바로가기 메뉴
메인메뉴 바로가기
본문 바로가기

최초공개

FBI의 北 해킹 증거 자료

한국 사드 배치 막기 위해 계약자인 ‘록히드마틴’사 해킹 공격도

글 : 정광성  월간조선 기자

  • 트위터
  • 페이스북
  • 기사목록
  • 프린트
  • 스크랩
  • 글자 크게
  • 글자 작게
⊙ 표적 설정에서 공격까지 치밀한 계획 세워
⊙ 영화 〈The Interview〉 제작한 소니픽처스 공격 과정
⊙ 해외 기업 ‘조선엑스포’는 해킹 전문 회사
  《월간조선》은 최근 미국 연방수사국(FBI)이 벌인 북한의 해킹에 관한 수사 자료를 입수했다. 그동안 ‘소니픽처스’ 공격 등 북한의 해킹에 대해 일부가 알려지긴 했지만 FBI 자료가 나온 것은 처음이다. 해당 문건은 지난해 9월 미국이 북한 해커로 지명한 ‘박진혁’에 대해 형사 고발과 함께 체포영장을 신청하기 위해 작성된 자료다.
 
  자료에는 수년간 북한이 중국과 기타 국가에서 수행한 사이버 공격 및 전신환 사기 등의 광범위한 범죄 및 공모자의 범죄 내용이 담겨 있다. 북한은 엔터테인먼트 기업, 금융기관, 미 국방 하청업체 등의 기관에서 사용되는 컴퓨터 시스템을 공격해 정보와 금전을 탈취했다. 자료에 따르면 북한 해커 박진혁은 조선엑스포합영회사(이하 조선엑스포)에서 활동하고 있다.
 
  조선엑스포는 북한군 정보기관과 연계된 ‘위장회사’로 2002년부터 운영됐다. FBI가 한국의 한 전문가에게 문의한 결과, 조선엑스포는 한국의 전자 상거래 및 복권 웹사이트를 만들기 위한 남북 합작 투자 회사였다는 증언이 나왔다. 미국 FBI가 ‘조선엑스포는 북한 정부의 유령회사’라고 판단하는 이유는 ▲외국 수사기관이 FBI에 제공한 정보, 해킹 작전 계정은 피해자들을 공격하는 데 악의적으로 사용되었으며, 조선엑스포 계정과 연결돼 있었다. 또 ▲같은 IP 주소에서 조선엑스포의 웹사이트와 계정, 특정 작전 계정들에 접속, 조선엑스포 계정 및 관련된 해킹 계정들 모두 북한 내부에서도 사용됐다는 점을 들었다.
 
  이 회사 해외 지사에서 근무하는 프로그래머들은, 합법적인 목적의 프로그래밍 프로젝트 목적으로 유료 고객을 위한 업무를 수행하기도 했다. 박진혁은 조선엑스포의 중국 지사에서 일했다. 이 회사 고객 중 일부는 해당 기업이 북한 프로그래머를 고용한다는 사실을 알고 있었던 것으로 밝혀졌다.
 
  박씨는 중국에 체류하는 동안 여러 개의 조선엑스포 계정을 사용했으며, 이 중 일부 내용에는 조선엑스포를 대표해 수행하는 업무라는 점이 명시돼 있다. 박씨는 실명으로 가입한 조선엑스포 계정을 사용하는 동시에 자신의 이름을 서면 서명, 구독 기록 등에도 사용했다. 또한 실명으로 가입한 조선엑스포 계정을 사용해 소셜미디어 계정을 만들기도 했다. 북한 해커들이 사용한 일부 작전 계정은 ‘김현우’라는 이름으로 사용되기도 했다. ‘김현우’라는 이름이 다수의 이메일과 소셜미디어 계정에서 반복적으로 발견됐지만, FBI 조사 결과 해커들이 공격 활동을 은폐하기 위해 사용한 가명인 것으로 확인됐다.
 
 
  해커들의 공격 표적과 치밀한 기술
 
북한 당국은 해커들을 어린 시절부터 체계적으로 키우고 있다. 사진=인터넷 화면 캡처
  해외에서 활동하는 북한 해커들은 1024개의 IP 주소를 사용한 것으로 알려졌다. 이들은 공격 수행 전 인터넷 또는 소셜미디어를 통해 사용자를 감시함으로써 성공적인 공격을 수행할 수 있었다고 FBI는 밝혔다. 이들은 특정 도메인 및 기업 관련 이메일 계정을 찾아주는 특정 웹 서비스를 사용하기도 했다. 또 경력 등록, 마케팅 서비스 등을 제공하는 비즈니스 기록 검색 서비스를 해킹에 활용했다.
 
