preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기

"北 해킹 전사들의 조직명은 '천리마'…하부조직 주특기 명확"

고려대 사이버국방학과 학생들이 교내 워룸(War Room)에서 모의해킹 프로그램을 시연하고 있다. 사진은 기사 내용과 무관. [중앙포토]

고려대 사이버국방학과 학생들이 교내 워룸(War Room)에서 모의해킹 프로그램을 시연하고 있다. 사진은 기사 내용과 무관. [중앙포토]

미국 보안업체들이 북한의 사이버 해킹 수법을 분석한 결과 보다 지능화, 전문화되고 있는 것으로 나타났다. 
특히 각기 다른 별칭을 가진 조직들이 정보 탈취와 금융망 해킹 등 전문 영역을 갖고 활동하는 것으로 조사됐다.  
 
미 보안업체 크라우드스트라이크는 최근 보고서에서 북한 해커 집단으로 통칭되던 래저러스(Lazarus)가 사실상 4개 하부 조직으로 이뤄져 있다고 밝혔다. 그런데 이 4개 하부 조직에 ‘천리마’란 이름이 붙어 있다고 업체 측은 전했다.
 
미로 천리마는 北의 '사이버 007' 
앞서 보안업체들은 북한이 배후인 해커 조직에 APT 37이란 명칭을 붙였다. 
지능형 지속 위협(Advanced Persistent Threat·APT) 해킹 기법을 쓰는 37번째 조직이란 뜻이다. 
일례로 2016년 미 대선에 개입한 것으로 알려진 러시아 해커 집단 팬시베어는 당초 APT 28로 명명됐다.
 
그런데 이번 분석 결과 이 APT 37이 래저러스의 하부조직 중 하나인 ‘미로 천리마(Labyrinth Chollima)’로 파악됐다.  
미로 천리마는 북한이 서방 세계와 한국을 상대로 벌이는 사이버 첩보의 핵심 조직이다. 
정부기관과 군은 물론 금융·에너지·전기 등 국가 기간망에 접근해 기밀 자료를 빼내 간다. 
보안업체들에 따르면 미로 천리마는 다양한 외국 기관과 개인을 상대로 첩보 활동을 벌였다. 
심지어 북한에서 이동통신사업을 하는 이집트 오라스콤도 해킹 대상이었다고 한다. 
북한 내 보안 문제와 관련한 움직임이었을 것으로 추정된다.  
 
지난 2014년 12월 해킹에 의해 고리·월성 원전의 도면 등이 유출된 사건과 관련해 경북 경주시 월성원자력발전소에서 사이버공격 대비 모의훈련이 실시됐다. 당시 자료를 유출한 해커 집단은 원전 관련 자료를 공개하고 원전 가동을 멈추지 않으면 추가 공개하겠다고 협박했다.[중앙포토]

지난 2014년 12월 해킹에 의해 고리·월성 원전의 도면 등이 유출된 사건과 관련해 경북 경주시 월성원자력발전소에서 사이버공격 대비 모의훈련이 실시됐다. 당시 자료를 유출한 해커 집단은 원전 관련 자료를 공개하고 원전 가동을 멈추지 않으면 추가 공개하겠다고 협박했다.[중앙포토]

 
지난 2014년 한국수력원자력의 원전 도면을 해킹해 공개한 집단 역시 APT 기법을 사용했다. 
당시 정보 당국은 악성코드의 유사점 등을 들어 북한을 배후로 지목했다. 
일각에선 미로 천리마가 주로 대남 작전에 투입됐다는 점에서 한수원 해킹사건에도 연루됐을 가능성이 있다고 판단한다.  
 
외화벌이 총대 멘 '빛나는 천리마' 
영화사 소니픽처스를 해킹했던 북한 해커 집단의 별칭은 ‘침묵의(Silent) 천리마’다. 
당시 소니픽처스는 ‘김정은 암살’을 소재로 한 코미디 영화 <인터뷰>를 제작해 북한의 표적이 됐다. 
침묵의 천리마는 언론사와 금융기업, 정부기관 등을 해킹해 시스템을 마비시키고 혼란을 야기하는 것이 주목표다.    
 
