[查塔姆议会座谈]朝鲜黑客威胁 战争已然打响
“实战培养”的朝鲜黑客攻击力达世界级
俄乌战争暴露网络战威胁
网络安全法与安全解决方案引入成当务之急
▶主持 = So Jongseop 政治社会部管理编辑
<사회> 最近与朝鲜黑客攻击相关的新闻很多,比如最高法院电算网、国防军工企业遭到入侵等。朝鲜的黑客·网络攻击能力大致处于什么水平?
<讨论者 A> 放眼世界也能排进前五名。朝鲜几乎没有什么需要防守的资产,因此可以专注于进攻。从攻击力来看,可以说达到了世界级水平。典型方式就是入侵虚拟货币交易所,或者通过勒索软件进行威胁勒索钱财。据说最近5年里,他们通过黑客攻击筹集了超过30亿美元(约合3.98万亿韩元)。今年6~7月又攻击了日本、印度的虚拟货币交易所,仅一周就窃取了高达5.5亿美元(约合7300亿韩元)的巨额资金。这些资金被用于核与导弹开发所需的各种经费。
最近对军工企业的攻击尤为突出。随着韩国武器日益先进、高度化,“K-防务”具备了竞争力,朝鲜也会因此感到有必要相应提升武器体系的高度化水平。大型企业的(安全)相对牢固,但合作公司等多少存在局限。如何支援那些频繁遭到攻击的中小军工企业,最近在总统室层面还召开了紧急检查会议。
此外,因假新闻引发的威胁也成为重大问题。不仅是即将于今年11月举行的美国大选,在(韩国)上一次国会选举时,对假新闻的担忧也非常多。今年联合国网络安全会议上,假新闻导致的选举干预与对民主主义的威胁、对社会主要基础设施的攻击、对虚拟货币交易所的攻击等,都被列为问题议题。朝鲜对这些攻击手段都十分擅长。
<讨论者 B> 按官方记录,大家常提的是2009年“7·7”分布式拒绝服务(DDoS)事件(韩国和美国的主要政府机构、门户网站、银行网站等遭到攻击,一度导致服务瘫痪),但事实上,早在2003年就已发现(朝鲜)制作恶意文件的记录。朝鲜从 Kim Jongil 时代起就提出“网络战”概念,开始系统性培养年轻学生。
早期(朝鲜在技术上)非常薄弱。恶意程序也很简单,功能上容易分析。如今则在恶意程序中大量加入自有加密算法。实际查看(朝鲜的)代码,会发现大量使用让人无法识别其真实身份、进行隐藏伪装的“调包技术”。他们还会伪装成中国或俄罗斯发动攻击,进行大量有意为之的操作。若将过去与现在一一对比,可以认为其技术水平有了极大提升。
他们也投入了大量资金,在政权层面培养黑客。从 Kim Jongil 到 Kim Jongun 的权力承接过程中,一直在进行极为系统的教育,尤其是善于选拔数学、科学、计算机方面的天才进行内部培养,这一点几乎可以切身感受到。
<사회> 对普通国民而言,似乎仍感觉有些遥远。你认为朝鲜网络攻击的危险度大概处于什么水平?
