[위협정보 공유] Guidance on the North Korean Cyber Threat 번역

4월 15일 미 국무부 외 4개 기관이 공동으로 발표한 "Guidance on the North Korean Cyber Threat"[2]에 대해 번역 및 요약을 진행하려고 합니다. 보고서에 따르면 정부기관 합동경계령은 2018년 10월 이후 처음 있는 일이며, 북한(이하 "DPRK"로 정의)의 악성 사이버 활동은 미국과 전세계의 국가를 위협하며 특히 국제금융시스템의 안정성과 통합에 상당한 위협이 된다는 내용이 주를 이뤘습니다. 또한, DPRK의 위협 정보를 제공하는 사람에게는 현상금 비슷한 최대 500만 달러(4/16 기준 원으로 환산하면 61억 3,900만 원..)를 제공한다고 보고서 마지막에 명시합니다. 그만큼 DPRK의 위협이 강력하다는 것으로 생각해볼 수 있을 것 같습니다.

미 국무부(The U.S. Departments of State), 재무부(the Treasury), 국토안보부(Homeland Security), 연방수사국(the Federal Bureau of Investigation, FBI)이 DPRK의 사이버위협에 대한 경각심을 높이기 위해 주의보를 발령한다는 보고서를 공동으로 2020년 4월 15일에 발표했다. 
권고는 DPRK의 사이버 위협을 강조하고 위협을 완화하기 위한 권장 단계를 제공한다. 특히, (Annex 1)은 DPRK 사이버 위협과 관련된 미국 정부 자원을 열거하고, (Annex 2)는 UN 1718 제재 위원회 (DPRK) 전문가 패널 보고서에 대한 링크를 포함한다.
DPRK의 악의적인 사이버 활동은 미국과 더 넓은 국제 사회를 위협하며, 특히 국제 금융 시스템의 무결성과 안정성에 중대한 위협을 가한다. DPRK는 강력한 미국과 유엔의 제재 압력에 따라 사이버 범죄를 포함한 불법 행위에 의존하여 대량 살상 무기와 탄도 미사일 프로그램의 수입을 창출하는 데 점점 더 의존하고 있다. 특히 미국은 HIDDEN COBRA라고 불리는 DPRK의 악의적인 사이버 활동에 대해 깊이 우려하고 있다.
DPRK는 미국의 중요 인프라, 금융 기관에 영향을 미치는 파괴적인 사이버 활동을 수행할 수 있다. 예를 들어, 2017년 12월 호주, 캐나다, 뉴질랜드, 미국 및 영국은 WannaCry 2.0 랜섬웨어 공격에 대해 DPRK의 유해하고 무책임한 사이버 활동을 비난했었다. 또한, 덴마크와 일본은 2017년 5월 해당 랜섬웨어 공격을 공동 규탄하는 지지 성명을 발표했다. 따라서, 국제 사회, 네트워크 방어자 및 대중은 경계를 유지하고 협력하여 DPRK의 사이버 위협을 완화하는 것이 중요하다.

DPRK’s Malicious Cyber Activities Targeting the Financial Sector
DPRK가 후원하는 사이버 공격자들은 주로 스파이 활동을 하는 해커, 암호학자, 소프트웨어 개발자, 금융기관과 디지털 화폐 교환을 대상으로 하는 사이버 절도, 외국 언론사에 대한 정치적 동기를 부여한 공작 등으로 구성된다.

Cyber-Enabled Financial Theft and Money Laundering. 유엔 안전보장이사회의 2019년 중간보고서(2019년 POE 중간보고서)에 따르면 DPRK는 갈수록 정교한 도구와 전술을 통해 금융기관을 도용하는 악의적인 사이버 활동을 통해 유엔 안전보장이사회의 제재에도 불구하고 수익을 창출할 수 있게 됐다고 한다. 2019년 POE 중간보고서는 이러한 악의적인 사이버 활동이 여러 사법기관을 통한 자금세탁으로까지 확대된 경우도 있다고 지적한다. 2019년 POE 중간보고서에 따르면, 수십 명의 DPRK 사이버 범죄 용의자를 조사하고 있으며, 2019년 말 현재 DPRK는 이러한 불법적인 사이버 활동을 통해 20억 달러를 훔치려 했다고 언급하고 있다. 2020년 3월 법무부 몰수 소송의 주장은 진입점 조사의 일부와 일치한다. 구체적으로 몰수 고발은 DPRK 사이버 행위자들이 디지털 화폐 거래소를 해킹하고 수억 달러의 디지털 화폐를 훔치고 자금을 세탁하려는 음모를 더욱 부추기면서 DPRK 인프라를 어떻게 이용했는지에 대한 것이다.

