라자루스-가마레돈 인프라 공유 정황
APT 그룹 간 협력은 이례적
한반도 사이버 안보 새 국면
북한과 러시아의 사이버 범죄 조직이 기술과 인프라를 공유하며 협력하고 있는 정황이 포착됐다.
사이버보안 전문가들은 국가 차원에서 정교하게 운영되는 해킹 조직 간 협력은 사상 초유의 사건이라며 경계심을 높이고 있다.
서버 공유로 드러난 협력 정황
사이버보안 기업 젠디지털은 최근 보고서에서 북한의 해킹조직 라자루스와 러시아의 가마레돈이 악성코드 제어 서버를 공유하고 있는 것을 확인했다고 밝혔다.
젠디지털 분석가들은 가마레돈이 텔레그램 채널을 통해 운영하는 서버 중 하나에서 라자루스와 연관된 악성코드 버전을 발견했다. 7월 28일에는 두 조직이 공유 IP 주소를 통해 연결되는 정황도 포착됐다.
암호화폐 탈취로 악명 높은 라자루스는 북한 정찰총국과 연계돼 있으며, 미국 FBI는 2023년 이 조직이 온라인 카지노에서 4천100만 달러의 가상화폐를 훔친 혐의로 기소한 바 있다.
가마레돈은 2013년부터 우크라이나 정부 네트워크를 집중 공격해온 조직으로 러시아 연방보안국(FSB)과 연계된 것으로 알려져 있다.
APT 조직 간 협력의 의미
국가 연계 해킹 조직들이 서로의 악성코드를 배포하거나 인프라를 공유하는 경우는 극히 드물다.
젠디지털의 미할 살라트 위협정보담당이사는 “지능형지속위협(APT) 그룹 간 협력 사례는 본 적이 없다”며 “전례 없는 일”이라고 강조했다.
APT는 장기간에 걸쳐 특정 대상을 목표로 민감한 데이터를 훔치거나 시스템을 지속적으로 방해하는 고도화된 사이버 공격을 의미한다.
살라트 이사는 가마레돈이 암호화폐 탈취 기법으로 유명한 라자루스의 노하우를 연구하고 있을 가능성을 제기했다. 북한은 국제 제재로 외화 확보에 어려움을 겪고 있어 암호화폐 탈취가 중요한 자금원이 되고 있다.
안랩시큐리티인텔리전스센터에 따르면 북한 연계 APT 그룹들은 한국을 중심으로 외교, 금융, 기술, 언론, 정책 연구 분야를 겨냥한 고도화된 사이버 공격을 수행하고 있다.
최근에는 국내 언론사 직원을 사칭해 정책 연구소 인물을 겨냥한 스피어 피싱 공격도 확인됐다. 깃허브, 드롭박스 등 합법적인 플랫폼을 명령제어 서버로 악용하는 사례가 지속적으로 나타나고 있다.
군사 협력의 사이버 영역 확대
이번 발견은 우크라이나 전쟁을 계기로 협력관계를 강화해온 북한과 러시아가 사이버 영역으로까지 협력을 확대하고 있다는 신호로 해석된다.
북한은 우크라이나 전쟁에 자국군을 파병하고 컨테이너 6천700개 분량의 군사장비와 탄약을 러시아에 제공하는 등 군사 협력을 강화해왔다.
2024년 6월 푸틴 대통령과 김정은 위원장이 체결한 ‘포괄적인 전략적 동반자 관계에 관한 조약’은 일방이 무력침공을 받을 경우 타방이 군사적 원조를 제공하도록 규정하고 있다.
사이버 안보 전문가들은 북러 간 사이버 협력이 한반도 안보에 새로운 위협이 될 것으로 우려한다.
특히 북한의 암호화폐 탈취 기술과 러시아의 정부 네트워크 침투 노하우가 결합될 경우 국내 금융 시스템과 주요 기반시설이 표적이 될 수 있다는 분석이다.
국가정보원과 국방부는 북러 사이버 협력 동향을 예의 주시하며 대응 태세를 강화하고 있다.
한편 우크라이나 국방부 정보총국은 최근 북한이 자폭 드론 생산을 위해 노동자 수천 명을 러시아에 보낼 예정이라고 밝혀 북러 군사 협력이 다층적으로 확대되고 있음을 시사했다.