22日,在首尔中区 Asia Media Tower 以“诊断朝鲜黑客现状与网络安全领域课题”为主题举行的查塔姆议会座谈会上,嘉宾们正在进行讨论。(自左下方起顺时针)So Jongseop《亚洲经济》政社部常务编辑、Lee Jin 网络安全研究所 National Cyber Security Lab 所长、Moon Jonghyun Genian 安全部门负责人、Yoon Minwoo 嘉泉大学警察安保学系教授、Lim Jongin 总统室网络特别顾问。记者 Yoon Dongju doso7@
View original image<讨论者 B> 过去主要集中在攻击,尤其是对军事情报的执着。在这一过程中,曾多次因为失误暴露出带有朝鲜特色的表述。(朝鲜植入的)恶意程序具有收集文档文件的功能,其中出现了将部队编制单位“旅团”写成“旅团”的关键词。这种不适用首音法则的朝鲜特有语言规则,在早期恶意文件中被多次发现作为线索。2013年“3·20”电算网瘫痪事件中,甚至直接捕捉到了平壤的 IP 地址。如今他们在作战战术和伪装上更多地考虑如何避免攻击者被暴露。
以2016年孟加拉国央行黑客事件为分界点,开始将重点放在通过虚拟资产(比特币)交易所等渠道赚取外汇资金。这些资金被用作政权统治资金,或用于筹措开发核与导弹所需资金。
事实上,去年年初曾发生过一次面向全国民众的攻击。朝鲜入侵并窃取了大多数国民在进行互联网银行业务或访问国税厅 Hometax 时安装的典型公认证书程序的源代码。利用该软件的漏洞,又入侵了8家主流媒体的网站。人人皆知的媒体网站被黑,意味着可以进行无差别攻击。这是我们在分析当时事件时,感到最惊讶、也最恐惧的一点。但朝鲜在把(面向全国民众攻击所需的)基础设施全部部署完毕后,通过过滤设置,使恶意代码的指令仅下达至特定军工企业或 IT 企业。如果当时没有这道过滤,极有可能真的发动全国性攻击,造成巨大混乱。
此类攻击随时可能再次发生。韩国对互联网的依赖度尤其高。导弹等武器也全部通过计算机进行控制。从攻击者角度看,一旦真正爆发战争,就会拟定如何利用网络空间的作战计划。所谓网络安全的概念,只是看不见而已。实际已经达到极其危险的程度,全体国民都有必要提高警觉。
<讨论者 C> 所谓“侦察总局”的组织是核心。就像韩国由国家情报院进行统筹一样,朝鲜针对进攻性黑客行为,由侦察总局制定所有政策和战略,并负责选拔和培养人员。派人出国留学或组建特定小组也属于这一范畴。
其中,有些人平时在中国普通 IT 公司正常上班,晚上则聚集起来通过黑客攻击赚钱。了解(朝鲜黑客的)报酬情况后发现,待遇非常优厚。虽然无法详细公开黑客获得的激励,但那是中国普通职员根本不可能接触到的金额,收入超过韩国大型企业员工的年薪。他们还可以向在朝鲜的家人汇款。
<讨论者 D> 可以通过针对人本身来实施黑客攻击,也可以通过黑客攻击影响人的认知结构以及指挥·命令体系。最近我听说大田地区某医院的患者个人信息被窃取。记者问“为什么要窃取患者信息”,我反问那家医院的主要客户群体是谁。对方说是国防科学研究所(ADD)的研究员很多。我们必须意识到,一旦掌握个人信息,就可以据此识别要策反的对象。比如家人患癌等各种家庭状况,都可能成为策反间谍的“引爆点”。主要设施和据点的安全防护虽然做得比较好,但若策反内部人员也可以发动攻击。国军情报司令部情报泄露事件不也是内部人员所为吗?
还需要推演朝鲜如何把网络战与常规战争结合起来。朝鲜的作战方式以苏联—俄罗斯战术为基础,是传统的三阶段模式。先通过空袭和导弹火力猛攻前线,打开突破口后再投入坦克和机械化步兵。以这种方式从首尔、大田以南方向突破中心战线,从而掌控整体战局,这是其基本战略。在此基础上又多出了“第0阶段”,即网络战和认知战。这已在俄乌战争中有所体现。在物理火力战之前,大规模网络攻击和假新闻便率先涌入。在攻击主体难以识别的阶段,政府被孤立,大众情绪动摇,主要基础设施和据点可能遭到(攻击)。
<사회> 国家情报院最近透露,朝鲜黑客约有8400人。像“拉撒路”“安达里埃尔”“Kimsuky”等被提及的组织也很多。这些都由侦察总局统一管辖吗?
