>
연구(Insikt)

북한은 미치지 않았습니다

게시일: 2017년 6월 15일
작성자: Insikt Group

insikt-group-logo-alt.png

북한의 사이버 활동을 이해하려면 의도가 매우 중요합니다.

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

북한의 국가 목표, 국가 조직, 군사 전략에 대한 이해는 북한의 사이버 활동 귀속을 논의하는 데 있어 핵심적인 요소이지만 종종 논의에서 누락되기도 합니다. 고위 정치 지도자, >사이버 보안 전문가, 외교관들은 종종 북한 지도자나 그들의 행동을 "미쳤다", "비정상적", "이성적이지 않다"고 묘사합니다. 그렇지 않습니다. 북한의 군사 전략, 국가 목표, 안보 인식이라는 렌즈를 통해 살펴볼 때 사이버 활동은 북한의 더 큰 접근 방식에 해당합니다.

레코디드 퓨처의 연구에 따르면 북한 사이버 공격자들은 미치거나 비이성적인 것이 아니라 다른 정보기관보다 작전 범위가 더 넓을 뿐입니다.

이 범위에는 불법 마약 제조 및 판매, 위조 화폐 제작, 폭탄 테러, 암살 시도 등을 포함한 광범위한 범죄 및 테러 활동이 포함됩니다. 미국 국가안보국(NSA) 4월 워너크라이 랜섬웨어 공격이 북한의 정보기관인 정찰총국(RGB)의 소행이라고 밝혔습니다. 랜섬웨어를 사용하여 국가 자금을 조달하는 것은 북한의 비대칭 군사 전략과 '자체 자금 조달' 정책 모두에 해당하며 정보 기관의 광범위한 작전 권한에 속한다고 평가합니다.

배경

북한-북한-사이버활동-1.gif

조선민주주의인민공화국 (DPRK 또는 북한)은 조선노동당(KWP)과 군대인 조선인민군 (KPA)의 리더십을 보존하기 위해 국가, 정당 및 군사 조직을 갖춘 세습적 아시아 군주제 국가입니다.

'586부대'로도 알려진 정찰총국(RGB)은 2009년에 여러 국가, 군대, 당 정보 기관의 대대적인 개편을 거쳐 설립되었습니다. 이후 KPA의 예하 기관으로, 북한의 대외 정보기관으로서 뿐만 아니라 비밀 작전의 중심지로 부상했습니다. RGB와 그 전신 조직은 1950년대 후반부터 시작된 일련의 폭탄 테러, 암살 시도, 납치, 납치 사건은 물론 마약 밀수 및 제조, 위조, 파괴적인 사이버 공격 등 수많은 범죄 행위에 책임이 있는 것으로 알려져 있습니다.

북한-북한-사이버활동-2.png

평양에 있는 RGB 남부 작전 건물의 위성 이미지. (출처)

북한의 비밀 작전을 주도하는 정찰총국은 사이버 작전의 주요 조직이기도 합니다. 2015년 전략국제문제연구소의 보고서에서 설명한 대로입니다:

RGB는 북한 정보, 특공대, 사보타주 작전의 중심지입니다. 북한 지도부와 구성 부품의 RGB 이력은 북한 외부에서 수행되는 불법적이고 은밀한 활동을 위한 원스톱 상점의 그림을 그려줍니다. RGB와 그 구성 부품은 2009년 이전에는 해상 투입 특공대 급습부터 납치, 스파이 활동까지 모든 일에 관여했습니다. RGB가 사이버 자산을 통제하고 있다는 것은 북한이 이러한 자산을 도발적인 목적으로 사용하려는 의도가 있음을 나타냅니다.

RGB는 6개의 기존 국과 2013년 이후에 추가된 것으로 보이는 새로운 7번째 국(121국)으로 총 7개의 국으로 구성되어 있을 것입니다.

북한-북한-사이버활동-3.png

코리아 헤럴드, 38노스, CSIS의 정보를 바탕으로 작성된 RGB 조직도.

121국이 북한의 주요 사이버 작전 부서일 가능성이 높지만, 정찰총국과 국가보위부 내에도 사이버 작전을 수행할 수 있는 다른 부서가 있습니다.