지난 2014년 12월 소니픽처스가 김정은 북한 노동당 위원장의 암살을 소재로 한 코미디 영화 <인터뷰>를 제작하자 북한이 영화사 서버를 마비시키는 등 사이버 테러를 감행했다. [서울 AP=연합뉴스]

지난 2014년 12월 소니픽처스가 김정은 북한 노동당 위원장의 암살을 소재로 한 코미디 영화 <인터뷰>를 제작하자 북한이 영화사 서버를 마비시키는 등 사이버 테러를 감행했다. [서울 AP=연합뉴스]

 
최근 들어 활동량이 폭증하고 있는 조직은 ‘빛나는(Stardust) 천리마’로 전해졌다. 
이 조직은 금융망 해킹을 전담한다. 외화벌이에 천착하고 있단 뜻이다. 
세계 주요 은행 간 거래 시스템인 국제은행간통신협회(SWIFT) 전산망은 물론 미국 은행에 대한 해킹 시도를 계속하고 있다. 
실제 2016년 뉴욕 연방준비은행에서 발생한 방글라데시 중앙은행 계좌 해킹사건의 배후로도 지목된다. 
유엔이 지정한 최빈국인 방글라데시 당국의 계좌에서 빠져나간 돈은 무려 8100만 달러(약 871억원)에 달했다. 
암호화폐의 가치가 높아지면서 늘고 있는 일련의 국내외 거래소 해킹사건도 무관하지 않다. 
 
이외에 ‘물수제비(Ricochet) 천리마’란 하부조직이 정보 탈취에 특화해 활동 중이라고 크라우드스트라이크는 밝혔다. 
이 조직은 장기간에 걸친 작전보다 짧은 시간 내 자료를 빼내 가기 위해 일격필살을 하는 것으로 전해졌다.  
 
북한의 사이버 해킹과 관련해 전문가들 사이에선 "핵무기보다 더욱 실질적인 위협"이라는 평가가 나온다. 
익명을 요구한 한 전문가는 "정보기관과 군 당국에 대한 '댓글 수사' 영향으로 사이버 안보 조직이 굉장히 위축돼 있다"며 "북한 해커 부대에 대처하기 위한 역량 강화가 절실하다"고 말했다.      
 
김상진 기자 kine3@joongang.co.kr
 
AD
온라인 구독신청 지면 구독신청

중앙일보 핫 클릭

PHOTO & VIDEO

shpping&life

뉴스레터 보기

김민석의 Mr. 밀리터리 군사안보연구소

군사안보연구소는 중앙일보의 군사안보분야 전문 연구기관입니다.
군사안보연구소는 2016년 10월 1일 중앙일보 홈페이지 조인스(https://news.joins.com)에 문을 연 ‘김민석의 Mr. 밀리터리’(https://news.joins.com/mm)를 운영하며 디지털 환경에 특화된 군사ㆍ안보ㆍ무기에 관한 콘텐트를 만들고 있습니다.

연구소 사람들
김민석 소장 : kimseok@joongang.co.kr (02-751-5511)
국방연구원 전력발전연구부ㆍ군비통제센터를 거쳐 1994년 중앙일보에 입사한 국내 첫 군사전문기자다. 국방부를 출입한 뒤 최장수 국방부 대변인(2010~2016년)으로 활동했다. 현재는 군사안보전문기자 겸 논설위원으로 한반도 군사와 안보문제를 깊게 파헤치는 글을 쓰고 있다.

박용한 연구위원 : park.yonghan@joongang.co.kr (02-751-5516)
‘북한의 급변사태와 안정화 전략’을 주제로 북한학 박사를 받았다. 국방연구원 안보전략연구센터ㆍ군사기획연구센터와 고려대학교 아세아문제연구소 북한연구센터에서 군사ㆍ안보ㆍ북한을 연구했다. 2016년부터는 중앙일보에서 군사ㆍ안보 분야 취재를 한다.