평양 망경봉 혁명학원 학생들이 컴퓨터 수업을 받고 있다. ⓒphoto APㆍ뉴시스
평양 망경봉 혁명학원 학생들이 컴퓨터 수업을 받고 있다. ⓒphoto APㆍ뉴시스

2015년 7월 1일 평양 모처에 북한의 최정예 사이버공작 요원(해커)들이 총집결하였다. 김정은의 특별 지시에 따라 한국과 미국 등을 대상으로 특정 사이트를 실제 공격하는 이른바 실전(實戰) 경연대회에 참가하기 위해서였다. 여기에는 국방위원회(현 국무위원회) 직속 정찰총국의 기술국, 북한군 총참모부의 지휘자동화국 등 사이버전 부서, 당 소속 사이버공작 및 해커양성 부서 등 북한 내 사이버공작 관련 정예부서가 다 참가했다. 당 창건 70주년(2015년 10월 10일) 기념행사를 앞두고 무려 3개월 동안 진행된 이 대회에서는 1차 평가 및 2차 평가를 통해 우수 부서를 포상한 것으로 알려져 있다.

이 행사는 가상(假像) 공격이 아닌 실제 공격을 평가하는 실전 테스트였다는 점이 특징이다. 또한 사이버공격의 특성상 사전 준비단계에 많은 시일이 소요되기 때문에 3개월 동안이나 대회를 진행한 것으로 보인다.

북한은 그동안 자행한 자신들의 사이버공격 수법, 즉 악성코드 유형, 경유지, IP 등 공격 패턴이 일부 노출됨에 따라 다양한 사이버공격 및 해킹기술을 발굴하고 각 사이버공작 부서 간 경쟁과 충성심을 유도하려는 시도를 해왔다. 실제 이 대회를 기점으로 북한은 기존의 사이버테러 패턴과는 전혀 다른 새로운 유형의 사이버공격을 자행하였다. 2015년 7월 북한 소속으로 추정되는 해커가 이탈리아 보안업체 해킹팀에서 유출된 기술을 활용해 국내 인터넷망에 악성코드를 유포하다 당국에 감지된 것이 대표적이다.

2015년 평양 사이버경연대회 이후의 변화

이후 북한은 특정 타깃을 대상으로 한 사이버테러 등 물리적 공격과 함께 사이버 금전탈취에 주력하기 시작했다. 기존의 해킹 방식이 아닌 새로 진전된 방식으로 자신감을 가지고 특정 대상을 해킹하여 연 1조원대의 이른바 사이버 외화벌이를 하고 있는 것이다. 이 금액은 북한 한 해 예산의 7분의 1에 해당하는 거액이다. 지난 10월 31일 서훈 국정원장은 국회 정보위 국정감사에서 북한의 한 해 예산이 7조원대라고 밝혔다.

김정은의 사이버 분야에 대한 사랑(?)은 지극하다. 김정은은 2013년 8월 “싸이버전은 핵·미사일과 함께 우리 인민군대의 무자비한 타격능력을 담보하는 만능의 보검”이라고 강조한 바 있다. 또한 2014년 6월에는 평양 룡성구역에 신축된 것으로 알려진 정찰총국 소속 사이버전담부서(기술정찰국) 청사를 방문하여 사이버 전황을 보고받고 “적들의 싸이버 거점들을 일순에 장악하고 무력화할 수 있는 만반의 준비를 갖출 것”을 지시했다. 김정은은 이 자리에서 사이버 외화벌이의 중요성도 독려했을 것으로 보인다.

통상 남북 화해 국면에서는 오프라인상에서의 군사도발뿐만 아니라 온라인상에서의 사이버 도발도 자제하는 것이 상식이다. 그러나 북한은 여전히 사이버 해킹과 금전탈취 등 사이버 남침(南侵)을 지속하고 있다.

지난 11월 29일 미국 사이버 보안업체 ‘파이어아이(Fire Eye)’의 발표에 의하면, 남북 관계 해빙 무드 속에서도 ‘라자루스(Lazarus)’ ‘템프허밋’ ‘APT38’ ‘APT37’ 등 북한 해커조직들이 지속적으로 한국 기업과 공공기관, 금융기관을 상대로 해킹 공격을 시도한 사실이 확인됐다. 이 업체는 지난 11월 8일에도 북한의 해킹 공격이 감지됐다고 밝히며 “북한의 사이버공격은 현재진행형이고 갈수록 고도화되고 있다”고 강조했다.

