[단독] 국정원 "러시아 해커그룹, 이랜드에 2700만 달러 요구"

김당 / 기사승인 : 2020-12-22 12:02:15
  • -
  • +
  • 인쇄
러시아 해커그룹, 최근 미국 정부기관 해킹 주범
2018년 평창올림픽 때도 북한 소행으로 위장 공격
국정원, 사이버안보에 예산 절반 할애해 집중 투자

지난달 이랜드 그룹의 사내 네트워크 시스템을 마비시켜 강남 NC백화점 등 일부 매장 영업을 중단시킨 랜섬웨어는 러시아의 해커 그룹에 의한 소행인 것으로 드러났다.

 

▲ 지난 11월 이랜드 그룹의 사내 네트워크 시스템을 마비시켜 강남 NC백화점 등 일부 매장 영업을 중단시킨 랜섬웨어는 러시아의 해커 그룹에 의한 소행인 것으로 드러났다. [셔터스톡]


랜섬웨어(ransomware)는 사용자 컴퓨터 시스템에 침투해 중요 파일에 대한 접근을 차단하고 금품(ransom)을 요구하는 악성프로그램으로 몸값을 뜻하는 'ransome'과 제품을 뜻하는 'ware'의 합성어이다.

 

정부의 고위 관계자에 따르면, 러시아 해커조직 '클롭(Clop)'은 메일에 악성코드가 내포된 첨부파일을 보내는 방법으로 기업 시스템을 공격해 데이터 일부를 암호화해 이를 봉쇄하고, 2700만 달러(한화 약 300억 원)의 거액을 요구했으나 국정원 사이버대응팀에서 조처해 해결했다.

 

이랜드 시스템이 이틀간 셧다운된 이후 사이버 보안업계를 인용해 시스템 마비가 러시아 해커조직의 공격으로 알려졌다는 보도가 나왔지만, 정부 고위 관계자에 의해 러시아 해커그룹의 소행임과 요구한 금액이 특정돼 확인되기는 처음이다.

 

북한과 러시아 같은 전체주의 국가에서는 해커조직이 정보기관과 직간접으로 연계돼 있는 것으로 알려졌다.

 

기업 시스템을 주요 공격 대상으로 삼는 클롭은 최근 기승을 부려온 랜섬웨어로 주로 워드(.doc), 엑셀(.xls) 등 파일에 첨부돼 이메일로 유포된다. 만약 사용자가 해당 악성 문서를 열면 PC 내 데이터 일부가 암호화돼 데이터가 잠기게 된다.

 

클롭 랜섬웨어는 이랜드그룹의 고객카드정보 약 200만건을 훔쳤다고 주장하며 처음 4000만 달러 상당의 비트코인을 요구했다. 비용을 지불하지 않으면 훔친 데이터를 다크웹에 풀겠다며 협상을 시도하는 과정에서 금액을 2700만 달러로 낮췄다는 것이다.

 

정부 고위 관계자는 "민간의 사이버수사 및 보안은 경찰(경찰청 사이버안전국)과 KISA(인터넷진흥원)에서 맡지만 민간이 해결하지 못하게 되면 국정원에 가져간다"면서 "이랜드 건도 민간의 의뢰로 국정원 사이버대응팀에서 보안조치를 했다"고 말했다. 

 

국정원 국가사이버안전센터는 국가 중요정보의 유출 및 국가 주요 정보통신서비스∙기반시설 대상 사이버 공격에 맞서 민관군 정보공유체계를 구축∙운영하면서 365일 24시간 사이버공격 예방활동은 물론, 탐지활동과 사고조사 및 위협정보 분석 활동을 하고 있다.

 

최근 미국에서는 미 정부기관에 이어 IT 기업 마이크로소프트사(MS)까지 대규모 해킹 공격이 확인돼 백악관이 국가안보회의(NSC)까지 소집하는 등 비상이 걸렸다. 지난 13일 미 백악관은 "외국 정부의 지원을 받는 그룹이 미국 재무부와 상무부 일부 기관을 해킹한 것을 인지하고 있다"고 밝혔다.

 

지금까지 확인된 피해 기관은 미 재무부와 상무부 산하 통신기관인 통신정보관리청(NTIA)를 비롯해 국무부, 국토안보부, 에너지부, 국립보건원 등이다. 심지어 미 핵무기 비축을 관리하는 핵안보국 전산망에도 해킹 시도가 있었던 것으로 전해졌다.