특정 사이버 활동을 북한 국가나 정보 조직에 귀속시키는 것은 어렵고 최근까지만 해도 정황에 의존했습니다. 6월 12일, US-CERT는 "북한 정부의 사이버 행위자들이 미국 및 전 세계의 미디어, 항공우주, 금융, 주요 인프라 부문을 표적으로 삼기 위해 사용하는 도구와 인프라"에 대한 미국 국토안보부(DHS)와 FBI의 분석을 요약한 공동 기술 경보를 발표했습니다.

이 경고는 미국 정부가 오랫동안 북한의 국가 지원 행위자들이 활용하는 것으로 의심되는 위협 행위자 그룹과 멀웨어를 북한 정부 자체와 연계한 첫 번째 사례입니다. DHS와 FBI는 라자루스 그룹과 평화의 수호자라는 두 개의 위협 행위자 그룹과 데스토버, 와일드 포지트론/듀저, 행맨이라는 세 가지 도구를 북한 정부에서 사용하는 것으로 명시적으로 확인했습니다. FBI와 DHS는 많은 침해 징후, 야라 규칙 및 네트워크 서명을 확인했지만, 보고서에는 북한 정부에 대한 귀속을 뒷받침하는 증거나 어떤 조직이나 부대가 책임이 있는지에 대한 세부 정보는 제공하지 않았습니다.

현재 북한의 국가 지원을 받는 것으로 알려진 라자루스 그룹은 적어도 2009년부터 마이둠 웜을 이용해 미국과 한국의 웹사이트를 대상으로 디도스 공격을 감행해 왔습니다. 2015년 말까지 라자루스 그룹의 사이버 활동은 주로 한국과 미국의 정부금융 기관에 집중되었으며, 2013년에는 한국의 은행 및 미디어 부문에 대한 파괴적인 공격, 2014년에는 소니 픽처스 엔터테인먼트에 대한 공격으로 세간의 주목을 받았습니다.

북한-북한-사이버활동-4.png 2009년 이후 라자루스 그룹의 사이버 운영 타임라인.

2016년 초, 방글라데시 중앙은행을 대상으로 한 비정상적인 작전에서 새로운 활동 패턴이 나타나기 시작했습니다. 공격자들은 방글라데시 중앙은행의 합법적인 은행 간 메시징 시스템인 SWIFT 자격 증명을 획득하고 이를 사용하여 은행 자금 중 9억 5,100만 달러를 전 세계 계좌로 이체하려고 시도했습니다. 공격자들의 몇 가지 단순한 실수와 운이 좋았던 덕분에 중앙 은행들은 대부분의 자금 이체를 막거나 회수할 수 있었지만, 공격자들은 결국 8,100만 달러에 가까운 돈을 빼돌렸습니다.

미국 국가안보국(NSA)은 방글라데시 중앙은행에 대한 이번 공격을 북한의 소행으로 보고 있지만, 미국 정부 내 조사는 아직 진행 중입니다. 여러 회사의 위협 분석가들은 이 공격과 2017년 초까지 전 세계 은행에 대한 후속 공격의 배후로 라자루스 그룹(지난 3일 동안 DHS, FBI, NSA가 모두 북한 정부와 연관 지었다고 밝힌 단체)을 지목했습니다.

6월 14일에 발표된 _워싱턴 포스트_ 보고서에 따르면, NSA는 워너크라이 캠페인에 대한 정보 평가를 종합한 결과, 워너크라이 웜을 만든 것이 "RGB가 후원하는 사이버 행위자"의 소행이라고 밝혔습니다. 지난주 내부적으로 발표된 것으로 보이는 이 평가는 어트리뷰션에 대한 "중간 정도의 신뢰"를 언급하며 4월 캠페인을 "정권을 위한 수입 증대 시도"로 규정했습니다.

방글라데시 중앙은행과 전 세계 다른 은행에 대한 공격, 워너크라이 랜섬웨어 캠페인은 북한이 지난 50년 동안 겪어온 폭력과 범죄의 단계를 반영하는 새로운 사이버 작전의 국면을 보여줍니다. 이 글의 뒷부분에서 이러한 단계에 대해 자세히 살펴보겠습니다.

