입력
수정
북한 해킹그룹 '김수키', 국내 안보 겨냥한 공격 확대 나서 전 세계 IT 기업에 위장 취업해 자금 탈취하는 사례도 매년 적발 해킹 수익만 연 2조원, 모두 핵개발 자금으로 투입
국내 공공분야에 대한 북한의 사이버 공격 시도가 하루 평균 130만 건에서 150만 건으로 증가한 것으로 나타났다. 디지털전환(DX) 확산으로 북한발 사이버 공격이 급증함에 따라 사이버위기경보 '주의' 단계도 20개월째 유지되고 있다. 한편 최근 들어 북한 해커들이 전 세계를 대상으로 전방위적 사이버 공격을 이어가는 가운데, 해킹을 통해 마련한 자금이 핵개발 비용으로 고스란히 들어가고 있어 우려를 더한다.
북한발 사이버 공격, 일평균 150만 건에 달해
1일 국가정보원 등에 따르면 북한발 공공분야 사이버 공격이 일평균 150만 건에 달하는 것으로 나타났다. 종전 130만 건에서 최근 20만 건가량 증가한 수치다. 북한발 공격이 지속됨에 따라 지난해 3월 21일 발령한 '주의' 경보도 590일째 유지되고 있다. 당시 국가사이버안보센터는 러시아·우크라이나 전쟁 관련 사이버전 확대 및 정권 교체기 해킹시도 기승 전망을 고려해 사이버위기경보를 기존 '관심'에서 '주의'로 격상한 바 있다. '주의' 경보는 국내외 다수기관의 정보통신망 및 정보시스템에 장애가 발생하거나 정보유출 등 침해사고 확산 가능성이 증가할 때 발령된다. '심각', '경계'보다는 낮은 단계지만 일부 위협이 현실화하고 발생 가능성이 매우 높은 수준이다. 그만큼 우리나라의 위협 노출도가 높아졌다는 의미다.
특히 해커부대의 전열을 가다듬은 북한은 국내 안보를 겨냥한 공격을 확대하고 있다. 지난 8월 경기남부경찰청 안보수사과에 따르면 한미연합연습 전투모의실에 파견된 국내 전쟁모의연습(War Game) 운용업체 직원들을 대상으로 올해 2월부터 발송된 악성 전자우편 사건을 수사한 결과, 김수키의 소행으로 파악됐다. 경찰은 악성 이메일 내용 중에 ‘염두’라는 표현이 북한식 어휘인 ‘념두’로 쓰여있는 점, 사용된 IP 대역이 지난 2014년 ‘한국수력원자력 해킹 사건’에서 확인된 IP 대역과 일치하는 점 등을 토대로 이같이 판단했다. 김수키의 사이버 공격으로 워게임 운용업체 직원들의 일부 자료가 북한에 넘어갔지만, 군 관련 정보의 유출은 없는 것으로 확인됐다.
김수키는 해당 자료를 활용해 올해 2월부터 연말정산 시기에 맞춰 ‘원천징수영수증’으로 위장된 악성 이메일을 주한미군 전투모의센터에 파견된 업체 직원들을 대상으로 발송했다. 이를 수신한 직원들이 미 국방 전산망에서 첨부 문서를 실행할 경우 해킹이 이뤄지도록 한 것이다. 경찰은 보안시스템에 의해 악성코드가 차단돼 군 관련 정보는 탈취되지 않았다고 밝혔다. 다만 일부 직원들이 해당 이메일을 외부 계정으로 재전송해 열람하는 과정에서 개인용 컴퓨터가 악성코드에 감염된 것으로 확인됐다.
김수키는 북한 정찰총국 소속으로 알려진 해킹그룹으로, 북한 정찰총국은 제3국인 기술정찰국과 그 산하의 110연구소 등을 통해 점조직 형태의 해킹그룹을 지휘하고 있다. 악명 높은 라자루스(Lazarus)도 정찰총국 소속의 해킹그룹이다. 김수키는 유명인을 사칭해 국내 공공기관은 물론 외교·안보 분야 전문가 정보나 가상화폐 등을 노린 해킹 시도를 수차례 해온 것으로 알려졌다.
북한 개발자들, 전 세계 IT 기업에 위장 취업도
고숙련된 북한 개발자들이 한국, 미국 등 전 세계 IT 기업에 위장 취업해 자금을 탈취하는 사례도 지속적으로 보고되고 있다. 지난달 미국 법무부와 FBI에 따르면 북한 IT 개발자 수천 명이 위조 신분을 활용해 미국을 비롯한 외국 기업에서 원격 근무를 하는 프리랜서 직원으로 일한 것으로 나타났다. 제이 그린버그 FBI 특수요원은 “북한 개발자들이 미국인들에게 집 와이파이 접속료를 지불하는 등 미국에서 일하는 것처럼 보이기 위해 다양한 기법을 사용했다”고 설명했다. 가상사설망(VPN), 가상사설서버(VPS), 3국 IP 주소와 프록시 계정, 위조·도난 신분증 사용 등으로 자신을 외국인이나 미국 기반 원격 근무자로 속인다는 것이다.
