앵커: 지난해 미주 지역에서 활동한 사이버 공격 주체들 중 북한 IT 노동자들이 가장 빈번하게 적발됐다는 보고서가 발표됐습니다. 서울에서 이정은 기자가 보도합니다.
구글 산하 사이버 보안 기업 맨디언트(Mandiant)가 24일 발표한 연례 보고서.
이에 따르면 맨디언트가 지난해 미주 지역에서 가장 자주 적발한 사이버 공격 그룹은 북한 IT 노동자들의 활동 조직인 ‘UNC5267′이었습니다.
맨디언트는 지난 2022년부터 서방 기업에 수천 명의 IT 노동자들을 원격 근무자로 취업시키기 위한 북한의 활동에 ‘UNC5267’이라는 코드명을 부여하고 이를 추적해왔습니다.
두번째로 자주 적발된 사이버 위협 행위자는 중국의 사이버 간첩(espionage)으로 추정되는 ‘UNC5221′인 것으로 파악됐습니다.
관련 기사
구글 “북한 IT 노동자, 유럽서 위장 취업해 AI 개발”
“북 IT 노동자들, 팬더, 스타 등 특정 단어 자주 사용”
보고서에 따르면 북한 IT 노동자들은 북한 당국을 위한 수익 창출을 목적으로 조작된 신원과 현지 조력자들을 이용해 고소득 일자리에 지원했고 금융 서비스, 통신, 언론과 문화, 소매, 기술 산업 등 다양한 분야에서 일한 것으로 파악됐습니다.
서방 기업에 취업하는 과정에서 사기를 친 것을 제외하면 북한 IT 노동자들이 지난해 직접적으로 악의적 활동을 한 증거가 확인된 경우는 5건이 채 안됩니다.
다만 북한 IT 노동자들이 원하는 최신 기술 관련 직종은 기업의 기반 시설(infrastructure)에 대한 접근이 필요하기 때문에 향후 갈취(extortion), 간첩 행위(espionage), 데이터 도난(data theft)등의 위험이 커질 수 있다고 보고서는 경고했습니다.
실제로 지난해 하반기에는 북한 IT 노동자들이 표적 기관의 독점 정보를 훔친 후 이러한 행위가 적발돼 해고되자 돈(ransom)을 주지 않으면 해당 정보를 공개하겠다고 위협한 사례가 최소 2차례 발생했습니다.
이들은 이메일 주소나 도메인에 “팬더(panda)”, “스타(star)”, “실버(silver)”, “선(sun)” 등 특정 단어나 숫자를 자주 사용하는 것으로 파악됐습니다.
이들이 거주하고 있는 곳은 주로 러시아나 중국이며 몇 명은 아프리카나 동남아시아에 거주하고 있는 것으로 추정됩니다.
“북 암호화폐 탈취 수법도 진화“
보고서에 따르면 북한 해커들의 암호화폐 탈취 수법도 진화하고 있습니다.
암호화폐 및 블록체인 개발 관련 종사자들을 더욱 효과적으로 공격하기 위해 공격 방법을 수정해나가고 있는 겁니다.
북한 해커들은 특히 최근 수년간 인공지능과 블록체인 기술 기반의 ’3세대 인터넷(웹3.0)’ 관련 개발자들과 해당 개발자를 고용한 조직에 불법적으로 접근하고 있습니다.
또 피싱과 사회공학(social engineering) 기법 등 기존 전술을 통해 공격 대상이 스마트 계약(smart contract)을 실행하게 유도하고 이를 통해 암호화폐를 자동으로 빼돌리는 이른바 ‘드레이너 작전(drainer operations)‘을 펼치기도 합니다.
지난해 1월 이후 이러한 작전을 위해 생성된 가짜 웹사이트는 총 1천200여 개에 달합니다.
서울에서 RFA 자유아시아방송 이정은입니다.
에디터 양성원