北, 소니픽처스 해킹으로 세계 경악
2017년 국내 ATM 해킹 1억원 탈취
2019년까지 가상화폐 2조원 이상 해킹
전문가들 "첨단 IT시대에도 최후보루는 사람, 보안교육 중요"
미 국무부와 정보당국이 최근 북한 해커조직이 글로벌 금융 시스템을 위협하고 있다면서 세계 각국에 각별한 주의를 당부했다. 국내 금융업계도 최근 보안 모니터링을 강화하고 있다. 전문가들은 해킹 사건들은 주로 내부 관계자들의 불찰로 발생한다면서 보안의식의 중요성을 강조했다.
2일 미 국무부 대변인실 관계자는 "북한의 악성 사이버 활동과 그들이 미국과 세계 각국에 가하는 위협은 의심의 여지가 없다"면서 지난달 26일 합동경보의 취지를 재확인했다.
앞서 지난달 26일 미 국토안보부 산하 사이버안보·기반시설안보국(CISA)과 재무부, 연방수사국(FBI), 사이버사령부 등 4개 기관은 북한 해킹팀의 재개와 관련해 합동 경보(Joint Technical Alert)를 발령했다. 이후 30일 북한 외무성은 "해킹 공격은 미국의 소행"이라고 발뺌했다.
정보업계 관계자들은 미 국무부가 북한을 상대로 재반박 입장까지 내는 것은 이례적이라고 입을 모은다. 미국 정부가 최근 북한의 사이버 범죄 양상과 그 수위를 예의주시하고 있다는 것으로 풀이된다.
실제로 지난 4월 15일에도 미 국무부·재무부·국토안보부·FBI가 합동 주의보(DPRK Cyber Threat Advisory)를 낸 바 있다. 당시 문건은 "북한이 미국과 유엔의 강력한 제재 압력에 따라 대량학살무기와 탄도미사일 프로그램 자금을 마련하기 위해 사이버 범죄에 의존해 왔다"고 적시했다.
지난달 28일 미 국무부는 논평을 통해 "북한의 악성 사이버 활동은 미국과 세계 각국을 위협하며, 특히 국제금융 시스템의 온전성과 안정성에 상당한 위협이 된다”고 지적했다.
미 당국의 이번 합동경보에 따르면 '비글보이즈(BeagleBoyz)'라는 북한 사이버 범죄집단은 사이버상에서 은행의 소매결제체계를 공격한 뒤 현금인출기(ATM)에서 현금을 빼내는 이른바 '패스트캐시 2.0' 수법을 쓰고 있다.
경보발령 이튿날인 지난달 27일 미 법무부는 북한이 가상화폐거래소를 상대로 저지른 두 건의 사이버 공격과 관계된 280개의 계좌에 대해 민사 몰수소송을 제기했다.
지난 3월 미 법무부와 재무부가 가상화폐 세탁혐의로 중국인 2명을 기소한 것과 동일한 사건으로, 북한 해커들은 '사이버 도둑질'로 총 2억5,000만달러(한화 2,966억원)를 탈취한 것으로 추정된다.
한국은 2017년 3월 이미 북한 해커들에게 ATM해킹 공격을 당한 경험이 있다.
당시 북한 해커는 ATM기기 업체의 백신 서버 취약점을 이용해 전산망을 해킹한 뒤 전국 대형마트에 설치된 '청호이지캐쉬' ATM기기 63대에 악성프로그램을 심어 전자금융거래정보 23만8,073건을 빼냈다.
이를 이용해 복제카드를 만든 뒤 국내외 현금인출 8,833만원, 대금결제 1,092만원 등 총 1억264만원을 탈취했다. 해커와 공범자들은 심지어 고속도로 하이패스 카드까지 만들어 339만원을 인출한 것으로 알려졌다.
이 외에도 몇년 사이 북한 해킹 조직은 여러 차례 세계를 놀라게 했다. 2017년 5월 세계 150개국 이상의 은행, 병원 등의 네트워크를 마비시킨 ‘워너크라이’가 대표적인 사례다.
이른바 '랜섬웨어'라 불리는 이 해킹기법은 사용자의 중요 정보가 담긴 한글(HWP) 문서 등에 암호를 걸어 볼 수 없게 만든 뒤 돈을 입금하면 암호를 풀어주겠다고 위협하는 방식이다.
당시 '워너크라이'는 감염 후 3일 이내 한화 34만원 상당의 비트코인을 요구하고 이에 응하지 않으면 7일 이내에 68만원 상당의 비트코인을 재차 요구했다. 범인들은 돈이 없는 가난한 이들을 위해 6개월 안에 무료 이벤트를 열겠다며 조롱하기도 했다.
미 정부는 그해 연말 북한 정찰총국 산하 해킹 조직 '라자루스'가 워너크라이 공격을 주도한 것으로 결론내고 이를 공식 발표했다.
2014년 겨울엔 김정은을 희화한 영화 '인터뷰'를 제작한 소니 픽쳐스 엔터테인먼트를 보란 듯이 보복 공격했다.
당시 11월 24일 소니 픽처스 직원들이 출근해 PC를 켜자 흉칙한 해골 그림과 함께 "우리는 분명 너희들에게 경고했고, 이건 시작에 불과하다(we’ve already warned you and this is just a beginning)"는 경고문구가 떴다.
북한 해커들은 경고로 그치지 않고 당시 소니 픽처스의 미공개 영상들과 임직원 대외비 등을 유출해 공개했고 소니의 업무는 한동안 완전히 마비됐다.
이후 12월 19일 미 연방수사국(FBI)은 배후로 북한을 지목했다. 오바마 당시 미국 대통령이 "받은 만큼(proportionally) 돌려주겠다"고 공언한지 3일 만에 북한 인터넷은 완전히 무력화됐다.
