북한도 해킹 당한다…다크웹에 ‘유출’ 북 자료 수두룩 > 최신뉴스

앵커: 자유아시아방송은 최근 북한 IT 기술자로 추정되는 인물의 컴퓨터(PC) 저장 파일 일부를 입수해 보도해 드린 바 있습니다. 해당 파일들은 다크웹에 게재돼 있었는데, 어떤 경로를 통해 유출된 것인지 주목됩니다. 다크웹 전문분석 보안업체, 스텔스모어(StealthMole)는 인터넷을 사용하는 북한 사람들도 외부의 해킹 공격을 받기 때문에 자료가 유출되는 것으로 분석했는데요. 다크웹을 검색한 결과, 북한 자료로 추정되는 문서와 정보들이 상당량 발견됐습니다. 서울에서 목용재 기자가 보도합니다.
 
다크웹은 특정한 프로그램, 혹은 권한 등이 있거나 접속 주소를 알고 있어야 들어갈 수 있는 온라인 공간입니다. 이 곳은 익명성이 보장되기 때문에 다양한 불법 거래도 이뤄집니다. 해킹 등으로 유출된 자료와 정보의 거래 및 유통도 이곳에서 이뤄집니다.
 
자유아시아방송(RFA)은 최근 다크웹 전문분석 보안업체, 스텔스모어(StealthMole)와 북한의 고유 IP, 즉 인터넷 주소에서 유출된 자료들이 다크웹에 얼마나 떠돌아다니고 있는지 검색했습니다.
 
북한의 고유 IP(175.45.178)에서 유출된 자료가 있는지 검색해 본 결과, 160개의 계정 정보가 검색됐습니다. 가장 최근의 계정 정보는 지난 2023년 5월에 감염돼 유출된 것이었습니다. IT 개발과 관련된 사이트, 외주를 받은 사업 관련 사이트, 북한 내부에서 자체적으로 구축한 사이트 등의 계정과 암호 등이었습니다.

스텔스모어의 다크웹 검색 엔진으로 포착된 ‘5조(IT)2023년 상반년도 학습총화집행정형’. 북한 문건으로 추정된다. /RFA PHOTO

 

스텔스모어의 다크웹 검색 엔진으로 포착된 ‘륭성자료’. 북한 문건으로 추정된다. /RFA PHOTO

또한 북한식 표현과 단어로 다크웹을 검색한 결과 북한 내부 및 해외로 파견된 북한인들의 자료로 추정되는 ‘5조(IT) 2023년 상반년도 학습총화집행정형’, ‘륭성자료’ 등 다수의 문건을 확인할 수 있었습니다.
 
‘륭성자료’는 해외에 상주하고 있는 북한인들이 국가 발전을 위해 수집해야 하는 자료를 의미합니다. 류현우 전 쿠웨이트 주재 북한 대사대리의 말입니다.
 
[류현우 전 쿠웨이트 주재 북한 대사대리] 북한에는 ‘륭성자료수집’이라는 항목으로 외교관들은 물론 해외에 상주하고 있는 모든 북한 사람들이 의무적으로 조국의 융성, 발전을 위한 기술자료들을 수집하는 과제가 있습니다. 북한에서는 융성자료수집을 굉장히 중시합니다. 그래서 외무성 경제협력국에는 융성자료수집을 전문으로 맡아보는 부서가 따로 있습니다.
 
스텔스모어에 따르면 해커들은 불법적인 방법으로 탈취한 계정 정보 등 자료들을 판매할 목적으로 다크웹에 게재합니다. 해킹으로 한국 등 국제사회의 다양한 정보를 탈취하고 있는 북한도 해킹 공격을 받아 북한 안팎의 자료들이 유출되고 있는 것으로 보입니다.
 
최상명 스텔스모어 이사는 자유아시아방송에 “어떤 IP로부터 자료가 유출됐는지, 언어적으로 어떤 표현을 사용하고 있는지 등을 분석해 북한에서 유출된 자료인지 여부를 판단한다”고 설명했습니다.
 
