세계의 은행 강도라 불리며 악명을 떨치고 있는 북한 해커들이 최근 코로나19 백신 정보 등 헬스케어 분야로 눈을 돌리고 있다. 벤 리드 파이어아이 맨디언트 위협정보 분석 담당 디렉터는 본지 서면 인터뷰에서 “북한이 헬스케어와 코로나19 백신 정보를 찾고 있는 것으로 관찰된다”고 했다.
|
글로벌 사이버 보안 기업 파이어아이는 일반인에게는 다소 생소하지만, 보안 업계에서는 모르는 이가 없는 회사다. 이 회사가 끈질기게 추적하고 있는 해커 조직만 해도 1900여 개에 달한다. 지난 5월 랜섬웨어 공격을 받아 가동이 중단됐던 미 최대 송유관 회사 콜로니얼 파이프라인의 사건을 분석하고 대응한 곳도 파이어아이다.
◇전세계 해커 손끝, 헬스케어로 향해
벤 리드 디렉터는 보안을 뚫기 위해 미끼로 쓰는 콘텐츠나 타깃으로 삼은 데이터 등을 근거로 북한 해커 조직이 헬스케어와 코로나19 백신 정보를 노린다고 봤다. 그는 “피해자 데이터를 구체적으로 언급할 순 없지만, 코로나19와 관련된 여러 단체들을 상대로 한 ‘스피어 피싱’ 공격을 다수 포착해냈다”고 말했다.
북한은 아직 코로나 백신 접종도 시작하지 않은 상태로 전해진다. 이런 가운데 북한 해커 조직의 공격 대상이 금전, 군사 정보에서 코로나 백신 등 의료 정보까지 확대되고 있는 것이다.
실제로 국내에서도 지난 6월 서울대학교병원이 ‘김수키’로 알려진 북한 해커 조직에 해킹 공격을 당해 일부 개인정보를 유출한 것으로 알려졌다. 프레드 플랜 맨디언트 위협 인텔리전스 선임분석관은 “김수키는 중국 해커 조직 ‘APT 41’와 함께 가장 빈번하고 지속적으로 사이버 스파이 위협을 가하는 조직”이라고 했다.
북한뿐만이 아니다. 코로나 사태가 터진 뒤 전 세계 해커 조직의 손끝은 헬스케어 분야로 더 많이 향하고 있다. 파이어아이가 올해 내놓은 ‘M-트렌드’ 보고서에 따르면 헬스케어는 지난해 세 번째로 공격을 많이 받은 분야로 조사됐다. 1년 전만 해도 헬스케어는 표적 빈도 순위 8위였으나, 다섯 단계가 상승해 3위로 올라선 것이다. 1위는 서비스 기업, 2위는 숙박업이었다.
◇금전 목적 해커들, 韓 공격 선호
금전적 목적을 가진 해커들이 가장 많이 노리는 국가가 한국이라는 지적도 나왔다. 프레드 플랜 선임분석관은 “최근의 활동 빈도로 살펴본 결과, 금전적 목적의 해커 조직이 한국을 가장 많이 노렸다”며 “현재 한국은 경제 강세와 기술 집약적 인구로 인해 심각한 사이버 위협 활동에 직면해 있다”고 평가했다. 돈이 된다고 여긴다는 얘기다.
이들은 주로 자격 증명을 도용하거나 랜섬웨어(데이터를 암호화한 뒤 몸값을 요구하는 범죄 수법) 공격을 시도한다. 파이어아이가 ‘FIN11’이라 명명하는 해커 조직이 한국을 노리는 대표적인 집단이다. 주로 판매관리시스템(POS)에 악성코드를 심던 이들은 근래 랜섬웨어로 수익화에 나서고 있다.
상대를 효과적으로 위협하기 위해 수차례에 걸쳐 대규모 공격을 수행하는 북한은 경계대상 1호다. 벤 리드 디렉터는 “북한은 러시아, 중국의 해커 조직만큼 전 세계적으로 활동하고 있진 않지만 목표로 삼는 업계와 지역, 국가에서 집중적으로 공격을 수행한다”고 했다.