북한의 사이버 작전으로 의심되는 광범위한 작전 범위는 수년 동안 북한 지도부의 합리성, 이러한 유형의 사이버 활동으로 인한 북한의 가능한 동기와 이익, 북한이 이러한 공격에 대한 책임을 부인하는 이유에 대한 의문을 제기했습니다. 레코디드 퓨처의 연구는 전체 상황을 조사하고 지정학적 및 전략적 인텔리전스와 위협 인텔리전스를 결합하여 이러한 질문을 해결합니다.

분석

이러한 북한의 과거 활동을 파헤치는 것은 2009년부터 추적해 온 사이버 작전에 대한 맥락을 더하는 데 중요합니다. 북한이 광범위한 범죄 및 테러 활동에 관여하는 것은 북한의 재래식 국력 열세를 극복하기 위해 비대칭 작전과 기습 공격을 사용하는 광범위한 국가 전략의 일환입니다.

전직 미 국무부 관리이자 북한 전문가가 기고한 인터뷰에 따르면 "범죄, 즉 범죄는 북한 경제의 필수적인 부분이 되었다"고 합니다. '돈만 버는 것이 아니라 서방의 이익을 훼손하려는 그들의 전략에도 도움이 된다'1"고 말합니다.

북한의 범죄 및 사이버 활동을 두 가지 주요 목표를 지원하는 더 큰 군사 및 국가 안보 전략의 맥락에서 파악하는 것이 중요합니다:

  • 김 정권의 영속화,
  • 북한의 지도력 하에 한반도가 통일됩니다.

2016년 워싱턴 대학교의 한 연구는 북한의 비대칭 군사 전략을 간결하게 요약하고 있습니다:

한국전쟁이 끝난 이후 북한은 재래식 군사력이 미국과 남한보다 훨씬 약하기 때문에 비대칭적인 군사 전략과 무기, 전력을 개발해 왔습니다. 따라서 북한은 기습 공격, 신속한 결전, 혼합 전술이라는 세 가지 군사 전략 기둥을 개발했습니다. 첫째, 기습 공격 전략은 예상치 못한 시간과 장소에서 적을 공격하는 것을 말합니다. 둘째, 미군이나 국제사회가 개입하기 전에 한국군을 격파하는 것이 북한의 신속한 결정적 전쟁 전략입니다. 마지막으로 혼합 전술 전략은 전략적 목표를 달성하기 위해 여러 전술을 동시에 사용하는 전략입니다.

북한은 끊임없이 허황된 수사와 강대국 공언을 쏟아내고 있지만 근본적으로 약자의 입장에서 세계를 바라보고 있으며, 2천 5백만 명의 인구에 대한 완전한 통제와 김씨 세습 왕조에 대한 확고하고 비도덕적인 헌신이라는 비교 강점을 활용한 국가 전략을 개발해 왔습니다.

이러한 맥락에서 범죄, 테러, 파괴적인 사이버 공격은 모두 기습 공격과 혼합 전술을 강조하는 북한의 비대칭 군사 전략에 부합합니다. 범죄와 사이버 공격은 북한을 제약하고 처벌하는 국제 경제 및 정치 시스템을 약화시킬 수 있다는 추가적인 이점도 있습니다.

제재와 국제사회의 압박, 중국의 단속 강화가 북한 경제, 특히 북한 정보기관의 정권 지도부를 위한 물품 조달 능력에 타격을 주기 시작했다는 증거가 늘어나고 있습니다. 2017년 5월 한국개발연구원의 보고서에 따르면 북한은 암시장을 통해 지난해 국제 제재의 영향을 견뎌낼 수 있었다고 결론지었습니다.

아래에는 RGB의 전신 조직이 수행한 수많은 비사이버 활동이 자세히 설명되어 있습니다. 이러한 작전의 폭력, 파괴, 범죄의 폭은 이러한 정보 서비스의 광범위한 작전 범위와 그 수행 맥락을 드러냅니다.

이 데이터는 1960년대부터 시작된 북한의 사이버 작전 책임 부인 역사를 드러내며 현 북한 지도부의 사이버 작전 부인에 대한 맥락을 설명합니다.

참고

아래에 자세히 설명된 활동은 대북 작전을 위한 광범위한 송금 활동의 전체 목록이 아니라 예시를 제공하기 위한 것입니다.

