미 재무부가 최근 제재 대상에 올린 북한 해킹 그룹 라자루스(LAZARUS), 블루노로프(BLUENOROFF), 안다리엘(ANDARIEL)의 실체가 주목된다. 지난 13일(현지시간) 재무부는 해당 그룹들이 북한 정찰총국의 통제를 받으며 무기와 미사일 프로그램을 지원하기 위한 사이버 공격을 감행하고 있다고 설명한 바 있다.
이와 관련 김정은 국무위원장은 집권 초기인 2013년 간부들에게 “사이버전은 핵, 미사일과 함께 인민군대의 무자비한 타격 능력을 담보하는 만능의 보검”이라고 강조하며 사이버전 역량을 키울 것을 지시한 것으로 알려졌다.
실제, 북한은 전문적인 해커를 양성하기 위해 초등학교 6학년 때 전국에서 인재를 선발해 평양시 만경대 구역의 ‘금성 제1중학교(중고등학교 통합과정)’로 진학시키며 이후 두각을 나타내는 인원을 김일성정치군사대학에 입학시켜 특별 관리하는 것으로 전해지고 있다.
워너크라이 랜섬웨어로 전 세계 마비시킨 라자루스…최근엔 암호화폐도 노렸다
일단 라자루스는 가장 많이 알려진 조직으로, 이에 대해 미 재무부는 2007년 북한 당국에 의해 만들어졌고 북한 사이버 공격을 책임지고 있는 정찰총국 제3국(기술감독국) 110호 연구소 소속이라고 밝혔다.
지난 2014년 11월 김 위원장 암살을 다룬 영화 ‘더 인터뷰’를 제작한 미국의 영화사 소니 픽처스가 해킹 공격을 당했다. 당시 공격자는 자신들을 ‘평화의 수호자들(Guardians of Peace)’라고 밝혔다. 이후 사건을 조사한 글로벌 보안 연합(Novetta)은 2016년 보고서를 통해 해당 그룹을 라자루스라고 처음 명명했다.
라자루스라는 이름이 2016년 명명됐지만, 이들의 활동은 2009년부터 시작된 것으로 전해진다.
보안업체인 시만텍은 2016년 보고서를 통해 “7.7 디도스(DDoS) 공격부터 2016년까지 발생한 대형 사이버공격은 ‘나자로그룹(라자루스)’으로 명명된 동일한 해킹조직 소행이다”고 말했다. 2009년 정부기관·은행 등 주요 웹사이트를 마비시킨 7.7 디도스(DDoS) 공격, 2011년 3.4 디도스 공격, 2013년 3.20 사이버 테러의 공격자로 라자루스를 지목한 것이다.
특히 라자루스는 2017년 전 세계를 마비시킨 랜섬웨어 ‘워너크라이2.0(WannaCry 2.0)’의 배후로도 알려졌다.
한국인터넷진흥원이 2017년 발간한 ‘워너크라이 분석 스페셜 리포트’에 따르면 “전 세계 150여 개국에서 최소 30만 대 이상이 컴퓨터 시스템들이 해당 랜섬웨어로 인한 피해를 입었다”며 “영국은 국민복건서비스(NHS) 산하 48개의 의료기관, 스페인 대형통신업체인 텔레포니카, 중국 출입국관리소, 러시아 내무부, 일본 철도회사 JR 등이 랜섬웨어에 감염됐다”고 설명했다.
최근 라자루스는 암호화폐 거래소 가입자들을 대상으로 한 공격을 지속적으로 시도하고 있다. 지난 6월과 7월에 확인된 것만 7번으로 암호화폐 가격이 상승하자 이를 탈취하기 위한 것으로 보인다.
미 재무부도 “북한의 사이버 공격은 기존의 금융기관, 외국정부, 주요기업 이외에도 가상 자산 제공자와 암호화폐 거래소를 목표로 하고 있다”며 “3개의 국가지원을 받는 해킹 그룹(라자루스, 안다리엘, 블루노로프)은 2017년 1월부터 2018년 9월까지 아시아 5개 암호화폐 거래소에서 약 5억 7100만 달러(약 6800억 원)를 훔쳤을 가능성이 높다”고 말했다.