[최상명 스텔스모어 이사] 북한 같은 경우에는 IP 대역이 많지 않습니다. 악성 코드에 감염돼 유출될 경우 피해자의 IP 정보가 해커에게 전송됩니다. 그래서 해커들은 유출된 자료를 (다크웹에) 공개할 때 어떤 IP에서 빼낸 자료라는 것을 명시합니다. 북한 내부에서만 사용되는 그런 IP가 발견되면 북한에서 감염돼 유출된 것이겠구나 확인할 수 있고…

최상명 스텔스모어 이사 /RFA PHOTO

 
<관련기사>
다크웹 ‘유출’ 북 IT 기술자 PC 바탕화면 보니…
북 해킹 조직, 암호화폐 5천만 달러 탈취
 
이처럼 다크웹에 북한 자료들로 추정되는 파일들이 유출된 원인은 컴퓨터 유료 프로그램을 무단으로 쓸 수 있게 하는 ‘키젠’(key generator) 등과 같은 불법 프로그램을 사용했기 때문인 것으로 추정됩니다.
 
‘키젠’은 유료 프로그램이나 서비스를 무료로 이용하기 위해 필요한 자격 및 권한을 무단 생성하는 방식으로 불법 사용·복제 방지 장치를 무력화하는 ‘크랙’(Crack) 프로그램의 일종입니다.
 
최상명 스텔스모어 이사는 “키젠과 같은 프로그램들에는 해커들이 악성코드를 심어 놓는 경우가 많다”며 “이를 내려 받아서 실행하다 보니 악성코드에 감염되는 것이고 이를 통해 북한 문서, 계정 등으로 추정되는 다양한 정보들이 유출된 것”이라고 설명했습니다.
 
이어 최 이사는 “이번 다크웹 유출 건과 관련된 사용자들 가운데에는 컴퓨터 백신 프로그램을 사용하지 않는 경우도 많아 보인다”며 “따라서 감염 자체를 인지하지 못했을 수도 있다”고 덧붙였습니다.
 
북한 IT 회사에서 근무했던 탈북민 김철혁(신변안전 위해 가명사용) 씨는 자유아시아방송에 북한 IT 기술자들의 경우 저작권 개념이 없다고 말했습니다.
 
김 씨는 “어떤 프로그램이든 이를 무료로 사용할 수 있는 ‘크랙’은 반드시 있다는 게 북한 IT 기술자들의 생각”이라며 “돈을 내고 쓸 필요가 전혀 없다고 생각하고 문화적으로도 그런 인식이 형성돼 있지 않다”고 말했습니다.
 
다만 크랙 프로그램을 사용할 경우 악성코드에 감염될 위험이 있다는 점은 북한 IT 기술자들도 잘 인지하고 있다는 게 김 씨의 설명입니다.
 
김 씨는 “경험이 있는 기술자들일수록 크랙을 조심스럽게 사용하거나 일부는 돈을 지불하고 프로그램을 사용하기도 한다”며 “해킹을 당했다면 신입일 가능성이 높다”고 말했습니다.
 
한편 싱가포르에 본사를 두고 있는 스텔스모어는 다크웹 검색 서비스를 한국과 해외 기관 등에 제공함으로써 다양한 범죄들을 추적, 분석하는 것을 지원하고 있습니다. 약 130만 개의 다크웹 주소를 확보하고 있는 스텔스모어는 새로운 다크웹들을 지속적으로 탐색해 다크웹 검색 서비스를 제공하고 있습니다.
 
최상명 이사는 “최근 북한 해커들의 양상을 보면 다크웹 의존도가 높아지고 있다”며 “동시에 북한 사람들의 온라인에서의 피해도 다크웹을 통해 파악되는 경우가 많아지고 있다”고 설명했습니다.  
 
서울에서 RFA 자유아시아방송 목용재입니다.
 
