북한 소행일까. 아니면 전문 해커 집단 소행일까. 3월20일 국내 주요 방송사와 금융기관에 대한 동시다발적 해킹 공격이 있었다. 정부 당국이 진원지를 추적한 결과 농협을 공격한 해커가 중국 IP(인터넷 주소)를 경유한 것으로 확인됐다. 북한은 2009년 7월7일과 2011년 3월4일 DDoS(분산 서비스 거부) 공격 때 중국 IP 주소를 사용했다.
여러 정황을 보면 북한 소행으로 의심할 만하다. 하지만 단정하기에는 아직 이르다. 심증은 있지만, 확실한 물증이 없어서다. 다른 공격 세력이 북한의 소행인 것처럼 꾸몄을 가능성도 얼마든지 있다. 만약 북한의 공격이 확실시될 경우 우리 군이 대응에 나설 방침이어서 남북한 ‘사이버 전쟁’도 배제할 수 없다.
알려진 대로 북한의 사이버전 능력은 세계 최고 수준이다. 북한은 1990년대부터 사이버 전사(해킹 요원)들을 체계적으로 양성해왔다. 금성 제1·2 중학교는 미래 해커 전사들을 길러내는 ‘해커 사관학교’로 불린다. 학생들 중 상위 0.001%의 수재들을 과학 영재로 선정해 미래 사이버 전사로 키우고 있다. 이들에게는 2년간 컴퓨터 분야를 전문적으로 가르치고, 실력이 뛰어난 학생들을 선발해 김책공대나 김일성종합대에 진학시킨다.
졸업 후에는 정찰총국 등 사이버 부대에 실전 배치한다. 현재 북한의 사이버 전사에 대해 일각에서는 3000명까지 추정하고 있으나 우리 정보 당국은 1000명 내외로 보고 있다.
북한의 해커 부대는 크게 4개 조직으로 나뉜다. 국방위원회 최고사령부 작전조 산하의 총참모부 정찰국(121국 해커 부대), 총참모부 적공국(204 사이버 심리 부대), 중앙당 조사부(기초조사자료실), 통일 전선부가 그것이다.
남한의 군과 국가 전략기관에 대한 정보 해킹은 정찰총국 121국이 담당한다. 남한에 대한 사이버 심리전은 적공국이 맡고 있다. 중앙당 조사부에는 김일성종합대와 김책공대 출신이 주축이다. 이들은 남파 간첩들과의 정보 교신을 위한 기법을 만들고, 각종 사이버 공간에서 활동한다. 통일전선부는 남한에 조작된 정보와 여론을 확산시키는 등 대남 심리전을 펼치고 있다.
북한 해커들은 전략적으로 육성된 엘리트 집단이다. 이들은 기본 프로그래밍 구조나 원서를 완전히 암기할 정도로 기본기가 탄탄해 프로그래밍·해킹 실력은 세계적이다. 대신 첨단 기술이나 환경 변화에는 감각이 떨어지는 편이다. 2000년대 중반 이후에는 김정일의 지시에 따라 기밀 절취, DDoS 공격, 전산망 파괴 등으로 사이버 능력을 한층 강화했다. 공격 주체를 숨기는 ‘꼬리 감추기’도 더욱 교묘해졌다.
정보 당국 관계자는 “지난해 발생했던 농협 전산망 파괴나 중앙일보 신문 제작 서버 해킹 등을 분석해볼 때 우리의 탐지와 추적을 피하기 위해 북한은 해킹 통신 암호화, 흔적 삭제 등 고난도 기술을 쓰고 있다”고 밝혔다.
최근에는 국가 주요 기반 시설의 제어 시스템을 폐쇄망으로 운영함으로써 직접 해킹이 곤란해지자 유지·보수 협력업체의 PC를 장악해 우회 공격을 시도하고 있다. 폐쇄망이라고 해서 안전지대라고 볼 수 없는 것이다.
정부 당국자는 “향후에는 교통·전력 등 주요 기반 시설 제어망과 금융망의 취약점을 치밀하게 파악해 동시다발적 정밀 타격을 시도할 것으로 예상된다”고 전했다.
중국·동남아 등지에 해킹 기지 운영
북한은 내부뿐만 아니라 베이징이나 심양, 동남아 등지에도 해킹 기지를 운영 중이다. 주로 무역회사나 식당 등으로 위장하고 있으며 사무실 형태를 띤 것도 있다. 현재 중국에만 200여 개가 운용되는 것으로 파악되고 있다. 여기서는 대남 해킹이나 사이버 심리전 활동을 주로 전개한다.
