북한이 문재인 정부의 핵심 안보·외교라인은 물론 정계, 학계, 언론계 등을 대상으로 전방위적인 해킹 공격에 나선 것으로 파악됐다. 청와대 국정기획상황실장으로 2018년 남북 정상회담을 총괄한 윤건영 더불어민주당 의원, 2007년 남북 정상회담에서 실무를 맡았던 박선원 국가정보원 기획조정실장, 청와대 평화기획비서관을 지낸 최종건 외교부 1차관이 북한의 해킹 공격을 당했다.
이 밖에 북한은 하태경·신원식 국민의힘 의원, 정의화 전 국회의장, 박노자 오슬로대 교수 등도 타깃으로 삼았다. 익명을 요구한 사이버 보안업체 관계자는 “김정은 체제가 들어선 이후 북한의 사이버 공격이 사회 전 분야로 확산되고 있다”면서 “북한은 타깃으로 삼은 인물에게 악성코드가 심어진 이메일을 보내 컴퓨터와 스마트폰 등에서 민감한 정보를 탈취한다. 이후 타깃이 소속돼 있는 기관·단체의 서버에까지 침투한다. 원자력발전소 도면이 유출된 2014년 한국수력원자력 해킹 사건이 대표적인 사례”라고 설명했다.
문제는 북한 해킹 공격이 갈수록 심해지고 있음에도 정부 대응은 미약하기만 하다는 점이다. 국회 정보위원회 야당 간사를 맡고 있는 하태경 국민의힘 의원은 “정권 초반 북한과 대화 국면일 때 ‘분위기를 해칠 수 있다’는 명분으로 사이버 테러 위협을 쉬쉬하는 경향이 있었다”면서 “북한의 해킹 수법이 갈수록 지능화·고도화되고 있는데도 실제 어떻게 해킹해서 어떤 정보를 탈취하는지 공공기관도 모르는 경우가 많다. 그러나 북한의 사이버 테러 대응을 총괄하고 있는 국정원이 아무런 정보도 내놓지 않고 있어 피해를 오히려 확산시키고 있다”고 지적했다.
한·미 정상회담 노린 북한 ‘스피어 피싱’
사이버 보안업체 관계자는 ‘개인 메일’ 자체를 문제 삼았다. 그는 “사이버 세상에서는 모든 것이 흔적으로 남는다. 기사에 언급된 인물들은 최소한 북한 해킹 메일을 열어본 사람들”이라면서 “이들은 대부분 ‘개인 메일’을 해킹당했다. 개인 메일일 경우, 스스로 해킹 사실을 인지하는 것은 사실상 불가능하다. 더구나 시간이 흐른 뒤에 어디까지 피해를 입었는지를 파악하는 것은 전문가들도 힘든 일이다”고 말했다. 이어 “사이버 보안 전문가로서 말하자면, 청와대·국정원·외교부·국방부 등의 공직자들이 개인 메일을 사용하는 것을 납득할 수 없다”면서 “정부 당국이 개인 메일까지 모니터링해줄 수는 없지 않는가. 개인 메일을 사용하다 대형 스캔들을 터뜨린 힐러리 클린턴 전 미국 국무장관의 사례를 잊어서는 안 된다”고 덧붙였다.
북한은 지난 5월21일 열린 한·미 정상회담을 전후로 ‘스피어 피싱(spear phishing)’을 대대적으로 감행했다. 스피어 피싱이란, 작살(spear)로 물고기를 잡듯이 불특정 다수가 아닌 특정인을 타깃으로 하는 해킹 방법이다. 따라서 타깃에 대한 구체적인 정보 수집·분석 작업이 필수적이다.
당시 북한은 정의화 전 의장, 박노자 교수, 김영원 전 주네덜란드 대사 등을 목표로 삼았다. 정의화 전 의장은 “한·미 정상회담이 끝난 직후 이메일 비밀번호를 교체하라는 알림이 왔다. (그래서) 해킹을 짐작하고는 있었지만, 북한이 했을 줄은 꿈에도 몰랐다”면서 “한·미 정상회담뿐만 아니라 내년에 치러질 대선을 앞두고 (북한이) 정보 수집에 열을 올리고 있는 것으로 알고 있다”고 말했다.
