재무부, 북한 정부의 지원을 받는 악성 해킹 그룹 제재

보도자료
2019년 9월 13일

워싱턴 – 미국 재무부 해외자산통제국(OFAC)은 오늘 북한 정부의 지원을 받아 주요 기반시설을 대상으로 행해지는 악성 사이버 공격에 대한 책임이 있는 악성 해킹 그룹 3곳을 제재한다고 발표했다. 오늘 조치를 통해 전 세계 민간 사이버보안 업계에서 ‘라자루스 그룹’, ‘블루노로프’, ‘안다리엘’로 널리 알려진 북한 해킹 그룹들이 북한 인민무력부 정찰총국과의 관계를 근거로 행정명령 13722호에 따라 북한 정부 산하의 기관이나 대행기관 혹은 정부 통제 조직으로 지정됐다. 라자루스 그룹, 블루노로프, 안다리엘은 미국과 유엔이 제재 대상으로 지정한 정찰총국(북한의 주요 정보 조직)의 통제를 받는다.

시걸 맨델커 재무부 테러∙금융정보 차관은 “재무부는 불법 무기와 미사일 프로그램을 지원할 목적으로 사이버 공격을 주도한 북한 해킹 그룹들을 상대로 조치를 취하고 있다”면서 “우리는 미국과 유엔의 기존 대북 제재를 지속적으로 시행하는 동시에 국제사회와 공조하여 금융 전산망의 사이버보안을 강화할 것”이라고 말했다.

라자루스 그룹, 블루노로프, 안다리엘의 악성 사이버 활동

라자루스 그룹은 사이버 간첩 활동, 데이터 절취, 금전 강탈, 파괴적 멀웨어 운영 등의 전술을 동원하여 정부, 군, 금융, 제조, 출판, 미디어, 연예, 국제 해운 분야의 기관과 주요 기반시설을 공격 대상으로 삼고 있다. 북한 정부가 2007년에 창설한 악성 사이버 그룹인 라자루스 그룹은 정찰총국의 제3국 110연구소에 소속된 조직이다. 제3국은 제3 기술정찰국으로도 불리며 북한의 사이버 공작을 담당한다. 정찰총국은 북한의 악성 사이버 활동을 주도하는 기관으로서의 역할에 추가하여 북한의 핵심 정보국 기능도 수행하고 있으며 북한 무기 거래에도 관여한다. 2015년 1월 2일에 OFAC는 행정명령 13687호에 따라 정찰총국을 북한의 정부 통제 조직으로 지정했다. 정찰총국은 2010년 8월에 공표된 행정명령 13551호에 대한 부속서에도 명시됐다. 유엔 역시 2016년 3월 2일에 정찰총국을 제재 대상으로 지정했다.

라자루스 그룹은 2017년 12월에 미국, 호주, 캐나다, 뉴질랜드, 영국이 공개적으로 북한을 배후로 지목한 워너크라이2.0 랜섬웨어 공격에 관여했다. 덴마크와 일본은 그러한 혐의를 뒷받침하는 성명을 발표했으며 일부 미국 기업들은 북한의 사이버 활동을 차단하는 독자적인 행동에 나섰다. 워너크라이는 최소한 150개국 이상에 피해를 입혔으며 약 30만 대의 컴퓨터를 마비시켰다. 영국의 국가보건서비스(NHS)는 공식적으로 피해가 확인된 기관 중 하나였다. 영국 내 전체 2차 진료기관(중환자실을 비롯한 기타 응급 서비스를 제공하는 대형 병원)의 3분의 1과 전국 병∙의원의 8퍼센트가 랜섬웨어 공격으로 마비됐으며 1만 9,000건 이상의 예약이 취소되고 최종적으로 NHS에 1억 1,200만 달러 이상의 손해를 초래하여 역대 최대 규모의 랜섬웨어 사태로 기록됐다. 또한, 라자루스 그룹은 널리 알려진 것처럼 2014년에 소니 픽처스 엔터테인먼트(SPE)를 공격한 사이버 공격의 직접적인 배후였다.

라자루스 그룹의 하부 조직 2곳도 오늘 제재 대상으로 지정됐다. 다수의 민간 보안 업체들은 그 가운데 첫 번째 조직을 블루노로프라고 부른다. 블루노로프는 국제사회의 대북 제재가 강화되자 북한 정부가 불법적인 수입을 올릴 목적으로 설치했다. 블루노로프는 일부가 핵무기와 탄도미사일 프로그램 확대에 투입되는 북한 정부의 수입원을 창출할 목적으로 해외 금융기관을 겨냥하여 사이버 강탈 형태로 악성 사이버 활동을 감행한다. 사이버보안 업체들은 북한이 군사 정보 수집이나 네트워크 공격 혹은 적성국 위협에 추가하여 금전적 이득을 목표로 사이버 활동에 나서기 시작한 2014년부터 이미 이 조직의 존재를 파악하고 있었다. 업계와 언론 보도에 따르면, 블루노로프는 2018년까지 금융기관으로부터 11억 달러 이상을 절취하려고 시도했으며 방글라데시, 인도, 멕시코, 파키스탄, 필리핀, 한국, 대만, 터키, 칠레, 베트남 은행들을 상대로 그러한 시도가 성공을 거둔 것으로 알려졌다.

