2014년 미국 영화사 소니 엔터테인먼트를 공격했고 그 이전 2013년에는 우리 나라 방송국과 금융기관 전산망을 마비시켰던 북한 해커집단의 구체적 정체가 미국 민간 보안업체의 합동 조사로 밝혀졌습니다.
미국 대선과 유엔 안전보장이사회와 미국의 대북제재로 언론의 주목이 다소 낮았던 지난달 24일 미국 워싱턴포스트(WP)는 소니를 공격한 해커집단이 북한과 연관됐다는 결정적 증거가 확보됐으며, 이들이 최근 새로운 행동을 개시했다고 보도했습니다. 또 민간 사이버보안업체 노베타(Novetta) 전문가들이 찾아낸 북한 해커집단의 특징도 공개했습니다.
WP에 따르면 북한 해커집단은 하루에 6, 7시간만 쉬면서 한국과 미국은 물론이고 아시아 지역 다른 국가에 대해서도 작전을 펼치는 것으로 추정됩니다. 이 해커 집단은 국제 표준시보다 30분 느리게 설정된 평양 시간에 맞춰 일과를 진행한다고 합니다. WP는 평양 시간에 맞춰 일하는 게 이들이 북한에 본부를 둔 해커라는 결정적 방증이라고 소개했습니다.
북한 해커집단은 자신들의 정체를 감추려고 개별 사이버공격을 벌일 때마다 ‘新로마 사이버 군대’, ‘후이즈 팀(Who is Team)’, ‘이즈원(IsOne)’ 등 각각 다른 이름을 사용하지만 위장에 불과하다고 합니다. 소니를 공격한 ‘평화의 수호자’(Guidance of Peace)도 당시에만 잠깐 사용하고 버린 이름이라고 합니다.
민간 보안업체가 북한 해커라고 단정한 이유는 두 가지입니다. 북한 해커가 이름을 바꿔가며 벌인 사이버공격에서 40개 종류의 ‘악성 소프트웨어’가 발견됐는데 하나같이 동일한 코드를 사용하는 게 확인됐다고 합니다. ‘악성 소프트웨어’의 핵심 코드는 해커끼리도 공유하지 않기 때문에, 코드가 같다면 같은 집단의 소행이라는 결론이 가능하다고 합니다.
아주 사소하지만 더욱 결정적인 두 번째 이유는 영문 철자법 오류입니다. 구체적 설명은 나오지 않았으나, 북한 해커들의 영어실력이 떨어지는 모양인지 일관적으로 잘못된 철자법을 쓰고 있다고 합니다. 각각 다른 해커라면 똑같이 철자법을 틀릴 이유가 없기 때문이죠.
노베타 연구진은 북한 해커집단이 최소 2009년부터 활동을 시작한 것으로 추정하고 있습니다. 또 아시아 다른 지역에서도 작전을 벌이지만, 핵심 활동지역은 한국이며 때로 미국의 핵심 기반시설에도 은밀하게 해킹 프로그램 접속을 시도하고 있다고 합니다.
심각한 건 북한 해커집단이 아직 사용하거나 공개되지 않은 방법으로 한국에 대한 새로운 공격을 준비 중이라는 정황이 포착됐다는 겁니다. WP는 구체적 이름을 공개하지 않았지만, 북한 해커가 한국에서 광범위하게 사용되는 워드프로세싱 소프트웨어에 이전까지 알려지지 않은 ‘악성 버그’를 침투시키는 공격을 벌였다고 합니다. 또 한국이 개성공단 폐쇄를 결정하고 국제사회가 유엔 제재 등 압박 수위를 높이기 시작한 2월 중순부터 이 해커집단에서 새로운 움직임이 감지되고 있다고 합니다.
워싱턴=조철환특파원 chcho@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0