임종철 디자이너 /사진=임종철 디자이너

<이미지를 클릭하시면 크게 보실 수 있습니다>

우리나라와 미국의 방위산업, 항공우주, 핵, 엔지니어링 등 분야에 걸쳐 사이버 공작 활동을 펼쳐온 북한 해커그룹 안다리엘 소속 해커 '림종혁'이 미국 검찰에 의해 공개수배됐다. 북한의 사이버 공격 관련 제보에 대해 최대 1000만달러, 현재 환율 기준 약 139억원의 보상금도 내걸었다.

한국의 국가정보원과 검찰은 미국 FBI(연방수사국) 사이버사령부(CNMF) 사이버인프라보안청(CISA) 국가안보국(NSA) 등과 함께 공동 권고문을 내고 북한의 국가 배후 해킹으로부터 네트워크를 방어하고 보안 태세를 강화하는 데 경계를 늦추지 말 것을 당부했다.

지난 25일(현지시간) 미국 검찰은 미국의 의료기관과 NASA(미국 항공우주국), 미군 기지 등을 해킹한 북한 공격 그룹 안다리엘 소속 '림종혁'을 기소하고 공개수배했다. 구글 계열 보안기업 멘디언트는 안다리엘을 APT45라는 이름의 조직으로 명명하고 이들의 활동을 분석한 보고서를 최근 공개하기도 했다.

FBI와 맨디언트에 따르면 안다리엘은 2009년부터 활동해 온 조직이다. 오닉스슬릿(Onyx sleet) 스톤플라이(Stonefly) 사일런트천리마(Silent Chollima) 등 이름으로도 알려져 있다. 북한 정찰총국 3국과 연계된 해킹활동을 주로 벌여왔다. 한국과 미국 뿐 아니라 일본과 인도 등 방산, 항공우주, 핵, 해양 등 공학기술을 갖춘 곳이 안다리엘의 주된 타깃이었다. 코로나19 대유행 초기에는 안다리엘을 포함한 다수 북한 연계 조직들이 의료·제약 분야를 노렸다. 2017년부터는 정부와 방위산업에 집중했고 2019년에는 핵 관련 분야를 노렸다는 게 맨디언트의 분석이다.

2019년 인도의 쿠단쿨람 원자력 발전소가 안다리엘의 공격 대상이 됐다. 같은 해 9월에는 다국적 기업의 농업과학 부서가 타깃이었다. 첨단 농업 관련 기술 정보를 훔쳐와 식량 문제를 해결하려 했던 게 아니냐는 추측이 나왔다.

Log4j 등 기존 알려진 취약점을 공략해 웹 서버에 광범위한 공격을 가하고 중요 정보와 응용 프로그램에 접속해 추가적 공격을 가한다. 공격자는 시스템을 탐색 및 정보 수집하고, 작업 스케줄에 등록해 지속성을 유지하며, Mimikatz와 같은 자격증명 절취 도구를 사용하여 권한을 획득한다.

안다리엘은 MS 윈도우즈 바로가기 파일(LNK) 또는 HTML 애플리케이션(HTA) 스크립트 파일이 포함된 ZIP 압축파일(암호설정 옵션)을 피싱 작업시 첨부파일로 활용하기도 했다.

국정원과 FBI 등은 공동 권고문을 통해 Log4Shell 및 기타 Log4j 관련 취약점의 영향을 받는 자산을 식별하고, Log4j 자산과 영향을 받는 제품을 최신 버전으로 업그레이드할 것을 권고했다. 안다리엘 등 북한 연계 해킹 조직들이 이같은 취약점을 주로 활용하고 있기 때문이다. 또 △웹쉘 악성코드 모니터링을 강화하고 △취약하거나 잠재적으로 위험한 시스템을 리버스 프록시 후단에 배치해 인증을 거치도록 하며 △WAF(웹 애플리케이션 방화벽)을 구성 적용하고 △의심스러운 커맨드 명령을 모니터링하고 △원격 서비스에 대한 다중인증(MFA)을 구현하고 △보안 취약점 확인 및 최신 소프트웨어 업데이트 △중요 데이터 암호화 등 조치를 취할 것을 당부했다.

아울러 국정원과 FBI 등은 "한국·미국 정부는 피해자들이 북한 사이버 활동으로 추정되는 등 의심스러운 활동들을 신고하도록 독려하고 있다"며 "과거 또는 현재 진행 중인 활동을 포함하여 사이버 공간에서 북한의 불법 활동에 대한 정보를 제공하는 경우 보상받을 수 있다"고 밝혔다.

또 "사이버 공간에서 북한의 불법 활동에 대한 정보를 가지고 있는 경우 미국 국무부의 정의에 대한 보상 프로그램을 통해 정보를 제공하면 최대 1000만 달러의 보상을 받을 수 있다"고 했다.

황국상 기자 gshwang@mt.co.kr

ⓒ 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지