북한이 한국을 포함해 전 세계 기관과 주요 기업 등을 대상으로 전방위 해킹 공격을 하는 등 사이버 공격 능력을 대폭 증강해 국제 사회를 위협하고 있다고 미국의 주요 언론이 사이버 보안업체인 파이어아이(FireEye) 등의 보고서를 인용해 20일(현지시간) 보도했다.

파이어아이는 ‘리퍼’(Reaper)로 불리는 북한의 해커 조직이 한국의 공공기관, 군사, 민간 기업 등으로 대상으로 해킹했으나 이제는 그 대상을 일본, 베트남, 중동 등으로 확대했다고 밝혔다.

이 해커 조직은 특히 사이버 공격을 한 뒤 의도적으로 흔적을 지우지 않음으로써 국제 사회의 대북 제재 속에서 북한이 사이버 공격을 강화하고 있다는 사실을 숨기지 않았다고 월스트리트 저널(WSJ)이 지적했다.

북한의 해커 조직은 특히 인터넷에 연결돼 있지 않은 컴퓨터에서도 정보를 빼가는 놀라운 실력과 첨단 기술로 무장돼 있다고 파이어아이가 강조했다.

북한은 국제 보안업체가 ‘래저러스’(Lazarus)라고 명명한 해커 조직을 통해 2014년에 소니 픽처스 해킹, 2017년에 워너크라이 랜섬웨어 공격을 한 것으로 알려졌다.

래저러스는 전 세계에 해커를 두고 있는 것과는 달리 리퍼는 평양에만 거점을 두고 있다고 파이어아이가 밝혔다.

파이어아이는 리퍼가 각국 정부 기관과 기업들을 공격 대상으로 삼고 있고, 특히 포춘 500대 기업에 속하는 한국의 주요 대기업을 겨냥했었다고 밝혔다.

CNN은 삼성전자, 현대, LG 전자 등이 포춘 500대 기업이라고 지적했다.

그러나 LG 전자는 그런 사이버 공격 사실을 알지 못한다고 밝혔고, 삼성전자와 현대는 입장을 밝히지 않았다고 CNN이 전했다.

한국의 보안 전문가들은 북한의 해커 조직을 래저러스로 불리는 A팀, 리퍼로 불리는 B팀과 이메일 및 정보 수집을 전담하는 C팀으로 구분하고 있다고 WSJ이 전했다.

파이어아이는 이날 공개한 보고서에서 북한의 해킹 조직인 ‘APT 37’이 정교한 사이버 공격을 하면서 공격 범위를 대폭 확대하고 있다고 밝혔다.

또 다른 보안업체인 ‘크라우드스트라이크’는 "APT 37의 악성 프로그램이 매우 정교하기 때문에 인터넷으로 연결돼 있지 않은 네트워크에서도 문서를 훔쳐갈 수 있고, 정부, 군대, 금융, 에너지, 전기사업 분야를 주요 공격 대상으로 삼고 있다"고 밝혔다.

보안업체들은 ATP 37이 북한에서 전화 서비스 사업을 하던 중동 회사, 유엔의 대북 제재 및 인권 관련 사업과 연계된 일본의 한 단체, 베트남 무역회사의 임원, 자문위원, 연구원 등 다양한 기관과 개인을 표적으로 삼았다고 강조했다.

또 북한 인권 문제를 보도한 언론인도 공격 대상으로 삼은 것으로 드러났다.

크라우드스트라이크에 따르면 정보 탈취를 주로 맡아온 APT 37은 래저러스의 하부 조직 3곳 중 하나로 ‘미로 천리마(Labyrinth Chollima)’라고도 불리며 나머지 2개의 하위 조직은 ‘침묵의 천리마(Silent Chollima)’와 ‘별똥 천리마(Stardust Chollima)’이다.

워싱턴=국기연 특파원 kuk@segye.com