북한의 해킹 수법이 나날이 진화하고 있다. 전문 지식이 없는 이도 사이버 공격에 가담할 수 있는 ‘서비스형 랜섬웨어’(RaaS) 모델을 활용해 해킹 과정 일부를 외주화하는 등 사이버 공격 효율성과 정밀성을 높이고 있는 것으로 분석됐다. 최근 정부 시스템에 이어 국내 대표 보안기업 SK쉴더스까지 해킹 피해를 입은 가운데 국가 정보보호 체계에 대한 우려가 커지고 있다.
19일 보안 업계에 따르면 마이크로소프트는(MS)는 ‘2025 디지털 방어 보고서’를 통해 북한이 사이버 해킹을 하는 과정에서 서비스형 랜섬웨어 제휴자로 참여한 첫 사례를 확인했다고 최근 밝혔다.
랜섬웨어는 기업·기관 시스템에 침투해 데이터를 암호화하고 이를 빌미로 거액의 금전을 요구하는 사이버 공격 방식이다. 서비스형 랜섬웨어란 랜섬웨어를 하나의 서비스처럼 판매하는 모델을 뜻한다. 개발자가 해킹에 필요한 랜섬웨어를 대신 제작해 주기 때문에 비용만 지불한다면 기술력이나 전문지식이 없는 사람도 비교적 쉽게 해킹이 가능해지는 것이다.
MS는 “북한의 RaaS 방식으로의 전환은 랜섬웨어 공격 과정 일부를 외주화함으로써 내부 자원을 다른 침투 활동에 집중할 수 있도록 한다”며 “이는 북한의 랜섬웨어 공격 증가로 이어질 수 있다”고 관측했다.
실제 서비스형 랜섬웨어의 등장 이후 글로벌 랜섬웨어 공격이 급증하는 추세다. 랜섬웨어 추적 사이트 랜섬웨어닷라이브에 따르면 올해 전 세계 주요 랜섬웨어 그룹의 1~3분기 누적 공격 시도는 5717건으로 전년 동기 대비 약 36% 증가했다.
북한은 해킹 탐지 회피 기술도 고도화하고 있는 것으로 나타났다. MS는 “올해 북한 해커들이 클라우드 인프라를 이용해 C2(명령 및 제어) 인프라를 숨기는 사례도 파악했다”며 “이는 방어자들의 공격 탐지 및 차단을 더욱 어렵게 만드는 것으로 북한 사이버 공격 수법의 정교함이 발전하고 있다는 뜻”이라고 평가했다.
MS는 이와 함께 북한 해커들이 블록체인 기술, 암호화폐 관련 조직, 국방·제조업 등에 공격 초점을 맞추고 있다고 분석했다. 이날 구글 위협 인텔리전스 그룹 역시 북한 연계 해킹조직 ‘UNC5342’가 해킹 차단 시도를 사실상 무력화하는 블록체인 기반 신규 공격 기법을 활용해 암호화폐 탈취 및 민감 정보 수집을 시도한 정황을 포착했다고 밝혔다.
이에 반해 국내 보안 시스템은 여전히 허점투성이인 상황이다. 최근 SK쉴더스는 ‘허니팟’(해커 유인용 가짜 시스템)과 연결된 직원 이메일 계정을 통해 내부 업무 문서가 유출되는 사고를 겪었다. 고객사의 민감한 보안 데이터를 대량 보유·관리하는 보안 전문 기업까지 해커에게 역공을 당하면서 국내 보안 생태계 신뢰성에 큰 타격을 입었다는 평가가 나온다.
양윤선 기자 sun@kmib.co.kr