  북한 해커들은 공격 대상을 감시한 이후 수집한 정보를 기반으로 소셜 엔지니어링 기법을 활용한 공격을 감행했다. 이들은 이메일 또는 소셜미디어를 이용해 관련 개인들에게 스피어피싱(특정한 개인들이나 회사를 대상으로 한 피싱) 메시지를 전송했다. 일반적으로 고용주의 컴퓨터 시스템을 이용해 사용자들에게 메시지를 열도록 유도함으로써 고용주의 네트워크 보안을 공격했다.
 
 
  9·11테러 언급하며 소니픽처스 협박
 
  북한 해커들이 사용한 방법을 살펴보면 이렇다. 페이스북의 정상 이메일을 해커들의 일부 이메일 계정에 전송해 새로운 IP 주소에서 해당 이메일 주소와 연관된 페이스북 계정에 접근했다는 사실을 경고(어떤 경우에는 프록시 서비스의 IP 주소를 통해 해커들의 페이스북 계정에 로그인 시도가 발생했다고 경고하기 위해 이메일을 전송하기도 한다)한다. 페이스북이 전송한 정상 이메일에는 정상 링크가 포함돼 있는데, 사용자가 해당 링크를 클릭하면 해커들의 접근 출처를 확인할 수 있다.
 
  2014년 11월, 소니픽처스를 대상으로 한 사이버 공격에도 이 방법이 동원됐다. 북한 해커들이 소니픽처스 공격을 처음 시작한 것은 같은 해 9월이었다. 해커들은 소니픽처스 직원들의 인터넷 활동 감시 및 스피어피싱 메시지를 전송했다. 특히 소니픽처스 네트워크에 침투한 해커들은 데이터를 탈취해 인터넷을 통해 일부 자료를 공개하기도 했다. 또 영화 〈인터뷰〉 개봉 예정인 극장과 영국의 또 다른 영화제작사를 대상으로 공격을 지속했다.
 
  소니픽처스 사이버 공격이 있던 2014년 11월 해커들은 소니픽처스 네트워크에 무단으로 접근해 데이터를 탈취하고, 금융 정보 및 영화 콘텐츠를 인터넷에 유출시켰다. 또 수천 대의 컴퓨터 작동을 중단시키고, 소니픽처스 경영진에게 협박 이메일을 보냈다. 해당 공격으로 인해 소니픽처스 컴퓨터의 주요 시스템 작동이 중단됐다.
 
  해커들은 ‘영화 〈인터뷰〉를 개봉하는 날 테러를 하겠다’는 협박까지 했다. 내용은 이렇다.
 
  “영화 〈인터뷰〉가 개봉되는 날 바로 그 장소에서 보여줄 것이다. 테러를 웃음거리로 이용하는 당신 같은 사람들은 쓰디쓴 운명을 맞이하게 될 것이다. 소니픽처스가 제작한 끔찍한 영화를 전 세계가 보게 될 것이다. 세계는 공포로 가득할 것이다. 2001년 9월 11일을 기억하라. 그 시간에 다른 곳으로 피신하는 게 좋을 것이다. (집이 그 근처라면, 아예 멀리 떠나는 것을 추천한다.) 어떤 일이 발생하든 그 모든 것은 소니픽처스의 탐욕으로 인해 발생한 것이다. 전 세계가 소니픽처스를 비난할 것.”
 
  소니픽처스 공격이 발생하기 전인 2014년 여름, 북한은 공식 성명을 통해 해당 영화 상영 금지를 촉구했다. 이들은 해당 영화에 대해 “무모한 미국의 도발적인 정신 이상 행위”라고 비난하며, 영화를 상영할 경우 “단호하고 무자비한 대응”을 할 것이라고 협박한 바 있다.
 
  소니픽처스 해킹 공격 전 북한 해커들은 영국의 영화제작사인 매머드 스크린을 공격했다. 매머드 스크린은 당시 북한 관련 내용의 드라마 시리즈 〈어퍼지트 넘버(Opposite Number)〉를 제작하고 있었다. 2018년 8월 해당 드라마가 출시 허가를 받은 상태였다. 그러나 발표 직후 이 드라마의 제작사 매머드 스크린은 연달아 컴퓨터 해킹 공격을 당했으며, 제작비를 마련하지 못한 채 결국 프로젝트를 중단해야 했다. 해당 드라마는 북한에 포로로 잡힌 영국의 핵 과학자의 이야기를 다룬 것이다.
 