북한의 해킹은 실제로 어떻게 이뤄질까. 시사저널은 한·미 정상회담 당시 스피어 피싱에 사용된 이메일을 확보했다. 신각수 전 주일본 대사가 전영기 시사저널 편집국장 이름으로 5월19일자에 받은 이메일이 바로 그것이다.
“안녕하세요 시사저널 편집국장 전영기입니다. 우리 시사저널에서는 시사저널 5월 특간호(특집호)를 발급(발간)할 예정이며 다가올 한미정상회담 테이블의 주요 의제들 가운데서 한반도의 완전한 비핵화와 관련한 문제를 주요 이슈로 다루게 될 예정입니다…(설문 5문항)…본 설문은 응답자 분들의 허가여부에 따라 공개/비공개로 다루어지게 되며 소정의 금액을 드리게 됩니다. 우리 시사저널의 발전과 번영을 위해 노력해 주시는 선생님들께 감사의 인사를 드리며 가능하면 내일까지 답장 부탁드립니다.”
여기서 그치지 않고 5월24일 또 한 번의 악성 이메일이 발송됐다.
“대사님, 번거럽게(번거롭게) 하여 죄송합니다. 양식이 변경 되어 다시 보내 드립니다. 이 양식에 맞추어 작성 해주십시오. 비번: 20210524”
첫 번째와 두 번째 메일 모두 파일이 첨부돼 있었다. ‘사례비 지급 의뢰서’와 ‘양식 변경의 건’이라는 첨부파일이다.
해당 이메일을 사이버 보안업체를 통해 역추적한 결과, 북한 해킹 그룹 중 하나인 ‘김수키(Kimsuky)’의 소행인 것으로 드러났다(북한 해킹 그룹의 실체 ‘김수키, 라자루스, 스카크러프트, 안다리엘’ 기사 참조). 사이버 보안업체 관계자는 “북한 고유의 프로그래밍 알고리즘이 있다. 악성 프로그램 코드의 유사성·연계성을 검토하면 북한 해커 중 누구인지도 알 수 있다”면서 “이메일에 첨부된 ‘사례비 지급 의뢰서’ ‘양식 변경의 건’이라는 파일을 분석해본 결과 김수키가 사용하는 악성코드였다. 첨부파일을 누르면 모든 정보가 털리고, PC나 스마트폰은 ‘n번째’ 숙주가 된다. 김수키는 이를 이용해 또 다른 타깃을 노리는 것”이라고 설명했다.
사이버 보안업체 관계자는 “북한 해커가 쓴 이메일은 단어나 문장이 어색한 부분이 많다”고 귀띔했다. 실제로 이메일을 살펴보니 “특간호(특집호)” “발급(발간)” “발전과 번영을 위해 노력해 주시는 선생님들께” 등 어색한 표현과 “번거럽게(번거롭게)” 등의 오기도 발견됐다. 설문에 참여하면 “소정의 금액”을 주겠다는 대목은 실소를 자아내기까지 한다.
이와 관련해 국정원 관계자는 “5월21일 한·미 정상회담을 전후로 해킹 시도가 증가함에 따라 관련 사이버 위협 모니터링을 강화했다”면서 “국정원은 다양한 형태의 사이버 공격 예방을 위해 사이버 위협 상황을 실시간으로 모니터링하고 있으며, 해킹 징후 포착 시 과학기술정보통신부 등 유관기관에 관련 내용을 즉각 전파하고 사고 원인 규명 등 대응조치로 피해 확산을 조기 차단하고 있다”고 밝혔다.
북한은 추적을 따돌리기 위해 제3국의 서버나 우리나라 서버를 숙주로 사용한다. 사이버 보안업체 관계자는 “북한 해커들은 평양에서 바로 들어오지 않는다. ‘175. 45’로 시작하는 아이피(IP) 대역이 평양인데 이를 숨기기 위해 VPN(가상 사설망)이나 프록시 서버(임시 저장소)를 사용한다. 쉽게 얘기하자면 바이러스와 같다고 보면 된다. 숙주를 만들고 그 숙주를 통해 또 다른 숙주를 만들고…‘n번째’ 숙주를 만들어 추적을 피하는 것”이라고 설명했다.