사이버보안 업체들에 따르면, 블루노로프는 11개국 16곳 이상의 기관을 표적으로 삼아 대개의 경우 피싱과 백도어 침투 방식을 동원하여 SWIFT 메시징 시스템, 금융기관, 암호화폐 거래소를 공격하는 데 성공한 것으로 알려졌다. 블루노로프의 대표적인 사이버 범죄 사례 중 하나로 라자루스 그룹과 공모하여 방글라데시 중앙은행에 개설된 뉴욕연방준비은행 계좌로부터 약 8,000만 달러를 탈취한 사건을 들 수 있다. 블루노로프와 라자루스 그룹은 SPE 사이버 공격 때와 유사한 멀웨어를 동원하여 의심스러운 오타를 발견한 은행 관계자가 추가 인출을 중단시키기 직전까지 36회 이상에 걸친 고액 이체 요청을 통해 SWIFT 인증을 도용하여 8억 5,100만 달러를 인출하려고 시도했다.

오늘 제재 대상으로 지정된 라자루스 그룹의 두 번째 하부 조직은 안다리엘이다. 안다리엘은 해외 사업체, 정부 기관, 금융서비스 인프라, 민간 기업, 사업체와 더불어 방산업계를 겨냥한 악성 사이버 공격에 주력한다. 사이버보안 업체들은 2015년경에 안다리엘의 존재를 처음 확인했으며 안다리엘이 수입 창출을 목표로 사이버 범죄를 감행하고 정보 수집과 혼란 조장을 목적으로 한국 정부와 기반시설을 공격한다고 보고했다.

구체적으로, 사이버보안 업체들은 안다리엘이 현금을 인출하거나 고객 정보를 절취하여 암시장에 판매할 목적으로 ATM 해킹을 통해 은행 카드 정보를 도용하려고 시도하는 정황을 파악했다. 또한, 안다리엘은 온라인 포커 및 도박 사이트에 침투하여 현금을 갈취하는 독자적인 멀웨어를 개발하고 제작하는 임무도 담당하고 있다.

업계와 언론 보도에 따르면, 안다리엘은 범죄 활동에만 그치는 것이 아니라 정보를 수집할 목적으로 한국 정부 관계자들과 군을 상대로 악성 사이버 공격을 지속적으로 감행하는 것으로 알려졌다. 2016년 9월에는 군사 작전 정보를 빼낼 목적으로 한국 국방부 인트라넷과 당시 국방장관의 집무실 컴퓨터에 침입한 사건이 적발됐다.

북한의 사이버 공작은 전통적인 금융기관, 외국 정부, 주요 기업, 기반시설을 겨냥한 악성 사이버 공격에 추가하여 아마도 대량살상무기 및 탄도미사일 프로그램으로 전용될 가능성이 있는 수입 흐름과 사이버 강탈 활동을 난독화하려는 의도에서 가상화폐 서비스제공업체와 암호화폐 거래소를 공격 대상으로 삼고 있다. 업계와 언론 보도에 따르면, 정부의 지원을 받는 이들 해킹 그룹 3곳은 2017년 1월부터 2018년 9월까지 아시아 지역 내 거래소 5곳을 공격하여 암호화폐로만 5억 7,100만 달러를 절취했을 가능성이 있는 것으로 알려졌다.

북한의 사이버 위협에 대응하는 미국 정부의 노력

별도로, 국토안전부 산하 사이버 보안 및 기반 시설 보안국(CISA)과 미국 사이버사령부(USCYBERCOM)는 최근 수개월간의 공조를 통해 미국 금융 시스템과 기타 주요 기반시설을 보호하고 글로벌 안보 강화에 중요하게 일조하려는 노력의 일환으로 민간 사이버보안 업계에 멀웨어 샘플을 공개했으며 그 가운데 다수가 북한 사이버 활동 조직의 소행으로 확인됐다. 이는 OFAC의 오늘 조치와 더불어 점증하는 북한의 사이버 위협에 대비한 범정부 차원의 방어 및 보호 노력을 방증하는 사례이며 미국 사이버사령부가 천명한 지속적 개입 원칙을 한걸음 더 진전시킨 조치라고 할 수 있다.

오늘 조치로 인해 제재 대상으로 지정된 단체 그리고 그러한 단체가 50퍼센트 이상의 지분을 직간접적으로 보유한 단체의 재산 혹은 재산에 대한 지분이 미국 내에 존재하거나 미국인이 소유 혹은 통제하는 경우 해당 재산은 동결되며 OFAC에 의무적으로 보고해야 한다. 동결되거나 제재 대상으로 지정된 단체의 재산 혹은 재산에 대한 지분이 수반되는 미국인에 의한, 혹은 미국 내에서(혹은 경유하여) 진행되는 모든 거래는 OFAC 규정에 의해 원칙적으로 금지된다.

그에 추가하여, 오늘 지정된 단체를 상대로 특정한 거래에 관여하는 자는 본인이 지정 대상자로 노출될 수 있다. 또한, 오늘 지정된 단체를 상대로 그러한 사실을 알고도 상당한 수준의 거래를 지원하거나 상당한 수준의 금융서비스를 제공하는 해외 금융기관은 미국 대리계좌 혹은 결제계좌 제재의 대상이 될 수 있다.

오늘 지정된 단체들에 관한 정보