  북한은 성명을 통해 해당 드라마를 원색적으로 비난했다. “북한을 타도하는 무분별한 행위는 불명예와 자기 파괴적인 결과를 가져올 것이다. 우리의 경고를 무시할 경우 어떤 결과를 초래할지 스스로 판단하는 것이 좋을 것….” 이 같은 북한의 경고 내용은 소니픽처스 공격이 발생하기 전 해커들이 언급한 내용과 유사하다.
 
 
  김정은 통치 자금 필요했던 北 해외 은행 해킹
 
  북한의 해커들은 소니픽처스, 매머드 스크린 등을 대상으로 공격을 감행하던 시기에 금전 탈취를 목적으로 금융 기관에 대한 공격도 수행했다. 자료에 따르면 해커들은 스피어피싱(특정인을 목표로 개인정보를 훔치는 피싱 공격) 공격에 사용한 것과 동일한 계정을 금융기관 공격에도 사용했고, 소니픽처스 등의 공격에 사용한 악성코드에서도 여러 유사성이 확인됐다. 이를 통해 북한 해커 박진혁을 포함한 동일한 해커들이 같은 목적을 가지고 공격을 수행했음을 알 수 있다.
 
  금융기관 공격은 일반적으로 은행 로컬 네트워크를 공격하는 방법으로 진행됐다. 공격 대상이 된 은행들은 SWIFT(국제 은행 간 통신 협회) 통신 시스템을 이용했다. SWIFT는 전 세계 통신 네트워크를 관리하는 국제금융기관협회로서 해당 시스템을 이용하면 상업 은행, 중앙은행 및 각종 금융기관들은 24시간 안전한 금융 거래를 할 수 있다.
 
  해커들의 은행 공격은 일반적으로 은행 관련 온라인 정찰, 직원들에게 스피어피싱 메시지 전송, 특정 은행 관련 이메일 또는 소셜미디어 주소에도 스피어피싱 메시지를 전송한다. 메시지가 정상적으로 전송되면 해커들은 은행 컴퓨터 네트워크에 대한 접근 권한을 획득한다. 권한을 획득한 이들은 SWIFT 통신 시스템을 통해 메시지를 송·수신하는 데 사용되는 은행 컴퓨터 네트워크에 침투할 수 있다. 해당 컴퓨터에 대한 접근 권한을 가진 해커들은 SWIFT 시스템을 이용하는 메시지 작성 및 전송이 승인되는 은행 직원으로 위장해, 그들이 전송하는 메시지가 정상 메시지인 것처럼 보이도록 이메일 수신자를 속일 수 있었다.
 
  해커들은 방글라데시·베트남·필리핀·아프리카·동남아 은행 등을 주 공격 대상으로 삼았다. 2016년 2월 방글라데시 은행에서 해킹 공격이 발생해 대략 8100만 달러의 손실이 발생했다. 또 10억 달러 상당의 금전 탈취 시도가 발생한 것으로 FBI는 추정했다. 그로 인해 8100만 달러가 필리핀 계좌로 송금됐으며, 약 2000만 달러는 스리랑카 계좌로 송금될 뻔했다. 스리랑카 송금 예정이던 2000만 달러는 해당 은행의 조치로 인해 송금이 중단되어 공격자들의 금전 탈취 시도는 실패했다. 반면 필리핀 계좌로 송금된 8100만 달러는 여러 은행 계좌, 해외 송금 서비스, 카지노 정킷 등을 통해 ‘돈세탁’이 됐다. 이 중 대다수의 금액은 현재까지 회수되지 않은 것으로 알려졌다.
 
 
  韓 사드 배치 막기 위해 美 록히드마틴사 공격
 
  북한의 해커들은 소니픽처스 공격과 전 세계 금융기관 공격 외에도 스피어피싱 이메일을 사용해 미국 국방 하청업체, 대학교, 연구기관, 에너지 기업, 가상화폐 거래소 등을 공격했다. 특히 위에서 언급한 공격과 미 국방 하청업체 공격 등은 동일한 소셜미디어 계정, 이메일 계정, 동일한 가명, IP 주소와 같은 동일한 공격 인프라 등을 사용한 점에서 연관성을 보여준다. 발생한 공격 및 공격 시도와 관련된 내용은 비슷하다.
 
