미국 재무부가 13일(현지시간) 단행한 제재를 통해 북한 해킹그룹의 정체와 적나라한 해킹 실태가 드러났다.
이들 북한 해킹그룹은 한국도 주요 해킹 표적으로 삼아왔던 것으로 알려졌다.

美 재무부의 이번 제재는 유엔이 최근 보고서를 통해 북한에 의한 해킹에 경각심과 대책을 촉구한 이후 이뤄졌다는 점에서 주목받고 있다.

미 재무부가 이날 제재한 북한 해킹그룹은 그동안 많이 알려졌던 '라자루스 그룹(Lazarus Group)'을 포함, 언론에 간간이 거론됐던 '블루노로프(Bluenoroff)'와 '안다리엘(Andariel)' 등 3곳이다.

미 재무부는 이들 해킹그룹이 모두 북한 정찰총국(RGB)의 통제하에 있는 것으로 전했다. 정찰총국은 미국은 물론 유엔 안전보장이사회 대북제재 결의 제재 대상이다.

앞서 지난해 9월 美 법무부는 2014년 소니픽처스 해킹과 2016년 8100만 달러를 빼내 간 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 공격한 혐의로 라자루스 그룹 소속 해커인 북한의 박진혁이라는 인물을 기소한 바 있다.

미 재무부가 이날 공개한 자료에 따르면 라자루스 그룹은 북한 정권에 의해 2007년 초에 만들어졌고 정찰총국의 제3 기술정찰국 110연구소에 소속돼 있다.

라자루스 그룹은 제3국 주요 인프라를 포함 정부기관 군, 금융기관, 기업, 미디어 등을 대상으로 전방위적인 해킹 활동을 해왔다.

가장 대표적인 것이 지난 2017년 전 세계 컴퓨터에 랜섬웨어를 심어 큰 피해를 준 것으로 알려진 '워너크라이' 사건이다. 미 재무부는 라자루스 그룹이 워너크라이 사건에 관여했으며 최소 150개국에서 워너크라이 랜섬웨어 악성코드에 감염됐고, 약 30만대의 컴퓨터가 셧다운 됐다고 전했다.

특히 영국 국민보건서비스(NHS)가 해킹 공격을 당해 중환자 및 응급치료를 담당하는 영국 2차 병원 가운데 약 3분의 1, 영국의 일반 의료행위의 약 8%가 마비됐다. 이로 인해 NHS는 1억1200만달러 상당의 피해를 입었던 것으로 알려졌다.

라자루스 그룹은 이에 앞서 2014년 미국 소니 픽처스 해킹 사건의 주범으로 지목받았다.

미 재무부는 블루노로프와 안다리엘은 라자루스 그룹의 하부 해킹그룹이라고 밝혔다.

블루노로프는 글로벌 대북제재에 맞서 해킹을 통한 금품 탈취를 위해 조직됐다.

미 재무부는 블루노로프가 외화 수입, 특히 이들 자금 가운데 일부를 핵·탄도미사일 프로그램에 지원하기 위해 해외 금융기관 등을 상대로 해킹을 자행했다고 지적했다.

블루노로프의 해킹 활동은 2014년 초에 보안업계에 의해 처음 탐지됐다.

미 재무부는 업계와 언론보도 등을 인용해 지난해까지 블루노로프가 해외 금융기관으로부터 11억달러가 넘는 금액의 절취를 시도했으며, 방글라데시와 인도, 멕시코, 파키스탄, 필리핀, 한국, 대만, 터키, 칠레, 베트남 등에서 성공적으로 해킹을 수행했다고 공개했다.

또 사이버 보안 업계를 인용해 블루노로프가 11개국, 16개 이상의 금융기관과 가상화폐거래소 등을 대상으로 성공적인 해킹을 했다고 전했다.

블루노로프는 그동안 라자루스 그룹의 소행으로 알려진 뉴욕 연방준비은행의 방글라데시 중앙은행계정 해킹에도 함께 가담했다고 미 재무부는 밝혔다. 방글라데시 중앙은행은 2016년 해킹으로 약 8000만달러의 피해를 입었다.

블루노로프와 라자루스 그룹은 훔친 국제은행간통신협회(SWIFT) 인증서를 이용해 8억5100만달러를 가로채기 위해 36차례 이상의 송금 요청을 하기도 했다.

유엔 안전보장이사회(안보리) 산하 대북제재위는 최근 공개한 보고서에서 북한이 17개국을 상대로 저지른 최소 35건의 해킹 사건을 조사하고 있으며, 특정 추정치를 인용해 해킹으로 탈취한 금액이 최대 20억 달러에 이른다고 밝힌 바 있다.

안다리엘도 자금탈취 등을 위해 해외 기업과 정부 기관, 금융서비스 인프라, 방산 분야 등에 대한 해킹을 자행해왔다.

이들의 해킹 활동은 2015년 사이버 보안 업계에 의해 처음 포착됐다. 미 재무부에 따르면 안다리엘은 특히 정보 획득과 혼란 조성을 위해 한국 정부와 인프라를 해킹 표적으로 삼았다고 밝혔다.

이들은 현금자동입출금기(ATM)에 대한 해킹을 통해 은행 카드 정보 빼내기를 시도했다. 이를 통해 현금을 인출하고, 블랙마켓에서 고객 훔친 고객정보를 판매하기 위한 목적이었다.

안다리엘은 도박사이트를 해킹하기 위해 악성코드도 개발한 것으로 알려졌다.

미 재무부는 또한 안다리엘이 정보 획득을 위해 한국 정부 관리들과 한국군을 상대로 해킹을 지속하고 있다면서 2016년 한국 국방장관 집무실의 개인 컴퓨터와 국방부 인트라넷인 국방망에 대한 해킹을 대표적 소행으로 꼽았다. 당시는 한민구 국방장관 재임 시기였다.

미 재무부는 업계와 언론 보도를 인용, 라자루스 그룹과 블루노로프, 안다리엘 등 3개 북한 해킹그룹이 2017년 1월과 지난해 9월 사이에 5개 가상화폐거래소를 해킹해 5억7100만달러의 가상화폐를 탈취한 것으로 보인다고 공개했다.

한편 유엔 안보리 산하 대북제재위는 이달 초 공개한 보고서에서 북한의 사이버 해킹의 심각성을 지목하면서 "향후 추가적인 대북제재가 이뤄진다면 안보리는 사이버 공격의 심각성에 초점을 맞출 것을 권고한다"면서 "가상화폐, 가상화폐 거래소를 비롯한 비(非)은행 금융기관까지 포함해야 한다"고 지적했다.