지난 2주간 북한 관측통이 북한의 기이하면서도 엄격한 제한이 이루어지는 인터넷에서 북한 당국이 심각한 접속 오류를 다루는 듯한 상황을 포착하기 시작했다. 며칠 동안 고려항공의 항공편 예약 웹사이트부터 김정은 정권의 공식 포털인 내나라까지 악명 높은 고립 국가인 북한의 단 수십 개뿐인 웹사이트가 사실상 모두 지속적인 속 장애 상태가 되었다. 북한의 네트워크 접근을 허용하는 중앙 라우터 최소 1개가 전체적으로 마비돼 북한의 외부 세계와의 디지털 연결망에 장애가 발생했다.
일부 북한 관측통은 김정은 정권이 일련의 미사일 실험을 진행했을 뿐이며, 해외 정부 산하 해커 세력이 국제사회를 위협하는 행동을 중단하라는 메시지를 보낼 의도로 사이버 공격을 개시했을 가능성을 시사했다.
그러나 북한의 인터넷 장애는 미국 사이버 사령부(US Cyber Command)나 다른 국가 주도 해커 단체와 무관한 것으로 드러났다. 사실, 티셔츠에 잠옷 바지, 슬리퍼 차림으로 매일 밤 집 안 거실에 앉아 에일리언(Alien) 영화를 즐기면서 매운 옥수수콘 스낵을 즐기던 어느 한 미국 남성이 북한에 공격을 개시했다. 해커는 간혹 재택근무를 위한 책상에 들락거리며 한 국가의 인터넷 전체를 파괴할 의도로 실행하는 프로그램의 진전 상황을 확인했다.
약 1년 전, P4x라는 이름으로 알려진 개인 해커가 북한 정보기관의 사이버 공격 피해를 보았다. P4x는 서양의 수많은 보안 전문가를 겨냥해 해킹 툴과 소프트웨어 취약점 상세 정보를 탈취하고자 개시한 북한 해킹 프로그램의 피해자 중 한 명이었다. P4x는 그동안 보유한 귀중한 정보 단 하나도 북한 해커의 손에 넘어가지 않도록 막는 데 간신히 성공했다고 밝혔다. 그러나 북한 정부 산하 해커 세력이 자신을 개인적으로 공격한 것처럼 깊은 분노를 느꼈다. 또, 미국 정부의 눈에 띄는 대응이 없다는 점에도 화가 치밀어 올랐다.
결국, P4x는 1년간 분노를 삭힌 뒤 직접 보복하기로 결정했다. P4x는 “북한에 보복하는 것이 옳은 일이라고 생각했다. 미국이 사이버 보안에 대응할 힘이 없다고 생각한다면, 그 힘을 유지하려 노력해야 한다”라며, “북한이 미국을 공격한다면, 북한 내 일부 기반 시설이 한동안 마비된다는 사실을 똑똑히 알려주고 싶었다”라고 밝혔다. (P4x는 와이어드에 북한을 공격한 이유를 설명하며, 자신이 공격자임을 입증할 화면 녹화 기록을 공유했다. 다만, 검찰 기소나 보복을 우려해 실명 공개를 거부했다.)
P4x는 북한 시스템에서 이미 알려졌으나 패치 작업이 이루어지지 않은 취약점을 다수 발견해, 이를 이용하여 단독으로 북한의 얼마 되지 않는 인터넷 연결망이 의존하는 서버와 라우터에 서비스 거부(DoS) 공격을 개시했다. P4x는 북한이 공격을 방어하는 데 도움이 될 수 있다고 생각하여 그동안 발견한 취약점 대부분을 공개하지 않았다. 그러나 한 가지 예시로 특정 HTTP 헤더를 제대로 다루지 못한 웹 서버 소프트웨어 NginX에서 이미 알려진 버그를 언급했다. NginX의 버그를 이용해 소프트웨어 운영 서버 과중과 함께 오프라인 상태로 전환되도록 하였다. 이어, P4x는 웹 서버 소프트웨어 아파치(Apache)의 고전 버전에서도 취약점을 발견한 사실을 암시하며, 북한 자체 개발 운영체제인 붉은별OS(Red Star OS)를 검증하기 시작했다. P4x는 붉은별OS가 매우 오래된 운영체제이며, 보안이 취약한 리눅스와 같다고 설명했다.