  해커들이 공격한 미국 국방 하청업체는 록히드마틴이다. 록히드마틴은 사드(고고도미사일 방어체계, THAAD)의 주 계약자다. 2017년 3월 사드 시스템의 일부가 한국에 배치됐다. FBI 문서에 따르면 2016~2017년 록히드마틴 관계자들에게 수십 차례 스피어피싱 이메일이 전송됐다. 그중 일부에는 사드 관련 내용이 포함되어 있었다. 해커들이 스피어피싱 방식을 통해 록히드마틴을 지속적으로 공격해왔지만, FBI는 록히드마틴을 대상으로 하는 사이버 공격이 성공적으로 수행되었음을 보여주는 어떠한 정보도 수집할 수 없었다.
 
  자료에 따르면 FBI는 록히드마틴에 북한의 사이버 공격에 대해 경고했다. 록히드마틴 내부 보안 분석가는 FBI에 ‘다른 이메일 계정이 발견됐다’는 정보를 전달했다. 해당 이메일 계정들은 2016년 4월 29일에서 5월 20일까지 록히드마틴 직원들에게 스피어피싱 메시지를 전달하는 데 사용됐다. 해킹 시도 관련 2016년까지 록히드마틴 보안 분석가가 FBI에 제공한 이메일은 총 4건이다. 2016년 7월에 발견된 일련의 이메일에서 해커들이 사용한 추가 공격 기법들이 확인됐다. 또한 소니픽처스 공격과 방글라데시 은행을 포함한 금융기관 공격에 사용된 계정들, 록히드마틴 공격에 사용된 계정들도 서로 연관되어 있음을 확인했다고 FBI가 밝혔다.
 
 
  북한 해커 ‘박진혁’ 그는 누구인가?
 
미국 국토안보부가 북한 해커로 지명한 박진혁의 모습이다. 사진=미국 국토안보부
  북한이 해킹 과정에서 여러 이름을 사용했지만, 신상이 밝혀진 해커는 박진혁 한 명이다. 박진혁은 해외파견 나온 북한 해커로 북한으로 돌아갈 때까지 북한의 유령회사인 조선엑스포에서 일했다. 이 유령회사는 ‘Lab 110’으로 알려진 북한의 해킹 조직을 위한 자금을 만들었다. 박씨는 중국에서 조선엑스포 직원으로 일하면서 그의 진짜 이름을 사용한 계정에 접속했으며, 이 계정들은 그가 북한으로 돌아간 이후에도 북한에서 접속됐다. FBI는 증거를 통해 박씨가 그동안 여러 사건을 주도한 멤버 중 하나라고 밝혔다.
 
  박씨는 종종 다른 사람들과 함께 중국으로 파견됐다. 박씨는 조선엑스포에서 일하며 거래처 사람들에게 악성이 아닌 소프트웨어 및 IT프로젝트에 대한 대금을 지불하는 것이 목적이었다. 조선엑스포 계정에는 그가 이 사업을 하는 동안 사용한 이메일 계정이 포함됐다. 2011년 1월 박씨의 부서 책임자가 사용한 이메일 주소로부터 금융시장 정보 서비스를 제공하는 북한 기업의 대표에게 이메일이 발송됐다. 해당 이메일은 ‘새로운 개발자인 박진혁이 프로그래밍 팀의 다른 개발자를 대체해 영입될 것’이라는 내용이었다.
 
  박진혁은 1984년 8월 15일생으로 김책공업종합대학을 졸업했다. 또한 그는 프로그래밍 언어 기술이 있으며, 영어와 중국어를 구사하는 것을 알려졌다.⊙
조회 : 5837
Copyright ⓒ 조선뉴스프레스 - 월간조선. 무단전재 및 재배포 금지
NewsRoom 인기기사
Magazine 인기기사
댓글달기 0건
댓글달기는 로그인 하신 후 남기실 수 있습니다.

201911

지난호
전자북
별책부록
프리미엄결제
  • 지난호
  • 전자북
  • 별책부록
  • 정기구독
도서출간 배너
  • 월간조선 2018년 4월호 부록
내가 본 뉴스 맨 위로

내가 본 뉴스 닫기