北, 산업기밀 빼내 팔아넘기려 한 듯… 외화벌이용 사이버 테러

[北, 삼성 겨냥 악성코드 유포]

북한 정찰총국이 삼성그룹을 겨냥한 악성코드를 제작했다는 사실은 한 화이트해커(선의의 해커)의 제보로 밝혀졌다. 중국 보안업체에서 활동하고 있는 화이트해커 A 씨는 이달 초 전 세계 보안전문가들이 각종 프로그램 및 파일을 공유한 뒤 악성코드 감염 여부를 확인하기 위해 개설한 한 웹사이트에서 처음 악성코드를 발견했다.

A 씨는 국내 보안전문가들과 함께 북한 정찰총국이 해당 악성코드를 어떤 방식으로, 누구에게 유포했는지를 추적 중이다. 이들은 지금까지 악성코드의 제작 시기(지난해 4월) 및 악성코드의 기능(정보 수집 및 추가 악성코드 유포)과 함께 악성코드의 겉모습이 올해 초 삼성그룹이 전 계열사와 해외 법인 지사에 설치한 사내 컴퓨터·모바일 통합 메신저 서비스 ‘스퀘어(파일명 Square for mySingle)’의 초기 개발 단계의 모습과 똑같다는 점을 밝혀냈다.

A 씨는 “악성코드를 직접 분석하며 북한 정찰총국의 소니픽처스 해킹 당시와 일치한다는 사실을 알아내기 전까지 ‘설마 이 파일이 악성코드일까’ 하는 마음이 더 컸다”고 말했다.

○ “시스템 파괴보단 산업기밀이 목적”

보안업계에서는 삼성그룹의 내부 시스템에 담긴 정보를 삭제하거나 시스템을 파괴하는 것이 이번 악성코드의 제작 목적은 아닌 것으로 판단하고 있다. 오히려 삼성그룹의 내부 주요 정보를 빼돌리기 위해 벌인 사전 작업으로 본다. 산업 기밀을 빼돌려 중국 등 해외 경쟁사에 팔아 외화벌이를 하려 했다는 것이 합리적이라는 판단이다.

지금까지 북한 정찰총국의 악성코드 사용 목적은 주로 ‘사회 혼란’을 일으키는 데 있었다. 북한 정찰총국 사이버테러의 첫 ‘성공작’으로 평가받는 2011년 농협 전산망 마비 사태 당시만 해도 이들의 목적은 농협 데이터센터에 담긴 현금 및 대출 서비스 기록을 한 번에 날려 사회적 혼란을 야기하는 것이었다. 실제 당시 보안업계에서는 이날 18억 원 정도의 현금 서비스 데이터가 사라졌다는 소문이 돌기도 했다.

A 씨는 “최근 북한 정찰총국의 움직임을 분석해보면 사회 혼란보다는 국가 전산망 현황 파악, 정부 요인에 대한 신상정보 파악, 외화벌이 등 다양한 목적성을 띠는 것이 특징”이라고 말했다. 농협 전산망 마비 사태를 성공시킨 뒤 ‘사이버공격의 필요성’을 인식한 북한 정찰총국이 한국 정부 및 공공기관 외에도 금융회사나 교육, 의료기관 등을 상대로 전방위적 공격에 나섰다는 뜻이다.

실제 지난해 정보 당국 및 보안업계를 통해 감지된 북한 정찰총국의 활동은 △지하철 1∼4호선을 운영하는 서울메트로 PC관리 서버 장악 △통일교 홈페이지 해킹을 통한 좀비PC 확대 △국내 불법 도박 사이트 운영 프로그램 제작 및 유통 등 다양하다.