이들이 지난 수년간 일하며 벌어들인 임금은 연간 수백만 달러에 달하며, 이 자금들은 북한에 송금된 것으로 파악됐다. 미 정부에 따르면 해외에서 일하는 북한 IT 노동자는 해외 공장이나 건설 현장에서 일하는 전통적인 북한 노동자들보다 10배 이상의 수익을 벌어들이고 있으며, 일부 개인의 경우엔 연간 30만 달러(약 4억원) 이상, 팀으로 일한 경우엔 연간 300만 달러(약 40억원) 이상의 수익을 올리기도 한다.
지난 7월에는 국가정보원이 북한 해커의 국내 기업 위장취업 시도를 적발하기도 했다. 북한 해커가 사이버 공격을 통한 정보 탈취가 아니라 국내 기업에 직접 취업을 시도한 사례는 이번이 처음이다. 백종욱 국정원 3차장은 "북한 해커가 여권 및 졸업증명서를 교묘히 위조해 국내 한 에너지기업 해외지사에 온라인 구직 플랫폼으로 지원했다"며 "고용계약서까지 작성하는 등 채용 직전까지 간 것으로 조사됐다"고 말했다.
국정원은 또 북한 해킹조직이 국내·외 클라우드 서버를 해킹해 1,000여 명의 신용카드 정보를 탈취했다고 밝혔다. 북한 해커들은 사전에 절취한 이메일 계정정보를 통해 이메일에 로그인한 뒤 연동된 클라우드에 접근해 신용카드 사진 등을 탈취한 것으로 드러났다.
UN 제재로 자금줄 끊긴 북한, 해킹으로 핵개발비 마련
북한은 한국, 미국뿐만 아니라 최소 29개국을 상대로 지속적인 사이버 공격을 벌이고 있다. 스피어피싱부터 가상자산 탈취까지 해킹 방법도 다양하다. 사이버 보안 업체 이스트시큐리티에 따르면 북한은 미국 블록체인 기업 하모니(Harmony)가 운영하는 호라이즌 브릿지(Horizon Bridge) 서비스에서 1억 달러(약 1,342억원) 상당의 암호화폐를, 쿠코인에서 2억8,000만 달러(약 3,759억원) 상당의 암호화폐를, 업비트에서는 4,850만 달러(약 651억원) 상당의 암호화폐를 가로채는 등 직접 암호화폐를 탈취하는가 하면 마우이(Maui)·홀리고스트(H0lyGh0st)와 같은 랜섬웨어를 직접 제작해 유포하는 등 전방위적 사이버 공격을 펼치고 있다. 또한 피싱 메일을 통한 악성코드 유포 및 SW 취약점을 이용한 해킹을 통해 기밀정보를 탈취하기도 한다. 이들은 미국 국무부와 국방부, 에너지 업체 등을 대상으로도 피싱 활동을 벌인 것으로 드러났다.
문제는 북한이 이같은 사이버 공격을 통해 핵과 미사일 개발에 필요한 자금을 마련하고 있다는 사실이다. 실제로 이들이 갈취한 돈의 일부는 북한의 스파이 활동 지원금으로 사용되거나 ICBM(대륙간탄도미사일), 수중 핵어뢰 등 국가의 안보를 위협하는 무기 제작에 쓰인 것으로 파악됐다. 해킹으로 탈취한 자산이 대량 살상무기로 탈바꿈한 것이다. 북한이 지난해에만 40차례 이상의 탄도미사일을 발사하고 핵탄두 수를 늘릴 수 있었던 것도 이런 사이버 공격이 있었기에 가능했다. 스웨덴의 스톡홀름국제평화연구소(SIPRI)가 지난 6월 공개한 ‘2023년 연감’에 따르면 북한의 올해 1월 기준 핵탄두 수는 30기로, 1년 전보다 5기 증가한 것으로 추정된다.
북한이 이같은 전방위적 해킹에 나서는 것은 2017년 UN 제재 이후 자금줄이 막혔기 때문이다. 국제 제재에 따라 정상적인 방법으로는 군사 도발 혹은 기술 개발을 위한 정보 및 자금을 조달하기가 불가능해지자 일찌감치 해킹과 같은 사이버 공격에 공을 들인 것이다. 유엔 안보리 전문가에 따르면 북한이 지난해 미국에서 훔친 가상화폐의 규모만 17억 달러(약 2조2,819억원)로 이는 북한 연간 예산의 18%에 해당한다고 하니, 북한 입장에서는 효과도 만점이다. 김정은 북한 국무위원장이 “해커를 양성할 때 출신 성분을 따지지 말고 실력 좋은 인재는 무조건 뽑으라”고 지시한 것도 같은 맥락이다. 혈통에 따라 거주지, 직업 등 사회적 신분이 결정되는 북한에서 이처럼 실력을 중심으로 한 기용은 극히 이례적이다. 김 위원장은 앞서 “사이버전은 핵·미사일과 같은 군대의 만능 보검”이라 발언하기도 했다. 북한이 해킹에 총력을 기울이는 이유다.