"청와대 습격"

1953년 한국전쟁 휴전 선언 이후 한국에 대한 최초의 대규모 공격 중 하나가 1968년에 발생했습니다. 이른바 '청와대 습격사건'은 1968년 1월 20일 밤 북한 특수공작원 31명이 당시 박정희 대통령을 암살하려 한 사건입니다. 북한군 31명은 도보로 비무장지대(DMZ)를 넘어 대통령 관저(이른바 '청와대')에서 0.5마일 이내로 접근했다가 발각되었습니다. 발견 즉시 북한군은 한국군과 연쇄 총격전을 벌였고, 한국군 68명과 미군 3명이 사망했습니다. 북한군 대부분은 공습 후 8일 만에 사망했고, 2명은 비무장지대를 넘어 귀순했으며 1명은 생포되었습니다.

생포된 북한군은 기자회견에서 자신들이 "박정희의 목을 베러 왔다"고 주장했습니다. 1972년 남한 정보 당국자와 당시 김일성 수상 간의 비밀 회담에서 이 계정에 대한 논란이 있었습니다. 김 씨는 자신의 정부는 이번 압수수색과 아무런 관련이 없으며 "당시에는 압수수색에 대해 알지도 못했다"고 주장했습니다.

북한-북한-사이버활동-5.png

청와대 습격 후 생포된 북한군 병사. (출처)

1983 랑군 폭탄 테러

1983년 10월 9일, 북한군 3명이 미얀마를 방문 중이던 전두환 당시 대한민국 대통령 암살을 시도했습니다. 대통령이 참배할 예정이었던 묘소에서 폭탄이 일찍 터져 한국 외교부 장관과 부총리 등 21명이 사망했습니다.

폭탄 테러범들에 대한 재판 과정에서 북한 요원들이 북한 무역선을 이용해 미얀마로 이동하고 북한 외교관의 집을 방문해 폭탄을 준비했다는 증언이 나왔습니다. 폭탄 테러 열흘 후 기밀 보고서(2000년 기밀 해제)에서 CIA 분석가들은 북한 공식 통신사의 공식적인 개입 부인에도 불구하고 북한이 공격에 책임이 있다는 강력한 근거를 제시했습니다. 북한 관영 매체는 전 대통령이 이번 공격을 한반도 긴장을 고조시키기 위해 이용했다고 비난하기도 했습니다.

북한-북한-사이버활동-6.jpg

한국 관리들이 랑군 묘소에서 폭탄이 터지기 몇 분 전에
폭탄이 터지기 몇 분 전 (출처)

대한항공 858편 폭파 사건

1987년 11월 29일, 이라크 바그다드에서 서울로 향하는 대한항공 여객기에 북한 정보요원 2명이 탑승해 폭탄을 설치했습니다. 아부다비에서 경유하는 동안 두 요원은 계획을 취소했지만 폭탄(라디오로 위장한)을 기내에 두고 내렸습니다. 폭탄이 터지면서 비행기가 태국-버마 국경의 정글에 추락해 탑승자 115명 전원이 사망했습니다.

생포된 북한 정보 요원 중 한 명은 나중에 폭탄 테러가 "1988년 서울 올림픽에외국인의 참여를 막고 남한에 불안을 조성하기 위한 것"이라고 밝혔습니다. 이 요원은 또한 비행기 폭파 명령이 당시 북한 지도자 김일성 또는 그의 아들인 후대 지도자 김정일로부터 직접 내려졌다고 고백했습니다.

범죄로의 전환

1990년대 중반까지 북한은 일반적으로 테러 행위에서 범죄 행위로 전환했습니다. 북한은 1970년대 후반부터 대사관과 외교 공관들이 주로 밀수 등 불법 활동을 통해 자체 운영 자금을 조달하는 '자비조달2' 정책을 유지해왔지만, 1990년대 들어 이러한 범죄가 외교 공관뿐만 아니라 국가 전체의 사업이 된 것은 1990년대입니다. 이러한 변화에는 냉전의 종식과 소련과 중국 등 우방국들의 중요한 원조 철수, 극심한 기근, 지도부 교체, 수년간의 국제적 비난과 처벌 조치 등 여러 가지 요인이 영향을 미쳤습니다.