22日,在首尔中区 Asia Media Tower 以“诊断朝鲜黑客现状与网络安全领域课题”为主题举行的查塔姆议会圆桌会议上,Genian 安全中心主任 Moon Jonghyun 正在发言。记者 Yoon Dongju doso7@
View original image<讨论者 A> 在韩国,既有隶属于机构的黑客,也有在学界的人士,类型多样。而在朝鲜,只要是黑客,基本可以认为隶属于军方或政府。就像中国企业华为与人民解放军有联系一样,可以认为朝鲜黑客也由政府统一管理。
黑客人数在持续增加。如果加上潜在的预备役概念,人数会更多。其家庭的稳定得到保障,经济激励也极为优厚。从很小的时候起就选拔数学、科学天才,由国家进行系统训练,据说每年选拔100人,并在平壤提供面积约45坪(约148平方米)的公寓。有消息称会把他们的家人迁入那里,但归根结底,全家都成了人质。
<讨论者 B> “拉撒路”“安达里埃尔”“Kimsuky”等名称大多是民间安全企业起的。2014年索尼影业遭黑客攻击时,攻击者使用的假账号里有一个英文名“Lazarus”作为昵称。负责分析的美国安全专家在报告中引用了这一称呼(而非朝鲜),因为当时还没有得出攻击幕后系朝鲜所为的完全调查结论。
“Kimsuky”同样源自攻击者邮箱中的姓名“Kimsukyang”。俄罗斯一家安全公司撰写报告时,将尾缀“ang”去掉,随意引用成以“~suky”结尾、类似俄文姓名的形式。“Lazarus”和“Andariel”其实都是网络游戏《暗黑破坏神》(Diablo)中的角色。了解这些内情后,可以说这些组织名在某种程度上带有“滑稽”色彩。
过去曾有“一种禁忌”。民间虽然已经能够在技术上验证是否出自朝鲜之手,但由于可能演变为政治议题,很难直接点名攻击幕后是朝鲜。正因如此,当有关拉撒路的报告发布时,朝鲜还曾搞心理战,说“看看美国的报告,上面写的不是朝鲜,而是拉撒路”。媒体若能直接使用侦察总局或国家保卫省这样的表述就更好了。只有明确点出是朝鲜发动攻击,公众才会真正提高警觉。
<사회> 就朝鲜黑客攻击而言,最近有哪些值得关注的动向?
22日,在首尔中区 Asia Media Tower 以“诊断朝鲜黑客活动现状与网络安全领域课题”为主题举行的查塔姆议会规则座谈会上,Gachon University 警察安保学系教授 Yoon Minwoo 正在发言。记者 Yoon Dongju doso7@
View original image<讨论者 D> 与韩国黑客不同,朝鲜黑客是“实战型斗士”。他们通过反复的实战演练(practice)提升能力。美国在2015年以前一直低估朝鲜,但从2018年开始提高了评价。
朝鲜正越来越像俄罗斯。俄罗斯在2016年美国总统选举期间,将通过黑客窃取的敏感信息泄露给“维基解密”等平台,开展影响力行动。这是一种将技术攻击与影响力行动一体化运用的方式。从这个角度看,今年年初负责统筹俄罗斯海外情报的对外情报局(SVR)局长访问朝鲜,令人担忧。在军事合作日益紧密的过程中,网络领域也很可能出现类似的交流。对俄罗斯而言,比起转移尖端技术,传授这类(网络攻击)“诀窍”要轻松得多。
<讨论者 C> 在朝俄交流中,还可以考虑“提供据点”的问题。观察与俄罗斯接壤的东欧国家,会发现从俄罗斯人开始,各种族裔混居,很难像我们这样用单一民族的概念加以区分。比如到了哈萨克斯坦,人们在外貌上与韩国人差别不大。即便其中有人是朝鲜人,也很难分辨。也就是说,那些地方非常适合进行身份洗白。
黑客无论在世界何处开展活动,都离不开互联网。最终需要据点,而能以朝鲜人身份开展活动的地方实际上只有中国。但即便洗白成中国人,中国本身已是重点警戒对象。俄罗斯则不同,由于与欧洲接壤,完全可以在西方一侧建立各种据点。这些据点不仅用于攻击韩国,还会被作为一种犯罪网络加以利用,并可在犯罪组织之间共享。比如过去曾作为(犯罪网络)据点而闻名的地方就是保加利亚。
