• KIMA Newsletter

    미국의 북한 사이버 공격 징후 경보와 함의 [제1280호]
      발행일  2022-07-13
    KIMA Newsletter 제1281호(미국의 북한 마우이랜션 사이버 공격 경보).pdf



     

     

    지난 7월 6일 ‘미국 사이버 보안 및 인프라 보안국(Cyber Security and Infrastructure Security Agency: CISA)’, ‘미 연방수사국(FBI) 사이버안보국’, ‘미 재무부 사이버 안보 및 산업기반 체계 보호국’은 공동으로 “북한 정권이 운영하는 사이버 팀(North Korean State-Sponsored Cyber Actor)이 미국 공공보건 및 건강보험 체계를 사이버 공격할 징후가 있다”며 경고를 발동했다.

     

    통상 미국 사이버 안보 관련 기관들이 민간 산업체에 경고하는 종류는 2가지로 ‘공격 징후(Indicators of Attack: IOA)’와 ‘사전 경고(Indicators of Compromise: IOC)’가 있다. 이번은 마우이 랜섬웨어(Maui Ransomware) 공격에 대한 ‘사전 경고’였다.

     

    미국 내 사이버 안보기관들은 2021년 5월에 미국 공공보건 및 건강의료 분야가 북한 정권이 운용하는 사이버팀의 공격을 받았으며, 이후 1년여 동안 CISA, FBI 사이버 조사국과 재무부 사이버 안보 및 핵심기반체계 보호국 합동팀은 “북한의 사이버 공격에 대한 추적과 감시를 해왔으며, 상호 협업에 의해 조만간 미국 공공보건과 건강의료 분야에 대한 사이버 공격이 재현될 수 있다는 판단을 했다”라고 발표했다.

     

     

    FBI 사이버보안 부국장인 브라이안 본드란(Bryan Vorndran)은 “그동안 특별히 관심을 갖고 북한의 사이버 공격팀 동향을 파악했으며, 관련 기관과 상호 공유해 선제적 대응이 필요하다는 판단을 했다”라고 발표했다.

     

    또한, 재무부 사이버 안보 및 핵심기반체계 보호국 부국장인 라울 프라브하카는 “2021년 북한의 랜섬웨어 공격으로 많은 공공보건과 건강의료 체계가 피해를 봤다”면서 “북한이 또 다른 악의적 활동(malicious activity)을 준비하고 있다는 징후를 포착했다”라고 발표했다.

     

    이 3개 기관은 “미국 공공보건과 건강의료분야 종사자들에게 과거 북한의 랜섬웨어 사이버 공격과 유사한 사례들이 감소할 수 있는 대응 조치를 하도록 각 공공기관과 민간기관에 권고하고 있으며, CISA 홈페이지에 상세한 내용들을 게시했다”면서 이를 참조하라고 지적했다.

     

    이와 별도로 미국 국가정보국(Director of National Intelligence: DNI)은 『2021년 연례 사이버 위협보고서』에서 “북한의 사이버 공격 능력은 자료 수집(espionage), 핵심정보 탈취(theft), 사이버 파괴 공격(attack threat) 등의 비대칭적 사이버 공격을 하고 있으며, 최근엔 암호화폐를 갈취하는 등의 금융사기 행위로 확산되고 있다”라고 북한의 사이버 위협을 경고했다.

     

    특히 상기 미국 정부의 CISA, FBI, 재무부 외에 민간 사이버 대응 업체들도 북한의 사이버 공격 행위를 감시하고 있으며, 이들은 라자루스 그룹(Lazarus Group), APT 38, 블루노르프(BlueNoroff), 스타더스트 초리마(Stardust Chollima) 등으로 알려져 있다. 특히 이들 민간업체들은 상기 3개 미국 정부기관들과 긴밀한 협업체제를 구축하고 있는 것으로 알려져 있다.

     

    미 CISA는 홈페이지에 2017년 이후 북한의 사이버 공격 사례를 다음과 같이 공지했다.

     

    [2017년] 5월 2일 WannaCry, 6월 13일 DeltaCharlie, 8월 23일 DeltaCharlie, 11월 4일 불명의 공격, 12월 21일 BANKSHOT 사이버 공격

     

    [2018년] 2월 13일 HARDRAIN, 3월 28일 SHARPKNOT, 5월 29일 Branbu, 6월 4일 Trojan, 8월 9일 KEYMARBLE, 10월 2일 FASTCash 사이버 공격

     

    [2019년] 9월 9일 ELECRICFISH 사이버 공격

     

    [2020년] 2월 14일 BISTROMATH, 4월 15일 IOC 경고, 5월 12일 COPPERHEDGE, 8월 9일 BLINDINGCAN, 8월 26일 FASTCash, 10월 27일 IOC 경고

     

    [2021년] 2월 17일 AppleJeus, 4월 18일 Blockchain 사이버 공격

     

    [2022년] 4월 8일 IOC 경고

     


    지난 2월 9일 미 『국제전략문제연구원(CSIS)』은 『북한의 사이버 공격 평가 보고서(North Korea knows how important its cyber attacks are)』 발간을 통해 “북한이 사이버 공격을 비대칭 전술로 활용하고 있다”며, “2011년부터 2020년까지 약 10억 불 상당의 암호화폐를 홈치는 사이버 금융 절도 행위를 했다”라고 발표했다.

     

    또한, “이러한 북한의 사이버 금융범죄 행위가 2021년 한 해 동안만 약 4억 불 상당의 암호화폐를 훔쳐간 이후 점차 미국 내 금융과 공공기관에 대한 사이버 공격 양상으로 발전하고 있다”라고 평가했다.


    특히 2016년 한국의 평가에 의하면, “북한은 약 600개에서 1,000개의 사이버 공격팀을 운용하고 있는 것”으로 알려져 있다.


    또한, “2019년 북한은 『중국 교육부와 북한 관련기관과 2030년까지의 사이버 관련 인적 교류 및 정보교환 협정서』를 체결했다”면서, “중국이 북한의 사이버 공격능력을 대리전(proxy war) 양상으로 활용하려는 의도를 갖고 있다”라고 평가했다.


    궁극적으로 미국 사이버 기관들은 “2014년 북한이 ‘소니 픽처스(SONY Pictures)’에 대대적인 사이버 공격을 한 이후부터, 미국 공공기관과 분야에 대한 사이버 공격을 자행하려는 계획을 갖고 있다”며, “미국은 정부 사이버 기관과 민간 기관 간 협업을 통해 선제적인 대응을 해야 한다”라고 강조했다.

     

    * 사진 출처 : Pixabay 이미지(Public Domain) 재편집

     

    * 출처 : CSIS, North Korea knows how important its cyber attacks are, February 9, 2022; CISA, FBI and Teasury Release Advisory on North Korean State-Sponsored Cyber Actors Use of Maui Ransomware, July 6, 2022; CISA, North Korea Cyber Threat Overview and Advisories, July 12, 2022.

     

    저작권자ⓒ한국군사문제연구원(www.kima.re.kr)