[사진=Pixabay]
P4x는 북한 시스템 공격 대부분 자동화하였으며, 주기적으로 시스템을 온라인 상태로 유지한 뒤 취약점을 악용해 접속 장애를 일으키도록 나열한 스크립트를 실행했다. P4x는 지난 몇 년간 고객사 네트워크의 보안 취약점을 발견하는 데 사용한 화이트해킹 작업인 ‘침투 시험’을 언급하며, “북한 시스템 공격은 중소기업 침투 시험과 다를 바 없었다. 북한에 실제로 어느 정도 영향을 준 사이버 공격을 손쉽게 개시할 수 있다는 사실이 꽤 흥미롭다”라고 말했다.
“미국이 사이버 보안에 대응할 힘이 없다고 생각한다면, 그 힘을 유지하려 노력해야 한다.”
P4x, 해커
P4x가 사용한 것과 같이 상대적으로 간단한 해킹 수단을 사용하면 즉각적으로 효과를 볼 수 있다. 가동 시간 측정 서비스인 핑덤(Pingdom)의 기록에 북한의 거의 모든 웹사이트를 차단한 P4x의 해킹 몇 가지 요소가 담겨있다. (우리민족끼리 등 북한의 일부 웹사이트는 북한이 아닌 다른 곳에 서버를 두고 있어, 대규모 접속 장애 당시에도 접속이 가능했다.) 북한 인터넷 관찰을 담당하는 사이버 보안 연구원인 주나드 알리(Junade Ali)는 2주 전부터 북한 인터넷에서 의문스러운 대규모 공격을 관찰하기 시작했으며, 이후 공격 배후 세력이 누구인지 알지 못한 채로 북한 인터넷 문제를 면밀히 추적했다.
알리는 당시 북한의 핵심 라우터가 차단돼 북한 웹사이트는 물론이고 이메일과 다른 인터넷 기반 서비스 모두 접속 장애가 발생했다고 전했다. 알리는 “라우터 장애가 발생하면서 말 그대로 북한으로 데이터를 전송할 수 없었다”라며, “그 결과, 인터넷 전체 마비 상태가 북한에 심각한 영향을 미쳤다”라고 설명했다. (P4x는 북한 내 호스팅이 제공되는 모든 웹사이트와 해외에서 접근하는 해외의 호스팅된 서비스 접근을 차단했지만, 북한에서 다른 국가로 전송하는 인터넷 접근은 막지 않았다고 기록했다.)
가명을 사용하는 개인 해커가 국가 전체에 타격을 줄 수 있는 수준의 규모로 인터넷 접속 장애를 유발한 사례가 매우 이례적인 만큼 P4x의 공격이 북한 정부에 실제 미친 영향은 확실하지 않다. 국책연구소 스팀슨 센터(Stimson Center)의 북한 집중 연구 프로젝트인 38 노스 프로젝트(38 North Project) 소속 연구원인 마틴 윌리엄스(Martyn Williams)는 북한 인민 중 극소수만이 인터넷 연결 시스템에 접속하기 시작했다고 전했다. 북한 주민 대부분 북한의 연결 장애가 발생한 인트라넷에 전혀 접근할 수 없었다. 윌리엄스는 P4x가 반복하여 차단한 웹사이트 수십 곳 대부분 선동 광고 유포와 국제 사회 방문자를 겨냥한 여러 기능에 사용하는 웹사이트라고 설명했다.
윌리엄스는 북한 정부 산하 주요 웹사이트 마비가 김정은 정권의 일부 관료의 분노를 유발한 것은 확실하지만, 1년 전 P4x를 공격한 해커 집단 대부분 다른 여러 국가의 정부 산하 해커와 마찬가지로 중국 등 다른 국가에 있다는 사실에 주목했다. 윌리엄스는 “만약, 1년 전 공격을 개시한 해커 세력을 표적으로 삼고자 했다면, 공격 집중 대상을 잘못 정했다. 단순히 북한의 분노를 유발할 의도였다면, 꽤 성공적이었다”라고 평가했다.
P4x는 북한 정권의 분노 자극은 성공적이었지만, 인터넷에 접속하지 못해 불편함을 겪은 대다수 북한 주민을 공격 대상으로 삼을 의도는 전혀 없었다고 밝혔다. 그는 “최소한의 인원만 대상으로 하여, 북한 정부 관계자에게만 최대한의 타격을 주려 했다”라고 말했다.