파이어아이가 발표한 북한 해커조직 중 APT37은 주로 한국 정부와 군대를 상대로 한 해킹에 주력했고, APT38은 올 1~5월 국내 금융기관에서 자금을 탈취하려는 시도를 여러 차례 반복하다가 11월 초 다시 활동을 재개한 것으로 파악됐다. 또 템프허밋은 4~9월 방위산업체, 에너지 관련 기관에 악성코드를 대대적으로 살포하는 역할을 맡았다. 라자루스는 도로·발전소와 같은 주요 기관 시스템에 해킹 프로그램을 심어두는 데 집중했다.

올 11월 ‘청와대 국가안보실’ ‘국정상황실장’ 및 ‘국립외교원장’을 사칭한 이메일 살포와 국회 외교통일위원회 소속 의원실을 대상으로 배포된 ‘2018년도 국정감사계획서(안)’라는 악성코드 파일이 담긴 이메일도 파일 유형과 공격 패턴을 보면 북한 해커조직의 소행으로 평가된다. 그럼에도 불구하고 청와대와 국방부는 4월 판문점선언 이후 북한의 사이버 위협이 없다고 북한을 대변하는 데 급급하고 있는 형편이다.

지난해 9월 경찰청 사이버안전국이 국내 비트코인 거래소들을 대상으로 해킹이 시도된 사건을 수사한 결과 북한 소행임을 확인했다고 밝혔다. 경찰청 김영운 사이버안전과 팀장이 사건개요 등을 브리핑하고 있다. ⓒphoto 뉴시스
지난해 9월 경찰청 사이버안전국이 국내 비트코인 거래소들을 대상으로 해킹이 시도된 사건을 수사한 결과 북한 소행임을 확인했다고 밝혔다. 경찰청 김영운 사이버안전과 팀장이 사건개요 등을 브리핑하고 있다. ⓒphoto 뉴시스

올해만 23개국 ATM에서 수천만달러 탈취

최근 국제 사이버 보안업체들이 주시하는 것은 해킹을 통한 북한의 신종 외화벌이다. 지난 10월 2일 미 국토안보부(DHS)와 연방수사국(FBI)은 북한 해킹조직 ‘히든 코브라’가 ‘패스트캐시(FASTCash)’ 수법을 사용하여 올해에만 전 세계 23개국 ATM기에서 수천만달러의 현금을 탈취했다고 발표했다. 또한 10월 3일 미국 사이버 보안업체 ‘파이어아이’의 발표에 의하면, 북한 해킹조직 APT38이 전 세계 16개 은행을 해킹하여 11억달러(약 1조2000억원)를 빼돌리려다 적발되었다. 지난 10월 19일 러시아 사이버 보안업체 ‘그룹-IB’의 발표에 의하면, 북한의 해킹조직 라자루스는 그동안 악성코드 배포, 스피어피싱 등의 방법으로 암호화폐(가상화폐)거래소를 집중 공격하여 5억7100만달러(약 6373억원)를 탈취하였다. 북한의 해킹 액수는 작년 한 해 전 세계에서 발생한 금전해킹(약 9988억원)의 65%에 달하는 액수이다. 올 1월 일본의 암호화페거래소 코인체크의 해킹(약 5600억원)도 북한 소행으로 추정된다.

국내에서도 작년 한 해 북한 소행으로 추정되는 5건의 대형 사이버 금전탈취사건이 발생했는데, 국내 암호화폐거래소 ‘유빗’이 해킹으로 220억원 상당의 암호화폐를 탈취당해 결국 파산한 것도 북한의 소행으로 보인다.(자세한 국내 금전탈취 사례는 주간조선 2018년 10월 15일자 필자 기고문 참고)

미국 사이버 보안업체 레코디드퓨처(Recorded Future)는 북한이 스캠(사기) 암호화폐 프로젝트 2건을 후원하는 방식으로 자금을 확보했다는 발표도 했다. 또 라자루스가 가짜 소프트웨어 기업을 만들어 암호화폐거래소 공격에 악용한 바 있다고 밝혔다.