남한과 미국의 군사 인터넷망에 들어가 사이버 정보를 수집하고 바이러스를 유포하는 등의 방식으로 공격하기도 한다. 북한의 해커들은 사이버 공격 때 중국 IP를 사용해 자신들의 실체를 감추고 있다. 국가는 확인되는데, 그 이상은 추적이 안 된다.
한 인터넷 보안 전문가는 “이번 해킹 공격처럼 방송·금융 등 민간의 주요 기반 시설이 사이버 공격을 받을 경우 국정원의 공격 탐지나 신속한 조사가 곤란하다. 민관은 물론 외부로부터 무차별한 사이버 공격에 신속히 대응하기 위해서는 국정원의 사이버 안전 업무 수행을 위한 법적 근거를 마련하는 것을 적극 검토해야 한다”고 조언했다.
북한의 사이버 전사들은 대남 선전·선동에도 동원된다. 기존 삐라나 단파 라디오 방송 등이 하던 것을 사이버로 대체하고 있다. 북한에서는 남한의 인터넷을 ‘일제 항일 투쟁 시기의 총’과 같은 무기로 인식하고 있다. 통일전선부와 정찰국 등 대남 공작기구 산하에 전담 부서를 운영하고 있다.
정보 당국에 따르면 북한의 대남 사이버 선전은 2003년 4월부터 본격화됐다. 북한 선전 인터넷 매체인 ‘우리민족끼리’ 개설을 시작으로 ‘구국전선’ ‘조선신보’ 등이 잇따라 등장했다. 현재는 88개 직영 사이트와 트위터 등 총 442개 매체를 운영 중이다.
현재 북한의 선전 사이트는 정부가 차단함으로써 일반 국민의 접근이 불가능하다. 그러나 국내외 북한 연계 세력들은 IP를 제3국으로 변경해 접속하거나 퍼 나르기 등을 통해 접근한다. 지난해의 경우 이런 방식으로 김정은 우상화, 총선과 대선을 겨냥한 정부 정책 왜곡 등 총 1만여 회에 걸쳐 대남 선전·선동과 비방 행위가 있었다.
향후에도 북한 사이버 요원이 국내 포털 사이트에서 댓글 작업을 벌이고, 우리 시민단체로 위장해 국내외 주요 사이트에 댓글과 동영상 등을 남기는 방식으로 여론 조작과 남남 갈등을 유발할 가능성이 있다.
|
외화벌이 내몰리는 사이버 전사들 북한의 사이버 전사들은 ‘외화벌이’ 수단으로도 활용된다. 마약·위조지폐 제조 등 전통적인 외화벌이가 시원치 않자 사이버를 통한 외화 창출에 나서고 있다. 신분은 학습용 소프트웨어·애니메이션 제작자 등으로 위장하고 있다. 남한 사이버 범죄 조직과의 연계도 서슴지 않는다. 2011년 8월 국정원과 경찰청이 공조해 북한 해커들과 연계한 남한의 사이버 범죄 조직을 적발한 적이 있다. 중국에 있는 한국인 총책은 중국 유한회사를 통해 북한 개발자를 초청해 합법적인 관계인 것처럼 서류를 꾸몄다. 이들은 북한 해커들을 고용한 후 국내 유명 온라인 게임 서버를 해킹해 게임 아이템을 수집했다. 불법 프로그램을 제작·배포하기도 했다. 이를 통한 수익을 50 대 50으로 나누었다. 일종의 동업자 형태다. 북한 해커들이 ‘외화벌이’에 나서는 속사정이 있다. 현재 해외에 파견된 북한 해커들은 독립채산제로 활동하고 있다. 생활비 등은 자체 충당해야 한다. 여기에다 개인별로 상납 금액까지 정해져 있다. 정상적인 사업만 해서는 생활비를 충당하는 데도 턱없이 부족하다. 처음에는 한국이나 중국 업체로부터 하청을 받아 학습·애니메이션·화상 인식 소프트웨어 등을 제작해 판매했으나 돈이 되지 않았다. 기본적인 생활도 힘들고, 상납금도 마련하지 못했다. 그래서 자구책으로 대남 사이버 범죄를 통한 외화벌이에 나선 것이다. 앞으로도 남한 범죄 조직과 북한 해커의 연계는 더욱 은밀하게 이루어질 것으로 보인다. |
