‘[긴급] 지금 바로 비밀번호를 변경해 주세요.’
최근 카카오 계정 관리 페이지를 위장해 사용자에게 비밀번호 변경을 요청하는 메일이 발송됐다. 메일을 열어본 사용자가 비밀번호 등 정보를 입력하면 관련 정보를 통째로 공격자 서버로 빼돌리려는 피싱 시도였다. 보안 전문업체 이스트시큐리티는 지난 1월 악성코드 분석 리포트를 통해 비밀번호 탈취 공격을 시도한 배경에 북한 해킹조직 ‘김수키(Kimsuky)’가 있다고 분석했다.
2014년 한국수력원자력을 공격했던 김수키는 가장 유명한 북한 해킹 조직이다. 김수키는 지난해 4월~10월 태영호 국민의힘 의원실 관계자 등을 사칭해 국내 외교·안보 전문가 최소 892명에 대한 해킹도 시도했다. 경찰청 국가수사본부 수사 결과 이들은 26개국 326대 서버 컴퓨터를 통해 세탁한 IP주소로 국회의원실, 정부 기관, 기자를 사칭해 전문가에게 메일을 보낸 것으로 드러났다. 이 과정에서 랜섬웨어를 유포한 사실도 처음으로 확인됐다.
갈수록 북한의 사이버 안보 위협 수위와 공세가 거세지고 있다. 과거 정부와 공공기관 등을 타깃으로 삼던 데서 더 나아가 민간 분야로까지 손을 뻗치고 있다. 북한이 지난해 전 세계에서 훔친 가상화폐 규모가 우리 돈으로 2조원을 훌쩍 넘었다는 보고서도 나왔다. 북한은 해킹으로 손에 넣은 정보와 자금을 핵·미사일 등 첨단 무기 개발에 활용하고 있어 우려는 더욱 커지고 있다.
북한의 해킹 위협은 수치를 통해 가늠할 수 있다. 유상범·태영호 국민의힘 의원이 국정원으로부터 제출받은 ‘국가·공공기관 사이버 공격 사고 현황’에 따르면 2013년부터 지난해까지 국가기관에서 발생한 사이버 공격 피해는 총 3만5869건으로 집계됐다. 지난해 국가기관을 노린 사이버 공격 ‘시도’는 하루 평균 180만건에 달했다.
국정원은 “사이버 공격은 제3국을 우회하거나 고도의 은닉 기술을 사용해 공격 주체를 특정해 지목하는 것이 어렵다”면서도 “이 중 상당 부분이 북한과 연계된 것으로 추정하고 있다”고 했다. 우리 정보당국은 사이버 공격 피해의 절반 이상을 북한 해킹조직의 소행으로 보고 있다. 북한은 정부 기관 자문위원으로 활동하거나 국가 핵심과제를 다루는 국공립 대학교와 외교·안보 관련 연구 기관 등을 집중 공격한 것으로 파악됐다.
국정원이 국가보안기술연구소·삼성전자와 손잡고 정부 주요 부처의 장·차관 등 핵심인사들이 사용하는 ‘안보폰’ 개발에 나선 것도 이 같은 위협에 대응하기 위한 차원이다. 해킹 공격을 보다 효과적으로 방어하고 비밀 소통이 가능한 안보폰이 2021년 5월 이후부터 사용되고 있다.
이스트시큐리티에서 보안대응센터장 등을 지낸 문종현 전 이사는 “개인과 기업 등을 겨냥한 사이버 공격까지 고려하면 북한발 해킹 피해는 훨씬 더 심각하다”고 분석했다. 2013년 이후 국가기관의 사이버 공격 피해가 감소 추세를 보이는 것은 북한 해킹조직이 민간분야에 대한 공격에 더욱 집중하고 있기 때문이라고 문 전 이사는 설명했다.