2016년 2월에는 국제 은행 거래망인 스위프트(SWIFT) 전산망을 해킹해 방글라데시 중앙은행이 뉴욕 연방준비은행에 예치해둔 1억100만달러 중 8,100만달러를 빼돌렸다.
북한 해커들은 오랜 시간 특정 회사를 감시·분석해 약점을 탐지한 뒤 악성코드가 담긴 이메일로 내부 보안망을 무너뜨리는 이른바 스피어 피싱(spear phising) 방식을 썼다. 소니 픽처스 해킹사건 역시 이 방식이 쓰여진 것으로 알려졌다.
해커들은 취업 지망생의 이력서를 가장한 이메일을 방글라데시 중앙은행 측에 보내 PC를 감염시켰다. 이후 국제은행간통신협회(SWIFT) 시스템에 대한 접근 권한을 취득, 돈을 탈취해 필리핀 소재 은행을 거쳐 카지노 회사로 송금해 '돈세탁'을 했다.
자금추적이 어려운 비트코인 등 가상화폐는 북한 해커조직이 가장 좋아하는 '먹잇감'이다.
2019년 8월 유엔 안전보장이사회 대북제재위원회 전문가패널 보고서에 따르면 북한이 은행과 가상화폐 거래소 해킹을 통해 20억달러(약 2조4,000억원) 규모의 자금을 탈취했다고 밝혔다. 2017년 기준 북한의 외화 수입액과 맞먹는 금액이다.
보고서에 따르면 북한은 가상화폐 거래소 '빗썸'을 네 차례 공격했다. 2017년 2월(700만달러), 2017년 7월(700만달러), 2018년 6월(3,100만달러), 2019년 3월(2,000만달러)를 각각 탈취했다.
북한은 거래소 '유빗'에 대해서도 2017년 4월 22일과 12월 19일 두차례 공격했다. 제재위는 "유빗이 두 번째 해킹으로 가상화폐 자산의 17%에 해당하는 손실을 입었고, 파산을 선언했다"고 밝혔다.
북한이 가장 많이 노린 국가는 한국이었다. 보고서는 총 35회 해킹공격 가운데 10회가 한국을 목표로 했으며, 국내 피해액은 7,200만달러(한화 854억원)에 달하는 것으로 집계했다.
국내 금융권 관계자들은 다양한 사이버 공격에 대비해 안전망을 구축하고 있으며 최근 모니터링을 강화하고 있다고 전했다.
3일 우리은행 관계자는 "국내 금융권은 망분리와 방화벽으로 해킹에 대비하고 있으며 물리적으로 외부접속이 가능하지 않도록 하는 것이 가장 안전한 방법"이라고 설명했다.
그는 "해커들이 금융권 전산망을 직접 뚫기는 쉽지 않으므로 최근에는 고객 개인 PC를 감염시켜 침입하는 방식이 일반적"이라면서 "보안카드 숫자를 모두 입력하라는 안내문은 100% 해킹 시도"라며 주의를 당부했다.
NH투자증권 관계자는 "망분리와 함께 스피어 피싱에 대비해 악성메일을 사전에 탐지하는 솔루션을 가동하고 있다"면서 "메인 시스템 접속은 전용단말기를 통해서만 가능하도록 철저히 통제하고 있다"고 밝혔다.
대신증권 관계자는 "금융보안원 정회원사로서 정보보호포털(종합상황관제실)과 실시간 연계하며 만일의 사태에 대비하고 있다"고 말했다. 그는 "최근 거래소에 디도스(DDoS) 공격이 발생해 모니터링을 강화하고 있다"고 현장상황을 전했다.
DGB금융그룹 관계자는 "통합 보안관제센터를 24시간 운영하고 있으며 디도스 공격과 관련해 자체 DR(재해복구)센터를 운영하고 있다. 상시 직원 보안의식 교육과 사고 상황을 가정한 대비 훈련을 실시하고 있다."고 전했다.
IT전문가들은 해킹을 방지하는데 있어 전문적 기술 못지않게 일반 인터넷 이용자들의 보안의식이 중요하다고 입을 모은다.
한 대기업 IT 연구원은 "세계 최고수준의 인터넷 보급률에 비해 일반 사용자들의 보안의식이나 관련지식 수준은 이를 따라가지 못하고 있다"고 우려했다. 그는 "앞으로 금융권 해킹은 스마트폰의 안드로이드 운영체제를 기반으로 더 많이 시도될 것으로 본다"면서 "온라인 상에서 유료 어플리케이션을 공짜로 준다면 일단 의심해야 한다"고 조언했다.
해외에 본사를 둔 IT보안업체 관계자는 "이른바 '천재 해커'는 인력풀이 적고 정보확산이 느렸던 30~40년 전에나 존재했다. 이미 업계 '선수'들 사이에서 해킹 기법은 대부분 다 알려져 있어 새로울 것이 없다"고 말했다. 북한 해커 조직을 지나치게 두려워할 필요는 없다는 취지다.
그는 랜섬웨어와 관련해서 "암호화 기법도 대부분 알려져 있어 전문가들을 투입하면 오래 걸려도 3~4개월 안에 복구 가능하다"면서도 "다만 엄청난 비용이 들어가므로 평소 중요한 자료는 '백업'하는 습관을 가져야 한다"고 조언했다.
그는 마지막으로 "최근 대부분의 보안 사고들은 내부 직원들의 윤리·보안의식의 부족에서 비롯됐다. 보안 수칙만 제대로 준수한다면 대부분 예방할 수 있다"면서 "결국 첨단 IT시대에도 보안의 마지막 보루는 사람"이라고 총평했다.