최근 미국과 유엔 당국 및 국제 민간 사이버 보안업체들은 북한의 사이버 도둑질, 즉 금전탈취에 대한 보고서를 잇따라 발표하고 있다. 지난 1월 미국 블록체인 데이터 분석회사인 체이널리시스는 북한 해커들이 2021년 한 해에만 암호화폐거래소 등을 대상으로 최소 7차례 플랫폼 공격을 단행하여 4억달러(약 5200억원) 규모의 암호화폐를 탈취했다고 발표했다. 지난 3월에는 블록체인 비디오게임 ‘액시인피니티’가 북한에 해킹당해 역대 최대 규모인 6억달러(약 7800억원) 상당의 암호화폐를 탈취당했다.
지난 4월 발표된 유엔 안전보장이사회 산하 대북제재위원회의 전문가 패널보고서(요약)에 의하면, 북한은 2020년부터 2021년 중반까지 북미, 유럽, 아시아 등 최소 3개 암호화폐거래소에서 약 5000만달러(약 650억원)를 탈취했다. 2009년부터 유엔 안보리 대북제재위원회는 매년 전문가 패널보고서를 발표하는데 2019년부터 북한의 사이버 공격에 대해 상세히 다루고 있다. 2019년 보고서를 보면 북한이 2015년 12월부터 2019년 5월까지 최소 17개국의 금융기관과 암호화폐거래소를 대상으로 35차례에 걸친 사이버 공격을 통해 최대 20억달러(약 2조6000억원)를 탈취했다고 밝히고 있다. 매년 발표되는 유엔 보고서로 사이버 공간을 활용한 북한의 사이버 도둑질 역량은 세계 1위로 공인받고 있는 셈이다.
지난 7월 19일 미국 법무부와 FBI(연방수사국)는 북한 해커들이 미국 병원들을 공격해 탈취한 50만달러(약 6억5000만원) 상당의 비트코인을 회수했다고 밝혔다. 이의 발단은 작년 5월 미국 캔자스주 한 병원의 IT 시스템이 해커들의 공격에 의해 마비된 사건에서 출발한다. 당시 병원 측은 시스템을 정상화하려 했으나 결국 실패하고 1주일 후 해커들에게 약 10만달러를 비트코인으로 지급한 뒤 암호키를 받아 복구하였다.
북 해커, 변종 랜섬웨어 공격
북한 해커들의 랜섬웨어 공격에 당한 것이다. 랜섬웨어란 인질의 몸값을 뜻하는 랜섬(ransom)과 소프트웨어(software)의 합성어로 사이버상 인질 몸값용으로 개발된 악성프로그램이라 할 수 있다. 대표적인 사건은 북한이 2017년 5월 12일부터 대규모 사이버 공격을 단행하여 전 세계 99개국의 컴퓨터 23만대 이상을 감염시킨 워너크라이(WannaCry) 사건이다. 이들은 윈도 서버블록메시지(SMB) 취약점을 이용해 ‘워너크라이’라는 랜섬웨어를 유포하며 비트코인을 지급하면 풀어주겠다는 협박 메시지로 12만6623달러(약 1억6000만원)를 탈취하였다.
작년 5월 미국 병원들을 공격하는 데 사용된 랜섬웨어는 워너크라이의 변종인 ‘마우이(Maui)’였다. 북한은 마우이 랜섬웨어를 사용해 미국의 의료기관들의 서버를 장악하고 돈을 요구하는 악의적 활동을 지속하였다.
당시 신고를 받은 FBI(연방수사국)는 무려 1년간의 추적을 통해 북한이 비밀리에 사용하는 복수의 암호화폐 계정과 자금세탁 루트까지 찾아내 이들 계좌를 압류하고 탈취된 자금을 전량 회수하는 데 성공했다. 콜로라도주의 다른 병원도 같은 방식으로 공격당해 비트코인 12만달러어치를 지급한 것을 확인하고 회수하였다. 미국이 북한의 사이버 금전탈취에 대해 공세적으로 대응한 결과다.