○ 소니픽처스 해킹 악성코드와 일치

분석 결과 삼성그룹을 겨냥한 이번 악성코드는 북한 정찰총국이 2014년 미국 영화 제작사 소니픽처스 해킹 당시 사용했던 악성코드 중 하나다. 당시 북한 정찰총국은 소니픽처스가 제작한 영화 ‘인터뷰’의 개봉을 막기 위해 필사적으로 사이버테러를 벌였다. 영화의 소재가 김정은 북한 노동당 제1비서의 암살이었고, 북한 내부 권력자들이 돈과 여자를 밝히는 우스꽝스러운 모습으로 그려졌기 때문이다.

보안업계 관계자는 “소니픽처스 해킹 당시 북한 정찰총국이 사용했던 악성코드는 총 50여 종으로 알려졌으며 대부분 신종이라 발견이나 분석이 어렵다”고 말했다. 이번에 발견된 악성코드 역시 컴퓨터에 저장된 파일을 빼내는 것 외에도 추가로 악성코드를 심어 실행시킬 수 있도록 설계됐다.

당시 북한 정찰총국은 이 악성코드를 이용해 소니픽처스 해킹에 성공했다. 컴퓨터 시스템 전체를 마비시키고, 저장된 데이터를 통째로 파괴하는 것뿐 아니라 미개봉 영화 정보와 임직원의 개인정보를 대량으로 빼내는 데까지 성공했다. 이후 이들은 “우리는 시사회를 포함해 영화가 상영되는 그 시간, 그 장소에서 공포에서 즐거움을 찾는 이들이 어떤 호된 운명에 처해지는지를 분명히 보여줄 것. 2001년 9월 11일을 기억하라”고 공개 협박했다.

아직 마이싱글메신저라는 이름의 악성코드가 삼성그룹에 어떤 피해를 끼쳤는지, 내부 시스템 잠입에 성공했는지는 확인되지 않았다.

○ “북한의 대남 사이버전, 기업도 예외 아냐”

북한 정찰총국이 각종 스마트 기기와 인터넷망을 활용해 벌이는 ‘대남 사이버전쟁’에 국가기관뿐 아니라 기업들도 피해갈 수 없다는 사실이 이번 악성코드 발견으로 확인됐다.

지금까지 북한은 해킹하려는 특정 대상이나 그룹이 있으면 이들이 자주 방문하는 사이트를 먼저 공격해 악성코드에 감염시킨 뒤 표적이 접속하기를 기다려 2차 감염을 노리는 간접적인 방식을 주로 택했다.

그러나 이번 악성코드 발견은 대기업을 직접 겨냥했다는 점에서 이전과 양상이 다르다. A 씨는 “지금까지 영세한 기업을 해킹한 사례는 더러 있었지만 삼성처럼 큰 기업을 공격 대상으로 삼은 것은 이례적”이라고 말했다. 이번 악성코드를 함께 분석한 화이트해커 B 씨는 “한국 굴지의 대기업인 삼성그룹을 상대로 사이버공격을 준비하고, 사내 메신저 프로그램으로 위장한 악성코드를 직접 사내 시스템에 심으려 했다는 것은 그만큼 정보력과 기술력에 자신감이 붙었다는 뜻”이라고 말했다.

북한은 매년 ‘사이버전쟁’ 관련 인력을 크게 늘리고 있다. 정보 당국은 2010년 3000명 정도였던 북한의 사이버전 인력이 최근까지 계속 증가해 1만5000여 명까지 늘어난 것으로 파악하고 있다. 이들의 상당수는 김일성종합대와 미림대에서 양성된 것으로 전해지고 있으며 사이버 간첩 행위, 전산망 공격, 역정보의 유통 등이 이들의 임무다.

보안업계 관계자는 “밖으로 드러나는 기업들의 보안 사고는 실제 벌어지는 것의 1%도 되지 않는다”며 “사이버 공격을 받고도 모르는 기업이 적지 않을뿐더러 한국인터넷진흥원(KISA)이나 외부 전문기관을 통해 해결하기보다 내부적으로 해결하려는 경향이 짙기 때문”이라고 말했다.

서동일 dong@donga.com·곽도영 기자