영향을 미칠 수 있는 조직을 주요 목표로 삼고 있다”고 설명했다.

특히 남북관계 컨퍼런스나 정상회의 관련 조직 및 학회가 주요 타깃이 됐다. 최근에는 군사시설 및 방위산업체는 물론 항공우주산업과 화학, 전자, 심지어 헬스케어 분야까지 가리지 않고 공격 범위를 넓힌 것으로 알려졌다. 지난해부터는 일본과 베트남, 중동 지역까지 공격하고 있는 것으로 드러났다.

APT37이 북한 정부와 밀접하게 연관돼 있다는 건 아직 추측이다. 그러나 파이어아이는 “이들이 북한의 후원을 받거나 북한이 직접 운영하는 조직이라고 자신한다”고 주장했다. 근거는 이들의 행위가 북한의 국익과 직결되기 때문이다.

예를 들어 APT37은 최근 북한이 통신 관련 사업을 추진하다 무산된 중동의 한 기업을 공격했는데, 해당 기업의 고위 임원을 노려 시스템에 침투한 뒤 사업 관련 정보를 빼내갔다.

APT37이 공격 활동을 한 시간대가 주로 북한의 일과시간(오전9시~오후7시)에 몰린 것도 북한의 소행임을 짐작하게 한다는 것이다.

북한과 관련된 사람들이 자주 방문하는 사이트를 공격하는 것도 같은 맥락이다. APT37은 북한 인권문제 등을 다루는 연구원, 자문 위원, 기자들을 표적으로 삼았으며, 유엔 북핵 제재 활동과 관련된 일본의 한 기관을 공격하기도 했다.

한 번은 북한을 연구하는 한국의 모 기관을 해킹해 이들의 시스템으로 포럼 개최를 사칭한 미끼 메일을 뿌렸다. 한글(HWP) 파일에 ‘한반도 국제포럼 통일ㆍ북한 학술대회’라는 제목을 달아 많은 사람들이 클릭할 수밖에 없게 만드는 식이었다. 첨부파일에 악성코드를 숨겨 정보 탈취를 가능하게 하는 것이다.

파이어아이는 한국을 포함한 아시아태평양 지역이 특히 사이버 보안에 취약한 것으로 드러났다고 밝혔다. 해커가 시스템 안에 머물러 있는 ‘체류 시간(Dwell time)’이 짧을수록 공격자 발견 및 대응조치가 빨랐다는 뜻인데, 세계적으로 체류 시간이 줄어드는 추세와 반대로 아시아태평양지역은 2016년(172일)보다 2017년(498일) 체류시간이 크게 높아졌다.

특히 2017년 수치는 세계 평균(101일)의 약 5배나 됐다. 한 번 공격의 표적이 된 곳이 2차 공격 피해를 받는 비율도 아시아태평양 지역(91%)이 가장 높았다. 파이어아이 관계자는 “아시아 지역의 보안 성숙도를 높이는 데 더 노력할 필요가 있다”고 말했다.

웰스모어 디렉터는 “정체가 잘 알려지지 않은 APT37은 북한 정권의 도구일 확률이 높기 때문에 언제 어디서 예상치 못한 공격을 할지 모른다”면서 “한국의 기관들은 다양한 방안을 강구해야 할 것”이라고 경고했다.

<곽주현 기자>