국제금융통신망 노려 돈 훔치는 라자루스 하위 조직 ‘블루노로프’
블루노로프는 라자루스의 하위 조직이라고 한다. 이에 대해 미 재무부는 이들은 북한이 대북 제재 증가에 대응해 불법적인 수익을 창출하기 위해 만든 조직이라고 밝혔다.
재무부는 “블루노로프는 북한 정권을 대리해 외국 금융 기관을 대상으로 악의적인 사이버 활동을 수행한다”며 “이 중 일부는 핵무기와 탄도 미사일 프로그램을 성장시키기 위한 수익으로 이어진다”고 설명했다.
블루노르프는 2009년부터 활동해온 해킹 조직으로 알려졌으며 국제금융통신망(Swift)를 메세지를 조작해 금융기관의 돈을 훔쳐왔다.
대표적으로는 지난 2016년 방글라데시 중앙은행이 뉴욕 연방준비은행에 예치해둔 1억 100만 달러(약 1,200억 원) 중 8,100만 달러(약 960억 원)를 훔친 사건이 있다.
정부, 금융, 방위 산업 등 노리는 ‘안다리엘’…韓 국방장관실도 공격
미 재무부는 안다리엘 역시 라자루스 그룹의 하위 조직이라고 밝히며 해당 조직이 수익창출, 정보수집, 사회적 혼란을 목적으로 한국 정부와 인프라를 노린 공격을 시도하고 있다고 밝혔다.
재무부는 “안다리엘은 금융자동화기기(ATM)를 해킹해 돈을 인출하거나 암시장에 팔기 위한 목적으로 고객의 카드정보를 훔치려는 것이 포착됐다”며 “또한, 이들은 온라인 포커와 도박사이트를 해킹해 현금을 훔치는 독특한 악성코드를 개발하기도 했다”고 설명했다.
보안업체 안랩(AhnLab)이 지난 2018년 공개한 ‘Andariel Group 동향보고서’에 따르면 “안다리엘 그룹의 주요 공격 대상은 군사 기관 및 방위산업체, 정치 기구, 보안 업체, ICT 업체, 에너지연구소뿐만 아니라 ATM, 금융사, 여행사, 온라인 도박 게임 이용자, 가상화폐 거래소 이용자 등 금전적 이득을 얻을 수 있는 타깃까지 다양하다”며 “안다리엘 그룹은 한국에서 활동하고 있는 위협 그룹 중 가장 왕성히 활동하고 있는 그룹이다”고 말했다.
보고서는 지난 2017년 발생한 ATM 제조 업체 및 ATM기가 해킹 사건도 안다리엘 그룹의 소행이라고 밝혔다. 당시 국내 ATM 63대가 해킹돼 카드정보가 빠져나갔으며 이때문에 국내외에서 약 1억 3천만 원의 부정 출금이 발생했다.
특히, 지난 2016년 발생한 국방망 해킹 사건도 안다리엘의 소행인 것으로 밝혀졌다.
미 재무부는 “(안다리엘은) 한국 정부 관리들과 한국군을 상대로 해킹을 지속하고 있다”며 “하나의 사례로 2016년 9월 한국 국방장관 집무실의 개인 컴퓨터와 군사작전을 훔치기 위한 국방망(국방부 인트라넷)에 대한 해킹이 있다”고 말했다.
지난 2016년 북한의 해킹 공격으로 당시 한민구 국방장관 컴퓨터를 포함한 국방망 PC는 약 700대, 인터넷 PC는 약 2500대로가 악성코드에 감염됐다. 이 사건으로 인해 한미엽한 훈련 계획이 담긴 작전계획5027 등을 비롯한 군사 기밀이 다수 빠져나간 것으로 알려졌다.