고성종의 Insight
미국 연방수사국(이하 FBI)는 7월 25일(현지시간) 북한의 림종혁(Rim Jong Hyok)이 캔자스주 연방 지방법원에서 컴퓨터 해킹 및 돈세탁 공모 등의 혐의로 기소돼 체포 영장이 발부 되었다고 밝혔습니다.(그림1) FBI는 왜 림종혁에 대한 체포 영장을 발부했을까요? 우리는 어떤 부분에 관심을 가져야 할까요?

사실 미국의 FBI가 북한 인물, 특히 해킹으로 인한 기소는 처음이 아닙니다. 2018년 FBI는 박진혁에 대해서 워너크라이 랜섬웨어 공격, 소니픽쳐스 해킹, 방글라데시 중앙은행 해킹등 다수의 사이버 범죄의 이유로 체포 영장을 발부 했습니다.(그림2) 그리고 2021년 2월에는 북한 정찰총국 소속 해커 전창혁, 김일, 박광철을 13억 달러 이상의 현금 및 암호화폐를 훔치려 시도한 혐의로 기소하고 체포 영장을 발부했습니다. 이들은 은행 및 암호화폐 거래소를 대상으로 악성 소프트웨어를 유포하고, ATM 현금 인출 공격을 감행하며, 영화 스튜디오 및 소프트웨어 개발 회사를 해킹한 혐의를 받고 있습니다.

북한은 오랜시간 사이버 부대를 운영하면서 다양한 범죄활동을 통해 첩보 및 수익 활동을 진행하였습니다. 흔히 조선인민군 총참모부정찰총국(이하 RGB)이라고 이야기하는 군사 조직에 기반하여 다양한 공격그룹을 운영하고 있으며 위에서 언급된 인물들은 모두 RGB에 소속된걸로 파악하고 있는 인물들 입니다.(그림3)

특히 이번에 임종혁은 RGB내 APT45(a.k.a 안다리엘, Andariel)로 불리는 공격그룹에 소속되어 미국, 한국등 주로 미국 동맹국의 기업, 정부기관, 방위산업, 의료등 다양한 분야에 사이버 공격을 감행하여 막대한 피해를 일으키고 범죄 수익을 얻은것으로 확인되고 있습니다. 특히 APT45는 북한 정책당국의 충실한 사이버 투견으로써 지령을 수행 하였는데 2017년 부터는 정부기관과 방위산업, 2019년 부터는 핵관련 분야에 대한 사이버 공격을 수행하였습니다. 이는 북한 정권의 핵 및 에너지에 대한 관심과 일치합니다.
여기에 더해서 최근에 해외 보안기업의 근로자가 알고 보니 위장 취업한 북한 해커 였다는 사실이 알려지면서 또 다른 위협이 확인되고 있습니다. 실제 해당 위장취업 내용이 처음 언급된건 2024년 4월 경입니다. 구글 클라우드 맨디언트는 2024년 4월부터 5월까지 미국 기업에서 취업을 원하는 북한 IT근로자에게 서비스를 제공하는 중개자에 대한 정보를 파악하고 레포트를 발행했습니다. 이 레포트에서는 북한의 IT근로자가 미국의 경유지를 두고 미국의 기업에 위장 취업하는 사례를 이야기 하고 있습니다. 특히 위장취업을 위해 미국의 중개자의 도움을 받아 다양한 보안 인증절차를 통과하여 취업에 성공한것이 확인되고 있습니다. 더욱이 이러한 사이버 공격에서 AI를 활용하여 이미지를 조작하거나, 언어적인 문제를 극복하는등 다양한 방식으로 AI를 공격에 활용하고 있음이 확인되었습니다.

흔히 북한의 사이버 공격은 추적이 힘들어서 실체가 확인되지 않다보니 사고 발생에 대한 책임을 회피하기 위한 핑계거리 정도로 생각하지만 이미 많은 사이버 보안 담당자들은 알고 있든 북한의 사이버 위협의 수준은 매우 심각하고 방어 난이도가 높습니다. 특히 최근 북한과 러시아가 밀접한 관계를 맺고 있고 미국의 정치상황이 혼란을 거듭하는 상황, 중동의 이슈가 계속 생산되는등 여러가지 복합적인 국제 상황들이 발생하고 있는데 북한은 이러한때를 놓치지 않고 다양한 사이버 위협활동을 통해 수익을 내거나 북한 정권의 목적을 위한 활동을 지속할것으로 예상하고 있습니다.
우리는 이러한 사이버 위협에 맞서서 개별 조직들의 위협 활동들이 우리의 보안 인프라에서 얼마나 방어가 잘 수행되고 있는지 점검하고 부족한 부분에 대한 추가적인 조치를 통해 실제 사고로 번지는것을 막는것이 필요할것 입니다. 대응을 위해서는 기존 인프라의 설정과 방어 수준에 대한 점검도 필요하지만 방어 전략을 세울 수 있는 위협 인텔리전스 정보를 확보하고 전략에 맞는 운영방법과 기술을 적용하는등의 노력이 수반되어야 합니다.
최근 구글 클라우드의 맨디언트는 APT45에 대한 레포트를 발행했습니다. 이와 함께 CISA에서도 AA24-207A 레포트를 통해서 북한의 사이버 그룹에 대한 정보를 공유하며 주의를 당부했습니다. 이러한 내용들을 참고하시어 각 조직의 대응 수준을 점검하는것이 필요한 때 입니다.
참고자료
Google Cloud | APT45: 북한의 디지털 군사 조직: https://cloud.google.com/blog/ko/topics/threat-intelligence/apt45-north-korea-digital-military-machine
CISA | North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a
FBI Most wanted “RIM JONG HYOK”: https://www.fbi.gov/wanted/cyber/rim-jong-hyok
FBI Most Wnated “PARK JIN HYOK”: https://www.fbi.gov/wanted/cyber/park-jin-hyok
DOJ | Rewards for Justice: https://rewardsforjustice.net/ko/rewards/림-종혁/
Google Threat Intellignece | Suspected DPRK IT Workers Leverage Services of Facilitators to Seek Employment at U.S. Company: https://advantage.mandiant.com/reports/24-10014300(유료구독 필요)
DOJ | Charges and Seizures Brought in Fraud Scheme, Aimed at Denying Revenue for Workers Associated with North Korea: https://www.justice.gov/opa/pr/charges-and-seizures-brought-fraud-scheme-aimed-denying-revenue-workers-associated-north
Comments