국정원, 北 관련 ‘사이버 보안 권고문’ 발표…한미 합동은 처음

by김현아 기자
2023.02.10 14:20:22

[이데일리 김현아 기자]

국가정보원이 미국 국가안보국(NSA)·연방수사국(FBI)·사이버인프라보안청(CISA), 보건복지부(HHS) 등과 함께 북한의 사이버공격 위협 실태를 알리고 이를 예방하기 위한 보안 권고문을 10일 발표했다. 한미 정보기관이 합동 보안 권고문을 발표하는 것은 처음이다.

국정원은 “증가하는 북한의 악의적 사이버 활동에 대응하기 위해 한미 정보기관이 긴밀 협력하고 있음을 보여주는 사례가 될 것”이라고 했다. 미국 현지에서도 NSA가 동일한 권고문을 발표했다.

권고문 제목은 ‘랜섬웨어 공격을 통한 북한의 금전 탈취 수법’이다. 랜섬웨어란 컴퓨터 시스템을 감염시켜 기기를 잠구거나 파일을 암호화시킨 뒤 기기 주인으로부터 몸값을 요구하는 악성 소프트웨어를 말한다.

국정원은 “최근 북한은 외화벌이 및 금전 탈취를 목적으로 세계 각국의 의료·공중 보건 분야와 기타 주요 인프라 담당 기관에 지속적으로 랜섬웨어 공격을 하고 있다”면서 “경각심을 고취하기 위해 한미 합동 보안 권고문을 발행한다”고 밝혔다.

이어 “한미 합동 보안 권고문에선 북한 정권이 지원하는 랜섬웨어에 대한 전반적인 내용과 함께, 북한 사이버 행위자가 사용한 전술(TTP, Techniques and Procedures)및 침해지표(IOC)와 몸값을 요구하기 위해 암호화폐(가상자산)를 사용한다는 내용이 포함돼 있다”고 부연했다.



보안 권고문에 따르면, 북한 및 북한 연계 해킹조직은 위장 도메인이나 계정을 만든 뒤 가상 사설망(VPN) 등을 이용해 해킹 대상 기관의 네트워크를 공격한다. 이후 악성코드를 활용해 시스템을 파괴·변조·암호화하고, 정상화를 조건으로 암호화폐 등 가상자산을 요구하고 있다.

국정원은 이러한 북한의 랜섬웨어 공격을 사전에 탐지·차단 할 수 있도록 관련 IP 주소·파일명 등 ‘침해지표’(IOC)를 공개했다. 또, 사이버공격 예방과 피해 경감을 위한 백업·점검 방법 등 기술적 조치 방안을 제시하며 북한 사이버공격에 대한 각별한 주의 및 대응을 당부했다.

국정원은 “북한이 해킹으로 벌어들인 암호화폐를 북한의 국가 우선순위와 정보 목표 달성을 위해 사용하고 있다는 게 한미 정보기관의 판단”이라며 “일단 랜섬웨어에 감염되면 회복을 위해 돈을 지불하더라도 데이터의 복구는 보장할 수 없다”고 밝혔다.

이에 대해 구글 클라우드 맨디언트 위협 인텔리전스 총괄 존 헐트퀴스트(John Hultquist)는 “최근 공격의 배후는 안다리엘(Andariel)로 가장 잘 알려진 북한 공격그룹으로, 전 세계 병원과 의료인을 겨냥한 랜섬웨어 공격을 해왔다”고 전했다.

그는 “병원들은 대개 사건을 보고하지 않고 북한 스파이가 공격자인 줄도 모른 채 조용히 시스템을 복구하거나 몸값을 지불하는 경우가 많지만, 이러한 대처는 합법적으로 돈을 받을 수 없는 북한 공격자들에게 적절하다. 이 때문에 (북한 공격자들은)종종 유명한 랜섬웨어 운영자라고 주장하며 정체를 숨기고 있다”고 부연했다.