실제 북한 해킹조직이 지난해 9월 대북 전단 관련해서 한 탈북민 지원단체를 해킹해 전단 살포 일정과 장소 등이 담긴 자료를 빼돌린 정황이 국정원에 포착됐다. 김정은 북한 국무위원장 동생 김여정 노동당 부부장이 코로나19 유입 원인으로 ‘대북전단’을 지목하며 강력한 보복 대응을 경고한 지 한 달 만에 행동에 나선 것이다. 국정원은 경찰에 이 단체 관계자들에 대한 신변 보호를 요청했고 다행히 이들에 대한 물리적 테러 등 2차 피해는 발생하지 않았다.
익명을 요구한 보안업계 관계자는 “이름만 들으면 누구나 아는 대기업 관계자가 찾아와 ‘북한 소행으로 보이는 해킹을 당했다’며 도움을 요청하는 경우도 있었다”고 귀띔했다. 이 관계자는 “비트코인 등 가상자산이나 주식을 큰 규모로 거래하는 개인 역시 북한 해킹조직이 예의주시하는 대상”이라고 말했다.
북한은 김정은 국무위원장 집권 이후 경제력과 국방력을 강화하기 위한 수단으로 해킹을 적극적으로 활용하고 있다. 김 위원장은 해킹을 핵·미사일과 함께 ‘만능 보검’이라고 규정하고, 해커 육성에 각별히 공을 들이고 있다. 과거 아버지 김정일 국방위원장이 해킹을 정권 유지에 필요한 도구 정도로 여긴 것과 다른 모습이다.
오일석 국가안보전략연구원 연구위원은 “김정일 시대 북한은 ‘아무거나 하나만 걸려라’는 식으로 전방위적으로 해킹을 시도했다”며 “그러나 2021년 제8차 노동당 대회 이후 북한은 첨단 기술과 가상자산을 빼돌리는 데 집중하고 있다”고 말했다.
북한은 2021년 6월 한국원자력연구원을 공격해 기술을 탈취했다. 이는 김 위원장이 공언해왔던 핵추진잠수함 개발에 활용되고 있을 것으로 보인다. 원자로를 이용하는 핵추진잠수함은 반영구적으로 수중에서 작전할 수 있어 매우 위협적이다. 오 위원은 “국내 여러 첨단 기술 중 북한이 원자력 관련 기술에 더욱 눈독을 들이는 것 같다”고 우려했다.
미국 뉴욕 블록체인 분석기업 ‘체이널리시스’는 지난달 1일 ‘라자루스’ 등 북한 해킹 조직이 지난해 전 세계에서 16억5050만 달러(약 2조300억원) 상당 가상화폐를 훔쳤다고 전했다. 북한 경제 규모에 비춰볼 때 매우 큰 규모다. 대한무역투자진흥공사에 따르면 지난해 1~3분기 북한의 대중국 수출액이 8128만 달러(약 1073억원) 수준이었다. 유엔은 북한이 이렇게 갈취한 가상화폐를 미사일 등 개발하는 데 활용하고 있다고 지적했다.
현재 국정원 추산 북한 해커 1700여명이 북한과 중국, 러시아 등에서 활동하며 호시탐탐 기회를 노리고 있다. 대북 전문가들 사이에서는 그 수가 7000명~1만명 사이일 것이라는 관측도 있다. 북한은 평양에 있는 금성학원과 금성1중학교에 ‘컴퓨터 수재반’을 설치해 전국에서 우수한 학생을 선발하고 있다. 이 중 성적 우수자는 북한 최고 대학인 김일성종합대와 김책공업대로, 일부는 북한군 교육기관인 김일자동화대학이나 정찰총국 산하 모란봉대학으로 진학해 전문 해커로 육성된다.
전문가들은 “북한의 해킹 공격은 국가 안보를 비롯해 경제까지 위협하는 심각한 위협”이라며 대응책 마련이 시급하다고 주문했다. 국회 정보위원회 여당 간사인 유상범 의원은 “해킹을 국가전략산업으로 고도화하는 북한에 맞서 우리도 사이버 공격 억지력을 강화하고 장기적인 관점에서 사이버 보안 전략 산업화를 추진할 대책 및 기구를 마련해야 한다”고 촉구했다.
손재호 기자 sayho@kmib.co.kr