<讨论者 B> 实际上,在分析朝鲜网络攻击时,发现其使用了俄罗斯最大门户网站“Yandex”的邮箱和云服务,以及保加利亚和印度的邮箱。如果没有使用过这些基础设施,就不可能将其运用于攻击。在分析朝鲜攻击时,我们重点关注他们究竟是如何了解海外邮箱、云服务并将其运用于实战攻击的,结果判断很可能是通过海外派遣等方式积累现场经验后亲自使用过。用保加利亚等地的邮箱攻击政府机构,本身就可以成为一种伪装和干扰战术。
<사회> 迄今为止,朝鲜黑客攻击的目标主要是通过窃取虚拟资产筹措资金,或窃取核心情报。但随着攻击手法的高度化和专业黑客的培养,有舆论担忧,他们已经具备瘫痪韩国社会的实际攻击能力。
22日,在首尔中区 Asia Media Tower 以“诊断朝鲜黑客活动现状与网络安全领域课题”为主题举行的查塔姆议会规则座谈会上,嘉宾正在进行讨论。记者 Yoon Dongju doso7@
View original image<讨论者 A> 从乌克兰战争等可以看到,前线战场上开始使用人工智能(AI)技术,无人机也发挥了巨大威力。随着传统战争发生变化,网络也成为重要手段。核武器实际上是一种威慑手段,而目前导弹和网络攻击是最有效的战争手段。从朝鲜立场看,在这两方面,他们有充分理由认为自己明显优于韩国。朝鲜很可能会持续把这两种手段高度化,作为“有效工具”。韩国已经实现了高度数字化,甚至正在推进人工智能转型(AI Transformation·AX)。在朝鲜的网络攻击下,可能出现基础设施瘫痪、民心动摇,甚至爆发战争的局面。
随着人工智能和卫星等新技术·平台的崛起,网络安全(Cyber Security)的重要性已经上升到被视为“默认配置”的程度。全球范围内,有实力的黑客像职业体育选手一样,可选择的去处越来越多,甚至爆发了人才争夺战。从这个角度看,朝鲜针对核科学技术人员和网络人才的培养项目可以说是成功的。
韩国也应对这种变化进行借鉴学习,但我们的体系尚未实现有机联动式变革,社会也尚未完全做好接纳准备,这一点令人遗憾。自2006年起推进的网络安全法立法任务,虽然被列入本届政府的国政课题,但至今仍未完成。文在寅政府时期也曾推动立法,但执政党想推进、在野党反对的局面不断重复,令人惋惜。
<사회> 韩国黑客的能力以及网络攻防水平大致处于什么程度?
22日,在首尔中区 Asia Media Tower 以“诊断朝鲜黑客现状与网络安全领域课题”为主题举行的查塔姆议院座谈会上,NCSL网络安全研究所所长 Lee Jin 正在发言。记者 Yoon Dongju doso7@
View original image<讨论者 C> 我们的黑客在参加各类比赛时,成绩相当不错。但这些黑客哪怕在民间公司,都从未进行过“真正的黑客攻击”。他们只是在黑客大赛这一既定框架和既定规则内进行过尝试。与那些经历过真正惊心动魄的实战黑客、亲身参与巨额资金流转的朝鲜黑客相比,在攻击力上难免会产生差距。
在防御能力方面,国家情报院和韩国互联网振兴院(KISA)经过长期建设,已经形成较为完善的体系。如果不存在人员被策反的问题,只要在系统层面遵守基本原则,整体上就不容易被攻破。但因为使用不便,往往出现不严格遵守的情况。安全意识比较薄弱。实际上,每年对政府各部门进行安全审计时,总会在非常基础的环节发现问题。
<讨论者 D> 前一位讨论者提出了一个重要观点:黑客行为本质上是犯罪。黑客这种行为的特性,决定了必须游走于既定规则和规范之外。但如果通过体制内教育培养人才,就会从学习阶段开始把遵守规范的思维“写入”大脑。人在既定框架内可以发挥极大能力,但要跨越边界却很困难。而朝鲜黑客以实战为基础,可以调动(犯罪性的)想象力。因此,西方国家也会直接聘用正在从事黑客活动的人。
