림종혁 공개수배 내건 미국…"북한 해킹 제보, 보상금 139억" > IT/과학기사 | it/science

[머니투데이 황국상 기자]

임종철 디자이너 /사진=임종철 디자이너

우리나라와 미국의 방위산업, 항공우주, 핵, 엔지니어링 등 분야에 걸쳐 사이버 공작 활동을 펼쳐온 북한 해커그룹 안다리엘 소속 해커 림종혁이 미국 검찰에 의해 공개수배됐다. 북한의 사이버 공격 관련 제보에 대해 최대 1000만달러, 현재 환율 기준 약 139억원의 보상금도 내걸었다.

한국의 국가정보원과 검찰은 미국 FBI연방수사국 사이버사령부CNMF 사이버인프라보안청CISA 국가안보국NSA 등과 함께 공동 권고문을 내고 북한의 국가 배후 해킹으로부터 네트워크를 방어하고 보안 태세를 강화하는 데 경계를 늦추지 말 것을 당부했다.

지난 25일현지시간 미국 검찰은 미국의 의료기관과 NASA미국 항공우주국, 미군 기지 등을 해킹한 북한 공격 그룹 안다리엘 소속 림종혁을 기소하고 공개수배했다. 구글 계열 보안기업 멘디언트는 안다리엘을 APT45라는 이름의 조직으로 명명하고 이들의 활동을 분석한 보고서를 최근 공개하기도 했다.


FBI와 맨디언트에 따르면 안다리엘은 2009년부터 활동해 온 조직이다. 오닉스슬릿Onyx sleet 스톤플라이Stonefly 사일런트천리마Silent Chollima 등 이름으로도 알려져 있다. 북한 정찰총국 3국과 연계된 해킹활동을 주로 벌여왔다. 한국과 미국 뿐 아니라 일본과 인도 등 방산, 항공우주, 핵, 해양 등 공학기술을 갖춘 곳이 안다리엘의 주된 타깃이었다. 코로나19 대유행 초기에는 안다리엘을 포함한 다수 북한 연계 조직들이 의료·제약 분야를 노렸다. 2017년부터는 정부와 방위산업에 집중했고 2019년에는 핵 관련 분야를 노렸다는 게 맨디언트의 분석이다.

2019년 인도의 쿠단쿨람 원자력 발전소가 안다리엘의 공격 대상이 됐다. 같은 해 9월에는 다국적 기업의 농업과학 부서가 타깃이었다. 첨단 농업 관련 기술 정보를 훔쳐와 식량 문제를 해결하려 했던 게 아니냐는 추측이 나왔다.

Log4j 등 기존 알려진 취약점을 공략해 웹 서버에 광범위한 공격을 가하고 중요 정보와 응용 프로그램에 접속해 추가적 공격을 가한다. 공격자는 시스템을 탐색 및 정보 수집하고, 작업 스케줄에 등록해 지속성을 유지하며, Mimikatz와 같은 자격증명 절취 도구를 사용하여 권한을 획득한다.

안다리엘은 MS 윈도우즈 바로가기 파일LNK 또는 HTML 애플리케이션HTA 스크립트 파일이 포함된 ZIP 압축파일암호설정 옵션을 피싱 작업시 첨부파일로 활용하기도 했다.

국정원과 FBI 등은 공동 권고문을 통해 Log4Shell 및 기타 Log4j 관련 취약점의 영향을 받는 자산을 식별하고, Log4j 자산과 영향을 받는 제품을 최신 버전으로 업그레이드할 것을 권고했다. 안다리엘 등 북한 연계 해킹 조직들이 이같은 취약점을 주로 활용하고 있기 때문이다. 또 △웹쉘 악성코드 모니터링을 강화하고 △취약하거나 잠재적으로 위험한 시스템을 리버스 프록시 후단에 배치해 인증을 거치도록 하며 △WAF웹 애플리케이션 방화벽을 구성 적용하고 △의심스러운 커맨드 명령을 모니터링하고 △원격 서비스에 대한 다중인증MFA을 구현하고 △보안 취약점 확인 및 최신 소프트웨어 업데이트 △중요 데이터 암호화 등 조치를 취할 것을 당부했다.

아울러 국정원과 FBI 등은 "한국·미국 정부는 피해자들이 북한 사이버 활동으로 추정되는 등 의심스러운 활동들을 신고하도록 독려하고 있다"며 "과거 또는 현재 진행 중인 활동을 포함하여 사이버 공간에서 북한의 불법 활동에 대한 정보를 제공하는 경우 보상받을 수 있다"고 밝혔다.

또 "사이버 공간에서 북한의 불법 활동에 대한 정보를 가지고 있는 경우 미국 국무부의 정의에 대한 보상 프로그램을 통해 정보를 제공하면 최대 1000만 달러의 보상을 받을 수 있다"고 했다.

황국상 기자 gshwang@mt.co.kr

ⓒ 머니투데이 amp; mt.co.kr, 무단 전재 및 재배포 금지