P4x는 자신의 공격이 정부 배너나 건물 외관 훼손 수준의 피해만 주었다는 점을 인정했다. 그러나 이번 해킹이 지금까지 취약점 발견 테스트와 조사에 초점을 두었다고 덧붙였다. 지금은 실제 북한 시스템을 해킹해 북한 관련 사이버 정보를 탈취하고는 여러 전문가와 공유할 계획이라고 밝혔다. 그와 동시에 1월 31일(현지 시각) 자로 개설한 다크웹사이트 FUNK 프로젝트(FUNK Project, ‘FU 북한 프로젝트’)를 통해 자신과 같은 뜻이 있는 해커를 추가로 모집해 더 강력한 집단 공격을 개시하고자 한다고 말했다.
FUNK 프로젝트 웹사이트에는 “FUNK 프로젝트는 북한의 정직함을 위한 프로젝트이다. 한 개인이 변화를 줄 수 있다. 목표는 북한이 서양 국가를 겨냥한 해킹을 철저히 견제하지 않도록 공격이 발생할 때마다 보복 공격을 개시하며 정보를 수집하는 것이다”라는 설명이 작성됐다.
P4x는 자신의 해킹 노력이 북한 정부는 물론이고, 자기 자신에게도 메시지를 보낼 의도가 있다고 말했다. P4x의 북한 네트워크를 겨냥한 사이버 공격은 미국 시민 개인을 공격 대상으로 삼은 북한에 대한 미국 정부의 대응 부재에 주목하도록 하기 위한 부분적인 의도도 담겨있다. 그는 “함께 북한을 공격할 이가 아무도 없다면, 혼자 공격을 이어갈 것이다”라고 말했다.
P4x는 2021년, 북한 해커 세력의 공격을 당했던 순간을 정확히 기억한다. 2021년 1월 말, P4x는 어느 한 해커에게서 해킹 툴이라는 설명이 작성된 파일을 받았다. 단 24시간 만에 북한 해커 세력이 수많은 보안 연구원을 공격 표적으로 삼았다는 구글 위협 분석 그룹(Google Threat Analysis Group)의 블로그 게시글을 발견했다. P4x가 낯선 해커에게서 받은 해킹 툴을 검증했을 때, 컴퓨터에서 원격 거점 확보 목적으로 설계된 백도어가 포함된 사실을 발견했다. P4x는 가상 기기에서 악성 파일을 열고는 자신의 다른 시스템과 디지털 격리 작업을 진행했다. 정보 유출 피해는 막았지만, 북한 정부가 자신을 개인적으로 공격 대상으로 삼았다는 사실을 깨닫고는 충격을 받고 탄식하였다.
P4x는 공격에 대응한 뒤 미국 연방수사국(FBI)에 공격 발생 사실을 알렸으나 북한의 해킹 피해를 평가하거나 추후 공격의 보호 방법 등 실질적인 도움을 전혀 받지 못했다. P4x는 자신을 공격한 해커 세력의 공격 여파나 북한의 공격 관련 공개 조사 착수 소식, 미국 정부 기관이 북한 소행의 사이버 공격 발생 사실을 인지했다는 소식 중 어떠한 소식도 듣지 못했다. P4x는 당시 공격을 당한 사이버 보안 전문가의 편은 아무도 없었다고 느끼기 시작했다고 전했다.
와이어드가 FBI에 미국 보안 연구원을 겨냥한 북한의 해킹 공격 관련 대응을 묻자 다음과 같은 공식 성명을 보냈다. “위협 대응 선도 기관인 FBI는 공공 부문과 민간 부문의 의심스러운 활동이나 침입 보고에 의존하며, 문제를 확실히 파악하기 위해 협력하면서 다른 피해자 발생 방지에 대응하면서 사이버 보안에 책임을 진다. FBI는 해커 조직과 사이버 공격의 배후에 있는 국가를 계속 쫓고 있으며, 지식 재산권 탈취 행위나 위협 행위를 일절 용납하지 않는다.”