북한인권위원회의 2015년 보고서는 북한의 '불법 경제 활동'을 세 가지 단계로 구분하여 설명합니다. 첫째, 1970년대부터 1990년대 중반까지, 90년대 중반부터 2000년대 중반까지, 그리고 2005년부터 현재까지 북한 국가 개입의 기원을 살펴봅니다. RGB와 그 전신 조직, 기타 군사 및 정보 기관은 이러한 불법 활동을 지원합니다.

불법 약물 제조 및 밀수

북한은 1970년대 중반부터 국가가 후원하는 마약 밀수 (이후 제조) 프로그램을 운영해 왔습니다. 이 방대한 기업은 군대, 정보기관, 외교관의 지원을 받았으며 대만 갱단 United Bamboo, 필리핀 범죄 조직, 일본 조직 범죄와 같은 범죄 조직과 협력하는 경우가 많았습니다.3

학계 연구에 따르면 북한은 주로 김 정권에 경화 수단을 제공하기 위해 광범위한 비밀 밀수 네트워크와 역량을 개발했습니다.

북한은 아편 양귀비를 적극적으로 재배하고 있으며 연간 50미터톤의 생아편을 생산하고 있습니다. 이와 관련하여 유엔은 아프가니스탄이 2014년에 6,400톤의 생아편을 생산한 것으로 추정하고 있으며, 이에 비하면 북한은 소규모 생산국이라고 할 수 있습니다. 의회조사국 보고서에 따르면, 정부 가공 연구소는 매년 아편이나 헤로인으로 두 배의 양을 처리할 수 있는 능력을 갖추고 있습니다. 전문가들은 북한이 불법 경제 활동을 통해 매년 5억 5천만 달러에서 10억 달러 의 수입을 올리는 것으로 추정합니다.

위조

가장 널리 보고된 북한의 범죄 기업 중 하나는 미국 100달러(및 50달러) 위조 지폐, 이른바 "슈퍼노트"를 생산하는 것이었습니다. 2006년 의회 증언에서 미국 비밀경호국은 '슈퍼노트' 제작과 북한 국가 간의 결정적인 연관성을 제기했습니다.

2006년 기사에 실린 인터뷰에 따르면, 미국 화폐 위조에 대한 북한의 국가적 지원은 1970년대 중반 김정일이 내린 지시로 거슬러 올라갑니다. 원래 위조는 1달러 지폐를 표백하여 100달러 지폐로 재인쇄하는 방식으로 이루어졌으며, 북한의 국제적 고립이 심화되고 경제가 붕괴됨에 따라 시간이 지남에 따라 진화했습니다.

북한-북한-사이버활동-7.jpg "슈퍼노트"와 실제 100달러 지폐. (출처)

슈퍼노트의 유통과 생산은 북한산 마약과 유사한 패턴을 따르며, 글로벌 범죄 조직, 국가 및 정보기관 관계자, 합법적인 기업을 활용했습니다. 북한은 위조나 불법 활동에 연루된 사실을 거듭 부인하고 있습니다.

거부의 역사

위에서 설명한 바와 같이 북한은 폭력적이고 불법적이며 파괴적인 작전에 대한 책임을 부인해 온 전력이 있습니다. 여기에는 청와대 습격 사건, 랑군 폭탄 테러, 미국 달러 위조, 소니 픽처스 엔터테인먼트 공격, 방글라데시 중앙은행 강도 사건 등 모든 범죄 및 불법 활동에 연루된 사실을 부인하는 것이 포함됩니다. 일부 학자들은 국가 화폐 위조와 같은 행위가 전쟁을 정당화하는 행위 또는 사건인 ' 카수스 벨리'에 해당한다고 주장하고, 다른 학자들은 "국제법 규범과 구조가 사이버 영역에서 카수스 벨리를 구성하는 요소를 적절히 다루지 못하고 있다"고 주장합니다.