에디터 양성원, 웹편집 김상일




앵커: 자유아시아방송은 최근 북한 IT 기술자로 추정되는 인물의 컴퓨터(PC) 저장 파일 일부를 입수해 보도해 드린 바 있습니다. 해당 파일들은 다크웹에 게재돼 있었는데, 어떤 경로를 통해 유출된 것인지 주목됩니다. 다크웹 전문분석 보안업체, 스텔스모어(StealthMole)는 인터넷을 사용하는 북한 사람들도 외부의 해킹 공격을 받기 때문에 자료가 유출되는 것으로 분석했는데요. 다크웹을 검색한 결과, 북한 자료로 추정되는 문서와 정보들이 상당량 발견됐습니다. 서울에서 목용재 기자가 보도합니다.
 
다크웹은 특정한 프로그램, 혹은 권한 등이 있거나 접속 주소를 알고 있어야 들어갈 수 있는 온라인 공간입니다. 이 곳은 익명성이 보장되기 때문에 다양한 불법 거래도 이뤄집니다. 해킹 등으로 유출된 자료와 정보의 거래 및 유통도 이곳에서 이뤄집니다.
 
자유아시아방송(RFA)은 최근 다크웹 전문분석 보안업체, 스텔스모어(StealthMole)와 북한의 고유 IP, 즉 인터넷 주소에서 유출된 자료들이 다크웹에 얼마나 떠돌아다니고 있는지 검색했습니다.
 
북한의 고유 IP(175.45.178)에서 유출된 자료가 있는지 검색해 본 결과, 160개의 계정 정보가 검색됐습니다. 가장 최근의 계정 정보는 지난 2023년 5월에 감염돼 유출된 것이었습니다. IT 개발과 관련된 사이트, 외주를 받은 사업 관련 사이트, 북한 내부에서 자체적으로 구축한 사이트 등의 계정과 암호 등이었습니다.

스텔스모어의 다크웹 검색 엔진으로 포착된 ‘5조(IT)2023년 상반년도 학습총화집행정형’. 북한 문건으로 추정된다. /RFA PHOTO

 

스텔스모어의 다크웹 검색 엔진으로 포착된 ‘륭성자료’. 북한 문건으로 추정된다. /RFA PHOTO

또한 북한식 표현과 단어로 다크웹을 검색한 결과 북한 내부 및 해외로 파견된 북한인들의 자료로 추정되는 ‘5조(IT) 2023년 상반년도 학습총화집행정형’, ‘륭성자료’ 등 다수의 문건을 확인할 수 있었습니다.
 
‘륭성자료’는 해외에 상주하고 있는 북한인들이 국가 발전을 위해 수집해야 하는 자료를 의미합니다. 류현우 전 쿠웨이트 주재 북한 대사대리의 말입니다.
 
[류현우 전 쿠웨이트 주재 북한 대사대리] 북한에는 ‘륭성자료수집’이라는 항목으로 외교관들은 물론 해외에 상주하고 있는 모든 북한 사람들이 의무적으로 조국의 융성, 발전을 위한 기술자료들을 수집하는 과제가 있습니다. 북한에서는 융성자료수집을 굉장히 중시합니다. 그래서 외무성 경제협력국에는 융성자료수집을 전문으로 맡아보는 부서가 따로 있습니다.
 
스텔스모어에 따르면 해커들은 불법적인 방법으로 탈취한 계정 정보 등 자료들을 판매할 목적으로 다크웹에 게재합니다. 해킹으로 한국 등 국제사회의 다양한 정보를 탈취하고 있는 북한도 해킹 공격을 받아 북한 안팎의 자료들이 유출되고 있는 것으로 보입니다.
 
최상명 스텔스모어 이사는 자유아시아방송에 “어떤 IP로부터 자료가 유출됐는지, 언어적으로 어떤 표현을 사용하고 있는지 등을 분석해 북한에서 유출된 자료인지 여부를 판단한다”고 설명했습니다.
 