사이버 외화벌이 수법의 다양화
북한은 중국 베이징, 선양, 다롄, 광저우, 몽골 등 전 세계에 무역회사 등으로 위장한 해외 사이버 공작거점을 두고 사이버 공격과 함께 사이버 외화벌이 사업도 병행하고 있다. 북한은 최근 5년간 평균 연 1조원 규모의 사이버 외화벌이를 하는 것으로 평가된다. 이는 북한 연 예산의 7분의1에 해당한다.
북한의 사이버 외화벌이 유형을 보면, 초기에 ①해외에서 불법도박 사이트 직영 ②국내 도박업자와 결탁, 불법 사이버 도박장을 운영하여 수입배분 ③사행성 도박프로그램, 증권 선물 사이트 개발, 오토프로그램 제작 판매 ④디도스 공격 등 사이버테러 대행 등에서 진화하여 최근에는 ⑤랜섬웨어를 통한 금전절취 ⑥은행 및 암호화폐거래소 금전탈취까지 혈안이 되어 있다.
또한 북한은 고숙련 IT 인력을 해외 업체에 위장취업시켜 외화벌이와 함께 각종 IT 정보를 불법 탈취하고 있다. 지난 5월 미 FBI, 국무부, 재무부에서는 북한 IT 근로자의 해외 위장취업에 대한 주의를 당부했다. 권고안에 따르면 북한은 미국과 유엔의 대북 제재를 우회하기 위해 해외로 파견되거나 북한 내에서 활동하는 수천 명의 고숙련 IT 인력을 해외 업체에 취직시켜 코로나19로 인한 재택근무 등을 악용해 위장신분으로 취업해 연간 30만달러(약 3억9000만원)를 벌고 있다고 한다. 팀 단위로 환산할 경우 연간 300만달러(약 39억원) 이상이다.
북한이 사이버 외화벌이 공작에 주력하는 배경은 첫째, 북한의 연이은 핵실험과 탄도미사일 발사 실험으로 유엔 등 국제사회의 대북 제재가 심화되는 상황에서 기존의 외화벌이 수단(수출, 해외노동자와 해외식당, 무기밀매 등)이 막히다 보니 새로운 외화벌이 영역으로 사이버 금전탈취에 주력하는 것이다. 둘째, 기술력만 향상시키면 사이버 금전탈취가 ‘저비용-고효율’의 수익을 가져다 주기 때문이다. 셋째, 오프라인과는 달리 사이버 도둑질은 속성상 공격 원점을 특정하기가 매우 어렵다는 점이다.
지금 이 시간에도 북한 해커들은 대한민국을 대상으로 초(秒) 단위의 사이버 공격을 전개하고 있다. 북한 및 해외로부터 한국의 국가기관망과 공공망을 대상으로 해킹을 시도하는 건수가 하루 평균 155만건에 달한다는 주장도 있다.
북한의 사이버 금전탈취 및 테러 등 안보위협이 심각한 상황인데도 대한민국은 이를 차단할 법적 근거인 사이버 안보기본법(가칭)조차 제정하지 못하고 있다. 북한은 사이버 공간의 약점과 우리 법제의 허점을 활용하여 사이버 공격을 전개하고 있는 것이다.
향후 더욱 공세화될 북한 및 해외 해커들에 의한 사이버 공격을 억지하기 위해서는 탐지, 차단, 복구 등의 방어 차원에서 벗어나, 사이버 공격원점을 추적하여 철저히 응징하는 공세적 사이버 대응시스템의 구축과 실행이 필요하다. 또 미국 등 국제사회와 공조, 북한 내 사이버 공작부서인 정찰총국이나 해외거점에 대한 물리적 파괴공격 등 비대칭적 응징도 고려해야 한다.