북한 ‘해커부대’의 위험한 거래
  • 정락인 (freedom@sisapress.com)
  • 승인 2011.08.23 16:55
이 기사를 공유합니다

남한 범죄 조직과 연계해 ‘외화벌이’ 나서…좀비 PC 등 사이버 공격 배후는 북한 기관들
▲ 국내 인터넷침해대응센터의 종합상황실.

 북한의 ‘사이버 침투’가 갈수록 대담하고 교묘해지고 있다. 최근에는 남한 범죄 조직과의 연계가 드러나면서 충격을 주었다. 정부 기관에 대한 DDoS 공격, 금융기관 전산망 해킹에 이어 이제는 ‘사이버 범죄’에까지 깊숙이 개입하고 있다. 사이버 침투 경로도 하루가 다르게 진화하고 있다. 이러다가는 남한의 사이버 세상이 북한의 사이버 범죄 세상으로 전락할 수도 있다. <시사저널>은 국가정보원 등 관계 기관의 협조를 통해 남한 범죄 조직과 북한 해커들의 유착 실태를 집중적으로 살펴보았다.

 최근 몇 년 사이 중국 현지에서는 북한이 대남 사이버 범죄에 개입한다는 소문이 나돌았다. 오토(온라인 게임머니 자동 사냥 프로그램) 유포, 해킹을 통한 개인정보 유출, 도박 사이트 운영, 악성 코드 유포 등에 개입한다는 것이었다. 하지만 소문만 무성할 뿐 그 실체는 철저하게 베일에 가려져 있었다. 그러자 국정원이 경찰과 공조해 은밀히 추적에 나섰다.

‘오토 프로그램’ 제작·배포…범죄 매뉴얼까지

우선 소문의 진위 확인에 들어갔다. 이를 위해 중국 정보망을 총동원하는 등 각고의 노력을 기울였다. 그리고 하나 둘 단서가 잡히기 시작했다. 그런데 단순한 소문이 아니었다. 더욱 놀라운 것은 그 정점에는 북한 당국이 있었다는 것이다. 북한의 당, 내각, 군 등이 전방위적으로 개입하고 있었다.

 지난 8월 초 국정원은 경찰과 공조해 북한 해커들과 연계한 국내 사이버 범죄 조직을 처음으로 적발했다. 이들은 북한 해커들을 고용한 후 국내 유명 온라인게임 서버를 해킹해 게임 아이템을 수집했다. 또 불법 프로그램을 제작·배포하기도 했다.

 북한 해커들의 대표적인 사이버 범죄 사업은 ‘오토 프로그램’ 제작이다. 컴퓨터 조작 없이 자동으로 게임을 실행시켜 아이템을 모으는 프로그램이다. 이와 관련한 범죄 매뉴얼도 있다. 가령 국내 범죄자가 북한의 해커 조직과 꾸준하게 교류하면서 남한에서 인기 있는 게임 관련 정보를 북한에 제공하고, 오토 제작을 의뢰한다. 중국에 있는 한국인 총책은 중국 유한회사를 통해 북한 개발자를 초청해서 불러들인다. 이때 합법적인 협력 관계인 것처럼 꾸미기 위해 ‘초청 의향서’ 등을 북한에 보낸다.

 이번에 국정원과 경찰에 적발된 사이버 범죄 조직의 활동도 이런 방식으로 진행되었다. 총책인 정 아무개씨(43)는 중국에 온라인게임 아이템 작업장을 차려놓았다. 그리고2009년 6월부터 최근까지 헤이룽장 성과 랴오닝 성 지역으로 북한 해커 30여 명을 불러들였다.

 정상적인 사업 협력 관계인 것처럼 서류를 꾸몄다. 공범인 조선족 이 아무개씨 등은 중국 현지에 있는 북한 무역업체인 조선릉라도 무역총회사 산하 ‘릉라도정보쎈터’와 내각 직속 산하 기업 ‘조선콤퓨터쎈터(KCC)’ 직원들과 협의해 자신이 운영하는 회사 명의의 초청 의향서를 북한에 보냈다. 조선릉라도무역총 회사는 북한 노동당 39호실의 산하 기관으로 김정일 국방위원장의 통치 자금을 조성·공급하는 곳이다.

 이들은 또 중국 주재 북한 영사관의 최종확인까지 받아 북한 해커들을 영입했다. 중국에 들어오면 오토 제작을 주문한 후 착수금이나 생활비를 지원한다. 북한 해커들은 숙소와 생활비를 지원받고 약 5개월 동안 중국에 머무르면서 작업을 했다.