在防御层面,也必须同时思考攻击能力,即实施“进攻性防御”。朝鲜黑客终究也有人类的脆弱性。可以通过对他们开展影响力行动,引导其叛逃,或促使内部人员揭发。一种办法是,当朝鲜黑客向韩国投诚时,允许其保留自己隐藏的资产。需要采取积极动摇黑客群体的进攻性应对。
<讨论者 B> 在网络空间,最快速、最有效的防御就是攻击。不是有句俗语叫“进攻是最好的防守”吗?但回顾我们培养安全专家的过程,却把“伦理”看得极为重要。在网络空间,攻击从未停止。为了防御,我们不得不进行反击。然而矛盾的是,一旦试图以攻击作为最佳防御,就会立刻触犯法律。缺乏制度性安全装置,一旦越过“红线”就会成为犯罪者。
最近,美国国防部引入了“前沿防御”(Defend Forward·针对网络威胁的进攻性防御战略)概念,韩国也开始向前沿防御姿态转变。此前在国家安全层面,虽然也存在(为防御而实施的违法行为),但只是非公开进行,现在才开始进入公共讨论。虽然我们仍不太使用“网络战争”这一表述,但在水面之下,实时战斗正在进行。可以说,在网络空间,此时此刻也在进行战争,绝非夸张。
<사회> 从网络安全角度看,我们的课题和今后需要补强的要素有哪些?
22日,在首尔中区 Asia Media Tower 以“诊断朝鲜黑客现状与网络安全领域课题”为主题举行的查塔姆之家座谈会上,总统室网络特别辅佐官 Lim Jongin 正在发言。记者 Yoon Dongju doso7@
View original image<讨论者 A> 随着网络犯罪的严重性不断加剧,本月8日(当地时间)联合国临时委员会会议以全票通过了《网络犯罪防止协定(草案)》。预计今年秋季提交联合国大会审议时也将顺利通过。这是首个关于网络犯罪的国际协定。一旦批准协定并据此制定国内法,我们在应对网络战方面的能力也有望得到提升。
此前在2001年,欧洲委员会会议曾通过《布达佩斯协定》。这是一项为在网络犯罪领域实现快速协作而制定的多边协定,而韩国还是在本届政府才提出加入申请。此前由于相关法律和制度尚未完善,难以参与。比如,在对犯罪进行侦查时,如果有协作请求,就必须具备为实时移交数据而实施监听的能力。但韩国《通信秘密保护法》中并没有允许实时监听的条款,只有处罚条款。军方虽然设立了网络作战司令部,但其任务并不明确。(从网络战角度)冷静地说,我军的水平与1968年 Kim Sinjo 渗透事件时相比并没有明显提升。
☞ 现行法律中没有强制电信运营商配备手机监听设备的条款,事实上无法进行监听。美国根据1994年制定的《通信监听协助法》,由政府或电信公司承担监听设备费用,德国、英国、澳大利亚等国也建立了类似制度。
所谓韩国是“IT 强国”,其实是一种错觉。虽然外国游客络绎不绝,但韩国却是少数几个无法使用“Google 地图”的国家之一。“Google Pay”无法使用,“Apple Pay”也依然在很多地方无法使用。若要提升能力,必须先完善法律和制度,随后产业发展,最后服务再随之提升。韩国在产业层面虽然取得了长足发展,但服务却严重滞后。社会系统也存在诸多不完善之处。如果法律和制度不发生变化,社会就无法改变。
<讨论者 C> “网络安全”是在无法区分(国家)内外的网络空间中,以国家为框架进行战略性应对的概念。在制定网络安全法时,不能像过去的国家保安法那样,从惩罚和监视的角度出发。这种方式已不适用于当今时代。人们担心其被政治滥用,如果无法消除这种疑虑,无论哪一方执政,都很难推动法案通过。
不论进步派还是保守派,迄今为止提出的法案中,都看不到为保护个人信息应当确立何种原则。为了“网络安全”,如有必要,应包括进攻性手段在内,也就是说,必须允许动用可能侵犯个人隐私的一切手段。