 

▲ 데이비드 보우디치 미 연방수사국(FBI) 부국장이 2020년 10월 19일 월요일 워싱턴 DC에서 기자회견을 위해 모습을 드러낸 가운데 수배된 6명의 러시아군 정보국(GRU) 장교 포스터가 전시돼 있다. 이 6명의 장교들은 컴퓨터 해킹과 관련해 피츠버그 대배심원에 의해 기소됐다. [Photo by Andrew Harnik/UPI]


그런데 마이크 폼페이오 미 국무장관은 최근 미 정부기관에서 확인된 대규모 해킹 공격의 배후로 러시아를 지목했다. 그는 해커들의 소속 등 구체적인 정보는 언급하지 않았지만 "정부 관리들은 해커들이 러시아 해외정보기관인 대외정보국(SVR)과 관련 있을 것으로 보고 있다"고 전했다. 

 

지난 19일(현지시간) 폼페이오 장관은 한 라디오 인터뷰에서 "미 정부 시스템 내부 코드를 노리고 타사의 소프트웨어를 이용한 상당한 시도가 있었다"면서 "이번 움직임에 러시아가 연루됐다는 것을 꽤 확실하게 말할 수 있다"고 말했다. 

 

이번 해킹의 주범으로는 '코지 베어(Cozy Bear)'라는 해커조직이 꼽힌다. 코지 베어는 팬시 베어(Fancy Bear)와 함께 러시아의 대표적 해킹그룹이다. 각 해킹그룹의 대표적 해커의 아이디에서 나온 이름들이다. 보안 업계에선 각각 'APT29'와 'ATP28'로 분류한다.

 

국정원에 따르면 한국에 대한 사이버 공격의 출처는 북한이 70% 정도로 압도적으로 많고, 그다음으로 중국이며, 러시아는 적은 편이다. 하지만 러시아는 2018년 평창 동계올림픽 당시 한국에 대한 사이버 위장공격을 감행해 전산망을 마비시켰다.

 

해킹으로 올림픽 운영 시스템이 멈추자 다들 북한을 먼저 의심했으나, 실제로는 러시아 샌드웜 팀(Sandworm Team)이 북한 소행으로 위장해 공격한 것이었다. 국제올림픽위원회(IOC)가 조직적 약물 복용을 이유로 러시아 국가대표팀의 참가 자격을 박탈한 데 대한 보복 차원이었다.

 

미 법무부는 해킹에 가담한 정보국(GRU) 장교 6명을 기소했다. 이들은 모두 샌드웜팀 소속으로 추정되었다.

 

▲ 미 국가정보국(DNI)은 지난해 의회에 낸 '세계 위협 분석(World Threat Assessment)' 보고서 표지. 러시아를 중국·이란·북한·테러집단과 함께 글로벌 사이버 위협으로 꼽았다. 


미 국가정보국(DNI)은 지난해 의회에 낸 '세계 위협 분석(World Threat Assessment)' 보고서에서 러시아를 중국·이란·북한·테러집단과 함께 글로벌 사이버 위협으로 꼽았다.

 

DNI는 보고서에서 "북한은 금융기관에 중대한 사이버 위협을 가하고 있다"면서 "평양의 사이버 범죄 활동에는 방글라데시 중앙은행의 뉴욕 연방준비은행 계좌에서 8100만 달러로 추정되는 성공적인 사이버 절도를 포함해 전 세계 금융 기관으로부터 11억 달러 이상을 훔치려는 시도가 포함돼 있다"고 지적했다.

 

하지만 러시아가 한국에 대한 전략적 이익이 크지 않기 때문에 한국에 대한 해킹을 덜 하는 것일 뿐, 러시아 해킹 능력은 북한보다 훨씬 더 뛰어난 것으로 알려졌다.

 

이와 관련 국정원 고위 관계자는 "지난달 27일 국회 정보위에도 보고했지만, 북한이 코로나 백신 관련해 국내 제약회사 5곳에 대한 해킹을 시도했지만 우리가 잘 막아 보안조치를 해줬다"면서 "국정원은 예산의 절반을 사이버 안전 분야에 할애할 만큼 사이버 안전에 만전을 기하고 있고 그 수준도 상당히 높다"고 강조했다.


UPI뉴스 / 김당 대기자 dangk@upinews.kr

[저작권자ⓒ UPI뉴스. 무단전재-재배포 금지]

  • 글자크기
  • +
  • -
  • 인쇄

핫이슈

2021. 4. 19. 0시 기준
114646
1801
104474