 작업은 프로젝트 형식으로 치밀하게 진행된다. 예를 들어 게임업체의 게임 개발 계획이 언론에 공표되면 그때부터 오토 제작이 시작된다. 지난 1월 NHN이 온라인게임 ‘테라’를 출시했는데, 그와 동시에 오토가 발견되어 논란이 되었다. 알고 보니 ‘테라 오토’는 이미 2009년부터 제작되기 시작했다고 한다.

 북한 해커 조직이 오토를 제작한 후에는 총책에게 공급한다. 이때 월 사용료 형태로 판매되고, 총책과 북한 해커의 수익 분배는 50 대 50이다. 개당 2만원에 월 2만개면 북한해커의 월 수익은 2억원이라는 계산이다.

 이번 사건에서도 북한 해커들은 ‘오토 프로그램’을 제작해 중국과 남한의 온라인게임 작업장에 공급했다. 이들은 또 게임 서버 포트에 악성 코드를 삽입해 서버와 이용자 컴퓨터 사이에 오가는 데이터인 ‘패킷 정보’의 암호화 체계를 무력화한 뒤 이를 토대로 만든 오토 프로그램을 총책 등에게 넘겼다.

오토 프로그램 1개당 사용료 명목으로 1만7천~1만8천원을 받았다. 국내 온라인게임장에서는 개당 2만3천~2만4천원에 판매되었다. 이런 수법으로 1년6개월 만에 64억원의 부당수익을 올렸다. 북한 해커들은 자신의 수익금에서 매달 5백 달러를 북한 당국에 상납했다.

 작업장에서 오토를 사용하면 컴퓨터 한 대당 월 10만~20만원 정도의 수익이 발생한다. 보통 한 개 작업장에 약 100대 정도의 PC가 운용되는 것을 보면 월 1천만원 이상의 수익을 낼 수 있다. 국내에 이러한 작업장이 최소 1천여 곳 이상으로 추산된다. 대부분 절, 교회, 학원, 카센터 건물로 위장하고 있어 외부인의 눈에 잘 띄지 않는 특성이 있다. 이렇게 수집한 게임머니나 아이템은 국내 아이템판매 사이트인 ‘아이템 매니아’나 ‘아이템베이’등을 통해 현금으로 거래된다.

▲ 북한 해커 조직과 남한 범죄 조직이 체결한 계약서. ⓒ서울지방경찰청 국제범죄수사대 제공

 겉으로는 정상적인 사업체로 위장

 북한 해커 조직은 오토 서버를 직접 관리하고 있다. 수익 배분을 명확히 하고, 오토를 사이버 공격에 활용하기 위해서다. 즉, 평상시에는 오토 관리만 하다가 유사시 오토 서버 내에 바이러스를 숨겨놓고 패치를 위한 업데이트를 할 때 침투시켜 좀비 PC 등 사이버 공격에 나선다는 것이다. 국정원과 경찰이 중국에 있는 북한의 IT 조직을, 겉으로는 정상적인 사업체로 위장하고 있으나 실제로는 대남 사이버 범죄·공격 조직으로 보고 있는 것도 이런 이유 때문이다.

 북한 당국이 해커들을 사이버 범죄에 가담시키는 것은 ‘외화벌이’ 때문이다. 현재 해외에 파견된 북한의 IT 인력(해커)들은 독립채산제 형식으로 활동하고 있다. 생활비 등을 자체 충당해야 한다. 여기에다 개인별로 상납금액까지 정해져 있다. 정상적인 사업을 해서는 생활비를 마련하는 데에도 턱없이 부족하다. 처음에는 한국이나 중국 업체로부터 하청을 받아 학습, 애니메이션, 화상 인식 소프트웨어 등을 제작해 판매했으나 돈이 되지 않았다. 기본적인 생활도 힘들어지고, 상납금도 마련하지 못했다. 그래서 자구책으로 대남 사이버 범죄를 통한 외화벌이에 나선 것이다. 지금은 이들의 주된 수익 사업으로 자리를 잡았다고 한다. ‘돈벌이’라는 이해 관계가 남한 범죄 조직과 북한 해커 조직의 연결 고리가 된 셈이다.

 북한 해커 조직은 오토를 통해 어느 정도의 수익을 올리고 있을까. 오토 판매 대금은 매월 서버 관리비 형식으로 받기 때문에 개발만 잘해서 판로만 확보해두면 지속적인 수입이 가능하다. 이런 장점 때문에 북한에서는 ‘황금알을 낳는 거위’로 인식하고 있다. 오토를 통한 불법 게임머니 시장의 규모는 최소 3천억~1조원까지 추산되는데, 오토 시장의 90% 이상을 북한이 장악하고 있다.