이 두 가지 주장과 북한의 비대칭 군사 전략에 대한 이해는 북한이 이러한 많은 파괴적이고 폭력적인 행위에 대한 책임을 주장하지 않으려는 이유를 강조합니다. 국가 책임을 인정하는 것은 미국이나 한국에게 유효한 '카수스 벨리'를 제공할 수 있으며, 그 결과 북한은 전쟁에서 패배할 것이 확실합니다. 증거가 확실하더라도 정부의 공식적인 부인은 불확실성을 야기하고 북한에게 작전을 계속할 수 있는 공간을 제공합니다.

영향

워너크라이 캠페인과 은행 강도 사건에 대한 북한의 책임 여부에 대한 논의에서 누락된 것은 CSO, 보안 전문가, 위협 분석가에게 활동의 맥락을 제공하는 지정학적 및 전략적 인텔리전스입니다.

지난주 현재 NSA와 시만텍, 카스퍼스키 등 여러 기업이 최근 워너크라이 랜섬웨어 캠페인을 북한과 연관짓고 있으며, 레코디드 퓨처는 이러한 유형의 사이버 활동이 북한의 '자급자족' 정책과 비대칭 군사 전략에 모두 해당한다고 평가합니다.

이러한 맥락에서, 레코디드 퓨처는 엄청난 국제적 재정적, 정치적 압박을 받고 있고 이러한 유형의 정책과 전략을 채택하고 있는 국가로서 북한의 (경화 획득을 목표로 하는) 사이버 작전은 적어도 단기에서 중기(1~3년) 동안 계속될 것으로 보고 있습니다. 또한, 한국 정부와 민간 기관에 대한 파괴적인 사이버 작전은 같은 기간 동안 지속될 것이며, 미국과 북한의 긴장이 고조될 경우 일본 또는 서방 기관으로 확대될 가능성이 높습니다.

위에서 설명한 사이버 위협 환경과 군사 전략은 여러 주요 경제 부문의 기업들이 북한의 사이버 활동에 대한 모니터링을 강화해야 함을 시사합니다. 금융 서비스 회사는 SWIFT 연결 및 인증정보의 악용, 파괴적인 멀웨어 공격 및 DDoS 가능성, 고객 계정 및 데이터에 대한 위협에 대해 지속적으로 경계해야 합니다. 정부 계약 및 방위 분야의 기업, 특히 고고도미사일방어(THAAD) 체계 배치와 한반도에서의 미국 또는 한국 작전을 지원하는 기업들은 한반도에서의 네트워크와 작전에 대한 위협 환경이 고조되고 있음을 인지해야 합니다.

에너지 및 미디어 기업, 특히 한국에 소재하거나 이러한 부문을 지원하는 기업은 디도스, 파괴적 멀웨어, 랜섬웨어 공격 등 북한의 광범위한 사이버 활동에 주의를 기울여야 합니다. 모든 분야의 조직은 랜섬웨어의 적응력을 지속적으로 인식하고 위협의 진화에 따라 사이버 보안 전략을 수정해야 합니다.

이 글은 북한에 대한 2부로 구성된 시리즈 중 1부입니다. 2부에서는 검색, 인터넷 거래 및 기타 악의적일 수 있는 활동을 난독화하기 위해 가상 사설 서버(VPS)와 가상 사설 네트워크(VPN)를 광범위하게 사용하는 것을 포함하여 북한의 행동 패턴과 인터넷 활동을 살펴볼 것입니다.

1북한이 저지르는 국가 지원 범죄와 완벽한 유사 사례는 없지만, 정보 기관의 작전 범위 측면에서 이란이 가장 근접한 국가일 것입니다. 이란의 보안 서비스 및 사이버 활동에 대한 자세한 내용은 http://iranprimer.usip.org/sites/default/files/Military_Nader_Revolutionary%20Guards.pdf 참조 , https://www.foreignaffairs.com/articles/iran/2016-01-11/fallout-ploy, http://www.tandfonline.com/doi/abs/10.1080/09700161.2012.689528.

2이'자체 자금 조달' 정책에 따라 자금을 조달하는 모든 운영이 호스트 국가에서 불법인 것은 아닙니다.

3 이비슨, 데이비드. "평양의 스파이 선박이 어두운 비밀을 밝힌다: 선박에서 나온 증거는 북한이 범죄 조직과 협력하여 일본에 마약을 유통하고 있음을 시사한다." 2003년 5월 28일 파이낸셜 타임즈: 12.

관련