암호화폐 개인투자자 공격으로 전환

국내외 보안업체들에 따르면 최근 들어 북한 해킹조직들은 암호화폐거래소 해킹에서 암호화폐 개인투자자 집중 공략으로 전략을 바꾸고 있다고 한다. 지난 11월 29일 홍콩의 사우스차이나모닝포스트(SCMP)에 의하면 국내 사이버보안업체인 큐브피아는 최근 북한 해커들의 국내 해킹 시도 30건 이상을 탐지했는데, 대부분 암호화폐 지갑을 보유한 개인투자자들이라고 밝혔다. 연이은 암호화폐거래소 해킹으로 각 업체들이 보안시스템을 강화하자 보안에 취약한 개인투자자를 노리는 것으로 보인다.

한 가지 흥미로운 점은 북한이 2019년 4월 22~23일 이틀간 평양 과학기술전당에서 블록체인·암호화폐 업계의 전문가들이 참여하는 국제대회를 개최한다는 점이다. 스페인에 본부를 둔 친북단체인 조선친선협회(KFA)에 의하면, 회의 참가비는 1인당 3300유로(약 425만원·비자 수수료 제외)로 비싼 편인데 여기에는 국제회의 참가 외에도 7박8일(4월 18~25일)간의 현지 관광 일정 비용이 포함돼 있다고 한다. 겉으로 보면 관광객 유치 목적으로 보이나, 실제로는 북한의 블록체인·암호화폐의 기술력을 선전하고 더 나아가 선진기술을 습득해 각종 암호화폐 해킹 등 사이버 외화벌이에 활용하려는 것으로 판단된다.

최근 3~4년 사이 북한이 사이버 외화벌이 및 암호화폐 탈취에 주력하는 배경으로는 우선 핵실험과 탄도미사일 발사 실험으로 인한 국제사회의 대북제재가 심화되는 상황에서 기존의 외화벌이 수단(수출, 해외노동자와 해외식당, 무기밀매 등)과 금융거래가 막히다 보니 새로운 외화벌이가 필요해졌다는 점이 꼽힌다. 새로운 외화벌이 수단으로 사이버 금전탈취에 눈을 돌렸다는 것이다. 북한의 1년 외화벌이 총액은 50억~60억달러로 추정되는데, 이 중 사이버 외화벌이 수입이 10억달러 정도이니 김정은이 환호하며 주력할 수밖에 없는 것으로 보인다.

온라인 공간에서 정교하게 전개되는 사이버 금전탈취는 사이버테러와 마찬가지로 추적이 매우 어렵다는 점도 북한이 주력하는 배경으로 꼽힌다. 실제 온라인상에서는 각종 보안장치를 뚫고 들어가 ‘도둑질’을 해도 들킬 위험성이 상대적으로 적다. 피해를 당한 쪽이 어렵게 공격 원점에 접근해도 결정적 증거를 제시하지 않는 한 ‘추정’이라고 발표할 수밖에 없는 현실이 이를 방증한다. 북한이 특히 암호화폐 탈취에 치중하는 것은 이 분야가 제도권 금융기관보다 상대적으로 보안이 취약하기 때문이다. 최근에 급속히 확산되는 암호화폐 시장에서는 자금 추적이 어려워 현금화가 용이하다는 것도 북한으로서는 매력적이다. 사이버 금전탈취는 사이버테러 등으로 축적된 기술을 새롭게 변형하고 기술력만 향상시키면 ‘저비용-고효율’의 수익을 가져다줄 수 있다.

국제 사이버 보안업체들이 지적한 북한의 지속적인 사이버공격은 김정은이 올 들어 보여주고 있는 비핵화 주장과 대대적인 평화공세가 ‘위장 술책’임을 알 수 있는 단적인 사례이다. 지구상에서 유례없는 반문명적 폭압통치자가 하루아침에 평화전도사로 둔갑한 코미디가 더 이상 국내외에서 활개 치도록 방조하면 ‘역사의 죄인’이 될 것이다.

키워드

#북한
유동열 자유민주연구원 원장
저작권자 © 주간조선 무단전재 및 재배포 금지