;)
;)
‘코리안 리크스’ 작전으로 자산운용사 집중 공격, IT 관리업체(MSP) 한 곳 뚫리자 ‘와르르’
전문가들 “단순 협박 넘어선 하이브리드 공세… AI 악용한 지능형 범죄로 진화 중”
전문가들 “단순 협박 넘어선 하이브리드 공세… AI 악용한 지능형 범죄로 진화 중”
이미지 확대보기이번 사건은 단순한 금전 갈취를 넘어 외부 IT 관리업체(MSP)를 통한 ‘공급망 공격’ 수법과 북한의 체제 선전이 결합한 신종 사이버 안보 위협이라는 점에서 국내 금융권에 큰 우려를 낳고 있다.
‘코리안 리크스’ 작전…보안 틈새 MSP 노렸다
보안업계와 외신 분석을 종합하면, 이번 공격은 ‘코리안 리크스(Korean Leaks)’라는 작전명으로 이뤄졌다. 공격 방식은 개별 금융사의 보안망을 직접 뚫는 대신, 이들 기업의 전산 시스템을 수탁 관리하는 IT 서비스 제공업체(MSP) 한 곳을 침투 경로로 삼았다.
보안 전문가들은 “단 하나의 MSP가 뚫리면서 여기에 시스템 관리를 맡긴 25개 고객사가 도미노처럼 피해를 입었다”고 설명했다. 피해 기업 대부분은 자산운용사였으며, 건설사 한 곳도 포함된 것으로 확인됐다.
피해 규모는 막대하다. 해커 조직은 100만 건 이상의 파일과 2TB 분량의 내부 정보를 빼돌렸다. 이들은 다크웹(Dark Web)에 운영 중인 유출 사이트에 탈취한 데이터를 게시하겠다고 위협하며 몸값을 요구하는 이른바 ‘이중 갈취(Double Extortion)’ 수법을 사용했다.
업계 관계자는 “과거 랜섬웨어 공격이 개별 PC나 서버를 암호화하는 데 그쳤다면, 이번 공격은 기업의 치명적인 내부 정보를 인질로 삼아 협상력을 높이는 지능적인 방식을 썼다”고 분석했다.
北 해킹조직 ‘문스톤 슬리트’ 연루…범죄와 정치의 결합
이번 공격의 배후로는 러시아어 기반의 랜섬웨어 조직 ‘킬린’이 지목됐으나 그 이면에는 북한의 그림자가 짙게 드리워져 있다. 보안 분석가들은 '킬린'이 북한의 국가 지원 해킹 조직인 ‘문스톤 슬리트(Moonstone Sleet)’와 협력한 정황을 포착했다.
‘킬린’은 핵심 운영자가 플랫폼을 제공하고 제휴 해커가 공격을 수행하는 ‘서비스형 랜섬웨어(RaaS)’ 모델로 운영된다. 이 구조 속에 북한 해커들이 침투해 실행을 도운 것으로 보안업계는 보고 있다.
주목할 점은 이들이 내세운 명분이다. 공격 초기, 해커들은 랜섬 노트(협박문)를 통해 자신들의 행위를 “부패를 폭로하는 것”이라고 주장하며 수사기관과 언론의 관심을 촉구했다.
국제 사이버보안 전문가들은 “이를 전형적인 ‘핵티비즘(Hactivism·해킹과 정치적 행동주의의 결합)’을 가장한 심리전”이라면서 “금전 이득을 노리는 일반 범죄조직과 사회 혼란을 목적으로 하는 북한 정찰총국 산하 조직의 이해관계가 맞아떨어진 결과”라고 평가했다. 다만 시간이 지나면서 정치 구호는 줄어들고, 개별 기업에 대한 금전 요구가 주를 이루는 양상으로 변했다.
서구권에서 한국으로…타깃 이동과 시스템 위험
이번 사태는 글로벌 랜섬웨어 공격의 흐름이 달라지고 있음을 시사한다. 그동안 대규모 금융 해킹은 주로 미국이나 유럽 시장에 집중됐으나 이번 공격은 한국 금융 인프라가 주요 표적이 됐다는 점에서 시사하는 바가 크다.
공격 시점은 지난 9월과 지난달 초, 세 차례에 걸쳐 집중됐다. 초기에는 한국 주식시장 전체를 위협하는 듯한 과격한 메시지를 쏟아냈으나, 이후 피해 기업과의 물밑 협상이 진행되면서 일부 데이터가 삭제되는 등 특이 동향도 감지됐다.
국내 금융권 보안 관계자들은 “자산운용사들이 비용 절감을 위해 특정 MSP에 시스템 관리를 전적으로 맡기는 구조가 이번 사태의 근본 원인”이라면서 “제3자 위탁 관리에 대한 보안 감독 체계를 전면적으로 재검토해야 할 때”라고 말했다.
전문가들은 이번 사건이 단순한 해킹 사고가 아니라 국가안보와 직결된 금융시스템의 취약점을 드러낸 사례라고 지적한다. 외신들은 한국 금융사들이 효율성을 앞세운 디지털 전환 과정에서 공급망 보안이라는 사각지대를 놓치고 있었던 것은 아닌지 되돌아봐야 한다는 목소리를 전하고 있다.
진화하는 사이버 전술…AI 악용해 ‘보이스피싱’ 넘는 ‘AI 피싱’ 우려
북한의 사이버 위협은 단순한 시스템 침입을 넘어 인공지능(AI) 기술을 악용한 지능형 범죄로 진화하고 있다. 국가정보원과 마이크로소프트(MS) 등 주요 기관의 최근 분석에 따르면, 북한 해커 조직들은 생성형 AI를 활용해 악성 코드를 제작하거나 정교한 ‘사회공학적 해킹(Social Engineering)’을 구사하는 것으로 파악됐다.
과거 어색한 번역투로 식별 가능했던 피싱 메일은 AI의 도움을 받아 자연스러운 한국어 구사가 가능해졌으며, 금융권 임직원을 사칭한 딥페이크(Deepfake) 공격 가능성까지 제기된다. 유엔(UN) 안전보장이사회 산하 전문가 패널 보고서는 북한이 이러한 고도화된 해킹 수법으로 탈취한 가상자산이 핵·미사일 개발 자금의 상당 부분을 충당한다고 꼬집었다.
보안 전문가들은 “기존의 방화벽 중심 보안으로는 AI가 생성한 변종 공격을 막는 데 한계가 있다”면서 “금융권은 ‘제로 트러스트(Zero Trust·아무것도 신뢰하지 않는다)’ 원칙에 기반한 차세대 보안체계로 전환해 선제적으로 대응해야 한다”고 강조했다.
박정한 글로벌이코노믹 기자 park@g-enews.com