Extortion Campaigns. DPRK의 사이버 행위자들은 또한 제3국 기업들을 상대로 구성원들의 네트워크를 훼손하고, 그 기업이 몸값을 지불하지 않는 한 네트워크를 폐쇄하겠다고 협박하는 등 강탈 운동을 벌여왔다. DPRK의 사이버 행위자들은 그러한 미래 악성 사이버 활동이 발생하지 않도록 하기 위해 장기 유급 컨설팅 계약을 빙자한 피해자들에 대한 지불을 요구해 왔다. DPRK 사이버 공격자들은 웹사이트 해킹과 제3자 고객 대상 갈취도 수행했다.

Cryptojacking. 2019년 POE 중간보고서에 따르면, DPRK이 디지털 화폐를 채굴하기 위해 victim machine을 장악하고 컴퓨터 자원을 훔치는 계획인 "크립토재킹"을 사용한 것에 대해서도 조사하고 있다. POE는 cryptojacking 악성코드에 감염된 컴퓨터가 평양 김일성종합대학을 포함해 DPRK에 위치한 서버에 채굴된 자산을 보낸 몇 가지 사건을 확인했다. POE는 유엔 안전보장이사회의 대북 제재 위반 시도 등의 활동도 조사하고 있다.

Cyber Operations Publicly Attributed to DPRK by U.S. Government 
미국 정부는 지금까지 다음과 같은 사이버 사건을 DPRK가 후원하는 사이버 행위자 및 공모자의 소행으로 공개적으로 밝혀왔다.
Sony Pictures. 2014년 11월 DPRK 후원 사이버 공격자들이 2014년 영화 'The Interview'에 대한 보복으로 Sony Pictures Entertainment(SPE)에 사이버 공격을 감행한 것으로 알려졌다. 이 사건으로 인해 SPE의 네트워크가 해킹당해 기밀 자료를 탈취 및 SPE 임직원들의 수천 대 컴퓨터를 파손했다.
참고 : [3] FBI's Update on Sony Investigation (Dec. 19, 2014)

Bangladesh Bank Heist. 2016년 2월 DPRK 사이버 행위자들은 전 세계 금융기관에서 최소 10억 달러를 훔치려 했고, 방글라데시 은행에서 세계은행간 금융통신협회(SWIFT) 네트워크상의 무허가 거래를 통해 8100만 달러를 가로챈 혐의를 받고 있다. 고소장에 따르면 공격자들은 은행 직원을 대상으로 한 스피어 피싱 이메일을 통해 은행 전산망을 훼손한 뒤 SWIFT 네트워크와 접속한 방글라데시 은행의 컴퓨터 단말기에 접속했다. 그 후, 공격자들은 뉴욕 연방준비은행에 방글라데시 은행의 연방준비제도이사회 계좌에서 공모자들이 관리하는 계좌로 자금을 이체하도록 지시하는 거짓 인증 SWIFT 메시지를 보냈다.