 국정원 관계자는 “북한의 사이버 범죄를 통한 수익 규모를 정확히 산정하기는 어렵다. 하지만 중국 내에서 활동하는 IT 인력 규모와 기본 상납액을 감안하면 연간 수백억 원 규모의 범죄 수익금이 북한에 충성 자금으로 상납되고 있는 것으로 추정된다”라고 말했다.

  릉라도정보쎈터 사장 김문철은 북한에서는 영웅 대접을 받고 있다. 오토 제작을 통해 김정일 국방위원장에게 엄청난 충성 자금을 상납했기 때문이다. 김위원장으로부터 ‘조선의 보배’라는 칭송까지 받았다고 한다. 또 김문철의 직속 인력 10명은 이런 공로를 인정받아 훈장을 받은 것으로 전해진다.


국정원, 다른 북한 연계 범죄 조직도 추적 중

 국정원과 경찰은 이번 사건을 단순한 북한의 사이버 범죄가 아닌 ‘사이버 전쟁’ 차원으로 접근해야 한다고 강조한다. 실제 전쟁에서 적의 보급로를 차단하는 것이 중요하듯이 오토조직 적발에는 북한의 사이버 전사들의 보급로를 차단하는 효과가 있다. 북한 해커 조직의 활동 자금원을 차단함으로써 향후 활동이 크게 위축될 수밖에 없다는 것이다. 이번 사건 이후 북한 해킹 조직이 흔들리고 있다는징후가 여러 곳에서 포착되고 있다.

 북한 조평통(조국평화통일위원회)은 지난 8월14일 북한의 게임 해킹 수사와 관련해 그 어느 때보다도 강한 논조로 반박 성명을 발표했다. 이는 북한이 외화벌이 사업에 큰 타격을 입었다는 위기의식을 반증하는 것이다. 조평통 또한 중국에 해킹 조직을 파견해 사이버 범죄를 통해 활동 기반을 구축하는 것으로 파악되고 있다.

 이렇듯 북한 해커 조직이 오토 프로그램 제작을 확대하고 있지만 차단하는 데는 한계가 있다. 창을 막을 방패가 별로 없다는 뜻이다. 수사기관에서 오토 계정을 압류할 경우 게임업체의 수익 저하로 이어지고, 혹시 정상적인 사용자를 잘못 압류할 경우 보상 문제 등 민원을 야기할 수가 있다. 또 작업장에 대한 수사가 어렵고 시간이 오래 걸리는 데 비해 처벌 규정이 약해 성과로 인정받기 어려워 수사 착수를 꺼리는 경향이 있다.

 이에 대해 사이버 관련 법·규제를 재정비해야 한다는 목소리가 높다. 국정원 관계자는 “국내 수사가 대부분 피의자 인권을 보호하기 위한 방향으로 되어 있는데, 이는 대다수의 국민을 보호하기 위한 것과 배치되는 것이다. 특히 최근 사이버 범죄를 통한 국민의 피해사례가 급증하고 있어서 통신비밀보호법, 정보통신기반보호법 등에 대한 법률의 재정비가 필요하다”라고 강조했다.

 문제는 이번 사건이 빙산의 일각이라는 것이다. 남한의 범죄자들이 범죄 수익을 마련하기 위해 북한 해커들과 무분별하게 접촉하고 있다는 것이 우리 정보 당국자의 말이다. 이번에 적발된 범죄 조직의 핵심 인물들은 모두 국내에서 수배된 후 중국으로 도피한 범죄자들이다. 앞으로도 북한은 국내 범죄 조직과 결탁하려 들 것이다. 국정원은 북한과 연계한 남한 범죄 조직들을 추적하고 있다.

 북한은 이번에 적발된 오토를 비롯해 돋보기(상대방 도박 패 보기 프로그램), 사설 스포츠토토 서버 운영, 도박 사이트 제작, 개인정보 해킹·판매 등 다양한 형태의 범죄에 개입하고 있다.

 최근에는 스마트폰 어플리케이션(앱) 개발에도 나섰다고 한다. 스마트폰 보급이 폭발적으로 늘어나자 전략적으로 스마트폰용 앱 개발에 주력하고 있다. 현재 국내에는 스마트폰 보급 대수가 1천만대를 넘는다. 만약 여기에 악성 코드를 심어 의도적으로 배포할 경우 개인정보 수집은 물론 모바일 테러 등에 악용될 가능성이 있다. 국정원은 북한과 연계해 제작된 스마트폰 앱이 무분별하게 유포되고 있어 이에 대한 대책을 강구 중이라고 한다.