[최상명 스텔스모어 이사] 북한 같은 경우에는 IP 대역이 많지 않습니다. 악성 코드에 감염돼 유출될 경우 피해자의 IP 정보가 해커에게 전송됩니다. 그래서 해커들은 유출된 자료를 (다크웹에) 공개할 때 어떤 IP에서 빼낸 자료라는 것을 명시합니다. 북한 내부에서만 사용되는 그런 IP가 발견되면 북한에서 감염돼 유출된 것이겠구나 확인할 수 있고…

최상명 스텔스모어 이사 /RFA PHOTO

 
<관련기사>
다크웹 ‘유출’ 북 IT 기술자 PC 바탕화면 보니…
북 해킹 조직, 암호화폐 5천만 달러 탈취
 
이처럼 다크웹에 북한 자료들로 추정되는 파일들이 유출된 원인은 컴퓨터 유료 프로그램을 무단으로 쓸 수 있게 하는 ‘키젠’(key generator) 등과 같은 불법 프로그램을 사용했기 때문인 것으로 추정됩니다.
 
‘키젠’은 유료 프로그램이나 서비스를 무료로 이용하기 위해 필요한 자격 및 권한을 무단 생성하는 방식으로 불법 사용·복제 방지 장치를 무력화하는 ‘크랙’(Crack) 프로그램의 일종입니다.
 
최상명 스텔스모어 이사는 “키젠과 같은 프로그램들에는 해커들이 악성코드를 심어 놓는 경우가 많다”며 “이를 내려 받아서 실행하다 보니 악성코드에 감염되는 것이고 이를 통해 북한 문서, 계정 등으로 추정되는 다양한 정보들이 유출된 것”이라고 설명했습니다.
 
이어 최 이사는 “이번 다크웹 유출 건과 관련된 사용자들 가운데에는 컴퓨터 백신 프로그램을 사용하지 않는 경우도 많아 보인다”며 “따라서 감염 자체를 인지하지 못했을 수도 있다”고 덧붙였습니다.
 
북한 IT 회사에서 근무했던 탈북민 김철혁(신변안전 위해 가명사용) 씨는 자유아시아방송에 북한 IT 기술자들의 경우 저작권 개념이 없다고 말했습니다.
 
김 씨는 “어떤 프로그램이든 이를 무료로 사용할 수 있는 ‘크랙’은 반드시 있다는 게 북한 IT 기술자들의 생각”이라며 “돈을 내고 쓸 필요가 전혀 없다고 생각하고 문화적으로도 그런 인식이 형성돼 있지 않다”고 말했습니다.
 
다만 크랙 프로그램을 사용할 경우 악성코드에 감염될 위험이 있다는 점은 북한 IT 기술자들도 잘 인지하고 있다는 게 김 씨의 설명입니다.
 
김 씨는 “경험이 있는 기술자들일수록 크랙을 조심스럽게 사용하거나 일부는 돈을 지불하고 프로그램을 사용하기도 한다”며 “해킹을 당했다면 신입일 가능성이 높다”고 말했습니다.
 
한편 싱가포르에 본사를 두고 있는 스텔스모어는 다크웹 검색 서비스를 한국과 해외 기관 등에 제공함으로써 다양한 범죄들을 추적, 분석하는 것을 지원하고 있습니다. 약 130만 개의 다크웹 주소를 확보하고 있는 스텔스모어는 새로운 다크웹들을 지속적으로 탐색해 다크웹 검색 서비스를 제공하고 있습니다.
 
최상명 이사는 “최근 북한 해커들의 양상을 보면 다크웹 의존도가 높아지고 있다”며 “동시에 북한 사람들의 온라인에서의 피해도 다크웹을 통해 파악되는 경우가 많아지고 있다”고 설명했습니다.  
 
서울에서 RFA 자유아시아방송 목용재입니다.
 
에디터 양성원, 웹편집 김상일


자유아시아방송 제공 및 저작권 소유 | RFA provided and copyrighted -www.rfa.org