WannaCry 2.0. DPRK 공격자들은 워너크라이 2.0으로 알려진 랜섬웨어와 두 가지 이전 버전의 랜섬웨어를 개발했다. 2017년 5월, 워너크라이 2.0 랜섬웨어는 150여 개국의 병원, 학교, 기업, 가정에 있는 수십만 대의 컴퓨터를 감염시켰다. 또한, 감염된 컴퓨터의 데이터를 암호화해 사이버 행위자들이 비트코인으로 몸값을 요구할 수 있도록 했다.
미국 재무부는 DPRK 컴퓨터 프로그래머 1명을 Sony Pictures 사이버 공격과 Bangladesh Bank heist에서의 활동뿐만 아니라 WannaCry 2.0 음모에 가담했던 것으로 지정하고 그가 일했던 조직을 추가로 지정했다.
참고 : [4] CISA’s Technical Alert: Indicators Associated with WannaCry Ransomware (May 12, 2017)

FASTCash Campaign. 2016년 말부터 DPRK 사이버 공격자들은 "FASTCASH"로 알려진 사기 ATM 현금 인출 계획을 토대로 아시아와 아프리카의 ATM에서 수천만 달러를 훔쳤다. FASTCash의 계획은 은행 내 payment switch application server를 원격으로 손상시켜 부정 거래를 용이하게 한다. 2017년 한 사건에서 DPRK 사이버 공격자들은 30여개 국에 위치한 현금 자동 인출기에서 동시에 현금을 인출할 수 있었다. 2018년 또 다른 사건에서 DPRK 사이버 공격자들은 23개국의 ATM기에서 동시에 현금을 인출할 수 있었다.
참고 : [5] CISA’s Alert on FASTCash Campaign (Oct. 2, 2018)

Digital Currency Exchange Hack. 2018년 4월, DPRK 공격자들은 디지털 화폐 거래소를 해킹하여 거의 2억 5천만 달러 상당의 디지털 화폐를 훔쳤다.  
참고 : [6] Treasury’s Sanctions against Individuals Laundering Cryptocurrency for Lazarus
Group (March 2, 2020)

Measures to Counter the DPRK Cyber Threat 
정부, 산업, 시민사회 및 개인이 DPRK의 사이버 위협으로부터 스스로를 보호하고 대응하기 위해 아래의 모든 관련 조치를 취할 것을 강력히 촉구한다. (요약하면 아래와 같다)

1. DPRK 사이버 위협에 대한 인식 제고 / DPRK 사이버 위협의 기술 정보 공유
→ 정부 및 민간 부문과 공유되어야 한다. 2015년 사이버보안정보공유법의 규정에 따라, 비연방기업은 연방 및 비연방기업과 HIDDEN COBRA와 관련된 사이버 위협지표 및 방어조치를 공유할 수 있다. 
2. 사이버 보안 모범 사례 구현 및 홍보
→ 돈 관련 사업을 포함한 금융기관들은 악의적인 DPRK의 사이버 활동으로부터 보호하기 위해 정부 및 산업 채널을 통한 위협 정보 공유, 위험을 최소화하기 위한 네트워크 세분화, 데이터의 정기적인 백업 복사본 유지, 사이버 사고 대응 계획 개발 등을 항상 수행해야 한다.
3. 법 집행 기관에 통보
→ DPRK 등으로부터 공격을 받는 것으로 의심이 될 경우 바로 법 집행부에 알리는 것이 중요하다. 이를 통해 신속한 수사를 할 수 있을 뿐만 아니라 금융범죄로 인해 도난당한 금액을 최소화 할 수 있을 것이다.
4. 자금세탁방지(AML) 강화 / 테러 자금조달(CFT) / 반확산 자금조달(CPF) 규정 준수
→ 각국은 AML/CFT/CPF에 대한 FATF(Financial Action Task Force) 표준을 신속하고 효과적으로 구현해야 한다. 여기에는 FATF 표준 및 FATF 공개에 따라 금융 기관과 기타 적용 대상 기업이 위험 완화 조치를 채택하도록 하는 것이 포함된다. 유엔 안전보장이사회 결의 2270호 시행 33항에 따라 회원국들은 자국 내 DPRK 은행의 기존 지점, 자회사 및 대표 사무소를 폐쇄하고 DPRK 은행과의 통신원 관계를 종료해야 한다.