 북한 해킹 조직은 국내 쇼핑몰, 백화점, 통신사 등 개인정보를 무차별적으로 해킹해 이를 내국인 범죄자에게 팔아넘기고 있는데, 이렇게 해킹된 개인정보는 문자 스팸 메시지, 보이스 피싱, 위조 카드 제작 등 2차 범죄에 활용되고 있다.
 
 한 보안 전문가는 북한이 국내 주요 포털업체의 검색어 순위 조작 프로그램을 개발해 유포하고 있다고 말한다. 그는 “천안함 사건등 남한에서 민감한 사안이 발생하면 인터넷 여론 조작 등 사이버 심리전 활동을 치밀하게 전개하고 있다. 이에 대한 대책을 마련하고, 아울러 국민들도 경각심을 가져야 한다”라고 말했다.


▲ 도서관에 비치된 컴퓨터를 사용하고 있는 북한 김일성종합대학교 학생들. ⓒAP연합
북한은 정예화된 전문 해커부대를 운영하고 있다. 일명 ‘사이버 전사’들이다. 북한은 지난 1990년대부터 사이버전에 대비해왔다. 오랜 경제난으로 인해 ‘신무기 교체’는 꿈도 꾸지 못했다. 그렇다고 재래식 무기로 ‘미래 전쟁’을 대비할 수는 없었다. 그래서 일찍부터 사이버전으로 눈을 돌렸다.

북한의 전문 해커들은 어릴 때부터 길러진다. 컴퓨터 영재학교인 금성 제1·2 중학교가 ‘해커 사관학교’로 불린다. 학생들 중 상위 0.001%의 수재들을 ‘과학 영재’로 선정해 미래 사이버 전사로 육성한다. 과학 영재들에게는 2년간 컴퓨터 분야를 전문적으로 가르친다.

성적 우수자들은 북한 최고 명문대인 김일성 종합대학과 김책공업대학에 진학시킨다. 노동당 작전부 산하 금성학원과 모란봉대학 등에서는 대남 사이버 공격을 위한 해킹 요원을 전문적으로 육성하고 있다. 교육 환경은 좋은 편이 아니다. 인터넷 환경이 열악하다 보니 실습이나 기본 서적을 암기하는 식의 교육에 치중하고 있다.

국정원 관계자는 “북한의 해커들은 전략적으로 육성된 엘리트 집단이다. 이들은 기본 프로그래밍 구조나 원서를 완전히 암기할 정도로 기본기가 탄탄해 프로그래밍·해킹 실력은 수준급이다. 하지만 첨단 기술이나 환경 변화에는 감각이 떨어지는 편이다”라고 설명했다.

이렇게 양성된 인력들은 새로운 외화 수입원으로도 활용된다. 마약·위폐 제조 등 전통적인 외화벌이가 시원치 않자 사이버를 통한 외화 창출에 나서고 있다. 중국을 주요 거점으로 해서 동남아와 유럽 등 해외 각지에서 전문 해커들이 활동하고 있다.

신분은 학습용 소프트웨어·애니메이션 제작자 등으로 위장하고 있다. 남한과 미국의 군사 인터넷망에 들어가 사이버 정보를 수집하고, 바이러스를 유포하는 등의 방식으로 공격에도 나선다.  북한의 해커들은 사이버 공격 때 중국 IP(인터넷 주소)를 사용하며 자신들의 실체를 감추고 있다.

현재 정예 해커들은 3천여 명인 것으로 파악되고 있다. 이들의 능력은 세계 최고 수준이다. 이미 미국 중앙정보국(CIA)을 능가할 정도라고 한다. 해커부대는 크게 4개 조직으로 나누어져 있다. 국방위원회 최고사령부 작전조 산하의 총참모부 정찰국(121국 해커부대), 총참모부 적공국(204 사이버 심리부대), 중앙당 조사부(기초조사자료실), 통일 전선부 등이다.

남한의 군과 국가 전략 기관에 대한 정보 해킹은 정찰국 121국이 담당하고, 남한에 대한 사이버 심리전은 적공국 204소가 맡고 있다. 중앙당 조사부는 김일성종합대와 김책공대 출신이 주축이 되어 남파 간첩들과의 정보 교신을 위한 기법을 만들고 각종 사이버 공간에서 활동하고 있다. 통일전선부는 남한에 조작된 정보와 여론을 확산시키는 등 대남 심리전을 펼치고 있다.

탈북자 단체인 NK지식인연대는 “우리는 사이버 보안을 대수롭지 않게 여기는 경향이 있다. 이러한 폐단이 조직이나 기업에서 만연되고 있어서, 명령에 따라 죽고 사는 북한의 사이버 전사들의 좋은 활동 무대가 되고 있다”라고 지적했다.


이 기사에 댓글쓰기펼치기