P4x는 국가 주도 사이버 감시 행위 피해 대상이 된 후 1년 가까이 긴 시간 동안 다른 여러 프로젝트 작업에 참여했다. 그러나 북한의 공격 발생 후 1년이 지났으나 여전히 연방 정부는 보안 연구원을 겨냥한 공격에 대한 공식 성명 혹은 개인적으로 서한을 전혀 보내지 않았다. 또, 미국 정부 기관 중 피해 관련 지원을 한 곳은 단 한 곳도 없다. 이에, P4x는 북한 정부와 미국 정부에 동시에 홀로 직접 메시지를 보내기로 결심했다.
그러나 북한의 공격 대상이 된 다른 여러 해커 모두 P4x의 해킹 작전이 공식 메시지를 보낼 올바른 수단이라고 동의하지는 않는다. 전직 미국국가안정보장국(NSA) 소속 해커이자 보안 기업 이뮤니티(Immunity) 창립자인 데이브 에이텔(Dave Aitel)도 P4x와 비슷한 수법으로 북한의 사이버 공격 피해를 당했다. 그러나 미국 보안 연구원을 겨냥한 북한 컴퓨터를 대상으로 비밀리에 갑작스러운 공격을 개시하고자 하는 정보기관의 노력에 방해가 되었을 수도 있다는 점을 고려하면, P4x가 북한 해커 세력과 똑같은 수준의 피해를 줄 생산적인 접근방식을 취했는지 의문이라는 견해를 전했다.
에이텔은 “북한 사이버 공격 세력의 기기에 이미 접근한 실제 서양 정보기관의 노력에 지장을 주려 하지 않았을 것이다. 북한 정부 컴퓨터에 실질적으로 가치 있는 정보가 없다고 추측하기 때문이다”라고 말했다.
하지만 북한의 사이버 공격에 대한 미국 정부의 대응이 부족하다는 점에는 동의했다. 에이텔은 사이버 공격과 관련, 단 한 번도 정부 기관의 연락을 받은 적이 없으며, 특히 북한의 공격에 침묵으로 일관한 것은 사이버보안 인프라 보안국(CISA)의 탓이라고 비난했다. 에이텔은 “이번 일은 CISA가 떨어뜨린 가장 큰 폭탄이다. 미국은 정부 보호 능력이 우수하며, 기업 보호 능력도 양호한 편이다. 그러나 개인은 전혀 보호하지 않는다”라고 비판했다. 이어, 북한의 사이버 공격 표적이 된 보안 연구원 대부분 소프트웨어 취약점과 기업 네트워크, 널리 사용되는 툴의 코드 등에 대대적으로 접근했을 확률이 높다는 점에 주목했다. 에이텔은 결과적으로 미국 정부 차원의 아무 대응이 없었던 북한의 사이버 공격이 제2의 솔라윈즈 사태가 되었다고 말했다.
와이어드가 CISA에 연락하자, CISA 대변인은 공식 성명을 통해 “CISA는 악의적인 사이버 공격 세력의 활동 감지와 보호 측면에서 사이버 보안 관계자 지지에 헌신한다”라며, “북한 사이버 공격 피해 대응 작업의 부분적인 노력으로 북한의 공격 대상이 된 사이버 보안 연구원 모두 미국 정부 기관에 연락하여 최대한의 지원이 이루어지도록 협조할 것을 독려한다”라고 전했다.
P4x는 미국 정부 비판 이외에도 북한을 겨냥한 공격의 주된 목표는 김정은 정권을 향해 경고의 메시지를 보내는 것이라고 밝혔다. 그는 김정은 정권이 극도의 분노를 불러일으키는 인권 탄압을 자행하면서 북한 주민을 전면 장악한다고 비판했다. P4x는 자신의 공격 행위가 미국 컴퓨터 사기 및 해킹법 위반 사항에 해당한다는 사실을 인정하지만, 윤리적으로 전혀 잘못된 행위가 아니라고 주장했다. 그는 “개인적으로 지닌 신념만큼은 분명하다”라고 강조했다.
북한 인터넷 기반 시설을 겨냥한 사이버 공격의 최종 목표는 무엇일까? 공격은 언제 끝날까?
P4x는 웃으며 “최종 목표는 정권 교체이다. 아니다. 농담이다”라며, “그저 논점을 이해하도록 하고자 한다. 공격을 멈출 때까지 북한의 사이버 공격 관련 사안의 논점을 직접 입증하는 것을 원한다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202202/3714_4954_4014.jpg)
뉴스레터 신청