DPRK Rewards for Justice
과거 또는 진행중인 활동을 포함한 사이버 공간에서 불법적인 DPRK 활동에 대한 정보를 가지고 있다면, 국무부의 정의 보상 프로그램을 통해 정보를 제공하면 최대 500만 달러의 상금을 받을 자격이 될 수 있다고 전했다. 자세한 내용은 [7] 주소에서 참고하면 된다. (링크에 들어가보니 험학한 인상의 수배자들?이 많음)

--------------------------------------------------------------

(Annex 1) USG Public Information on and Resources to Counter the DPRK Cyber Threat
미국 정부는 DPRK의 악의적인 사이버 활동을 HIDDEN COBRA라고 부른다. 해당 보고서는 DPRK 사이버 공격자가 사용하는 도구 및 인프라에 대한 기술적 세부 정보를 제공한다. CISA의 웹사이트[8]에는 지속적인 위협에 대한 최신 업데이트를 포함한다고 한다.
또한 CISA는 사이버 보안 및 인프라 보안 지식과 관행을 제공 및 공유하여 더 나은 위험 관리를 가능하게 한다. 다음은 CISA 자원에 대한 링크이다.

• Protecting Critical Infrastructure: https://www.cisa.gov/protecting-critical-infrastructure 
• Cyber Safety: https://www.cisa.gov/cyber-safety 
• Detection and Prevention: https://www.cisa.gov/detection-and-prevention 
• Information Sharing: https://www.cisa.gov/information-sharing-and-awareness
• CISA Insights: https://www.cisa.gov/insights 
• Combating Cyber Crime: https://www.cisa.gov/combating-cyber-crime 
• Cyber Essentials: https://www.cisa.gov/cyber-essentials 
• Tips: https://www.us-cert.gov/ncas/tips
• National Cyber Awareness System: https://www.us-cert.gov/ncas
• Industrial Control Systems Advisories: https://www.us-cert.gov/ics
• Report Incidents, Phishing, Malware, and Vulnerabilities: https://www.us-cert.gov/report

FBI 또한 FBI Private Industry Notifications (PIN)을 통해 사이버 위협에 대한 최신 정보를 제공한다. FLASH(FBI Liaison Alert System) 보고서에는 FBI가 수집한 중요 정보가 포함되어 있다. DPRK 관련 사이버 위협 PIN 또는 FLASH 보고서는 cywatch@fbi.gov에 문의하라고 한다.

미 국방부의 사이버 부서는 미국과 그 파트너에 대한 악의적인 사이버 활동을 가능하게 하는 DPRK 악성코드를 포함하여 악의적인 사이버 활동을 적극적으로 찾고있다. 미 사이버사령부는 정기적으로 멀웨어 정보를 아래 트위터 계정(@US_CYBERCOM, @CNMF_VirusAlert)에서 공개하여 산업과 정부가 DPRK 불법 활동으로부터 인프라와 네트워크를 방어할 취약성을 식별한다. 

(Annex 2) UN Panel of Experts Reports on the DPRK Cyber Threat
유엔 1718 제재 위원회(DPRK) 전문가 보고서 패널
유엔 안전보장이사회 1718 대북제재위원회는 유엔 안보리 대북제재 결의에 명시된 조치 이행에 대해 유엔 회원국, 관련 유엔 기구 및 기타 당사국으로부터 "정보를 수집, 조사, 분석"하는 전문가 패널의 지원을 받고 있다. 또한 패널은 1718 위원회에 중간 보고서와 최종 보고서를 모두 제공하여 제재 이행 개선 방법에 대한 권고안을 제시한다. 이 보고서들은 [9]에서 찾을 수 있다.

[Reference]
[1] https://www.us-cert.gov/ncas/alerts/aa20-106a
[2] https://www.us-cert.gov/sites/default/files/2020-04/DPRK_Cyber_Threat_Advisory_04152020_S508C.pdf
[3] https://www.fbi.gov/news/pressrel/press-releases/update-on-sony-investigation
[4] https://www.us-cert.gov/ncas/alerts/TA17-132A
[5] https://www.uscert.gov/ncas/alerts/TA18-275A
[6] https://home.treasury.gov/news/press-releases/sm924
[7] www.rewardsforjustice.net
[8] https://www.us-cert.gov/northkorea
[9] https://www.un.org/securitycouncil/sanctions/1718/panel_experts/reports