要获得必须承受个人信息侵害的国民的理解,关键在于“责任”问题。为调查(网络犯罪),如果相关机构认为有必要,就应当可以访问所有信息和手段。但前提是,所有行为都必须留下记录,而且这些记录不得被删除或篡改。即便多年之后,也必须能查到是谁、在何时、出于何种目的访问了哪些信息。比如,如果过去的政权曾进行政治性滥用,但最终因记录而受到法律制裁,国民才会理解。
<讨论者 B> 朝鲜的攻击已经超出了单一组织可以防御的水平。尽管国家情报院和韩国互联网振兴院(KISA)成功防御了大量攻击,但要完全探测针对民间领域的隐蔽攻击,在现实中存在局限。正如青年在军队接受教育和训练一样,在网络空间也需要“民间防御态势”。比如,以网络安全企业从业者或在大学主修相关专业的学生为对象,组建一种“网络预备役”,建立共同研究和应对的体系。就像在防务产业领域,民间企业与政府机构共同研究合作一样,在网络安全领域也应引入类似的资格和概念。如果能以涵盖产·学·研的综合概念,对堪比军工防务的民间信息安全企业进行投资,政民协作也会更加牢固。
系统层面的补强也十分迫切。最近法律已修改为,一旦发生网络侵害事故,信息通信服务提供者必须在意识到事故后的24小时内,向有关部门报告受害情况和原因等。但遭到朝鲜攻击的企业,由于担心信誉下滑或股价下跌,不愿将受害事实与相关机构共享或对外公开。朝鲜的网络攻击水平已经高到单个企业无法防御的程度。希望能减轻企业负担,使其能够快速共享受害情况并开展应对。
还需要借鉴海外案例引入安全解决方案。以行为为基础的探测(EDR·终端探测与响应)就是典型之一。美国通过总统行政命令(第14028号行政命令),指示联邦机构安装 EDR 等系统。韩国在这方面的制度较为欠缺。企业只是通过新闻得知存在朝鲜攻击,却很难了解在技术上应如何应对。为在发生侵害事故时能够进行准确调查,必须建立制度性装置,使企业可以引进专业安全解决方案等。
☞ “终端”是指用户为接入 IT 服务而使用的设备,如个人电脑、智能手机、平板电脑等。终端探测与响应(EDR)系统用于监控终端上是否发生恶意代码、黑客入侵等事件,并根据事先制定的安全策略,立即采取断开网络等应对措施。Biden 政府于2021年通过《网络安全行政命令》,在政府层面推动 EDR 系统的广泛应用,并在联邦政府内部推进信息共享,以提升政府网络对网络安全事故的探测能力。
<讨论者 D> 网络安全必须以“常态战争”的概念来对待。与过去不同,现在人们把“战争与和平”视为一个连续光谱。在真正动用物理军事力量的战争之前或之后阶段,会展开运用非物理手段的网络战和认知战。仅凭国家情报院和军队力量来应对朝鲜的黑客攻击是有局限的。除了政府和军队,还必须培养“民兵”。
要让民间专家能够参战,就必须构建“商业生态”。比如,有人在网络司令部服役期间积累职业经历,退役后转入民间安全企业并获得丰厚薪酬,这样军官和士官的应征就会络绎不绝。之后又可以从民间安全企业回到国家机构任职,或者作为教授、研究员开展活动,形成一种可以自由流动的“职业路径”。
首要任务是废除军队和政府机构中(在需要时难以及时招聘专业人才的)公开招聘制度。在美国,有一位曾任海军陆战队上尉、负责伊拉克战争中的网络战,退役后在民间安全企业工作,后来又转任国家安全局(NSA)局长的朋友。而在韩国,即便从军队退役时已是顶尖专家,也没有制度允许其重新进入组织任职。
在法律层面,也可以考虑改变切入方式。不要试图在“网络安全法”这一大框架下打包所有内容,而是像“萨拉米战术”(salami)那样,把课题切分开来逐一应对。先罗列当前对韩国构成威胁的行为类型,再以行为为中心,逐项累积对应的规制条款。制定网络安全法本身伴随着“在野党反对”的风险——任何一方都有可能成为在野党。承认彼此的利益关系,以“先做能做的事”的方式逐项应对,难道不是更为理性的做法吗?
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