교회 서버 숙주 삼아 정부 요인 공격
숙주로 이용하는 국내 서버는 보안이 취약한 민간단체나 종교시설인 경우가 많다. 특히 종교시설의 경우 그 종교를 믿는 타깃의 경계심을 쉽게 허물 수 있기 때문에 북한 해커들이 자주 숙주로 삼는다. 인천에 위치한 ○○○○○○교회(이하 A교회)가 바로 이 경우에 해당한다.
A교회는 1970년대 설립된 역사 깊은 교회다. A교회 역시 인터넷 홈페이지를 운영했는데, 보안 면에서 취약할 수밖에 없다. 2019년 북한 해커 김수키가 이 점을 노리고 A교회 서버에 침투했다. 김수키는 A교회 서버를 숙주로 삼고, A교회 이름으로 악성코드가 담긴 이메일을 뿌렸다. “복음 말씀 전합니다” “오늘의 기도” 이런 식이었다. A교회 관계자는 “2019년 경찰이 수사를 시작하고 나서야 해킹 사실을 알았다”면서 “신앙인의 경우 교회에서 메일을 보내면 안 열어볼 수 없다. 신앙심을 해킹에 이용한 것”이라고 목소리를 높였다.
여기서 한발 더 나아가 김수키는 A교회 서버를 거점으로 문재인 정부 핵심 안보·외교라인에 대한 해킹 공격을 시작했다. 윤건영 의원, 박선원 국정원 기조실장, 최종건 외교부 1차관에 대한 해킹 공격이 A교회 서버를 통해 이뤄졌다. 이와 관련해 윤건영 의원은 “청와대에 근무하던 2018년에 내 개인 메일을 누군가 해킹한 적이 있어 수사기관에 이를 알린 바 있다”면서 “하지만 이후 상황에 대해서는 자세히 기억나지 않는다”고 밝혔다.
최종건 차관은 “문재인 정부 출범 이후 공직에 오른 다음부터 개인 메일을 쓰지 않고 있다”면서 “2019년 해킹은 처음 듣는 얘기다. 다만 2017년 즈음 국정원으로부터 북한 해킹에 대한 주의를 들은 바 있다”고 말했다.
이 밖에 육군 3군사령관 출신인 백군기 용인시장, 국방부 국방정책실장을 지낸 여석주 정책기획위원회 위원을 비롯해 2017년 대선 당시 문재인 캠프에서 안보상황단·더불어국방안보포럼·국민아그레망·정책공간국민성장 등에 참여했던 안보·외교 인사들이 대거 해킹 공격을 당했다. 야당에서는 국회 정보위원회 소속 하태경 의원, 수도방위사령관 출신인 신원식 의원, 국회 국방위원장이었던 김영우 전 의원(이상 국민의힘)이 타깃이 됐다.
여석주 위원은 “군 경험 때문에 북한 해킹 위협을 일찌감치 알고 있었다. 2019년부터 북한의 해킹 공격이 심해졌다. 많을 때는 일주일에 세 번씩 악성 메일이 왔다”면서 “다양한 방법이 사용된다. 보안팀을 가장해 비밀번호를 변경하라는 이메일이 오기도 하고, 통일부·국방부 직원을 사칭하기도 한다”고 밝혔다.
익명을 요구한 정부 고위 간부는 “문정인 전 대통령 통일외교안보 특별보좌관을 사칭한 이메일을 받은 적이 있다. 너무 이상해 확인해 보니 문 전 특보가 보낸 것이 아니었다”면서 “(해킹 메일이) 상당히 정교해졌다는 느낌을 받았다. 문체까지 흉내 낸 것 같더라”고 회고했다. 문 전 특보는 문재인 정부 안보·외교라인 핵심으로 평가받는 ‘연정(연세대 정치외교학과) 라인’의 좌장이다.
북한 해킹 공격을 당한 인물들은 대부분 이 사실을 인지하지 못하고 있었다. 사이버 보안업체 관계자는 “이메일 호스팅 업체에서 해킹 사실을 파악해 개인에게 통보하거나 경찰이 수사 과정에서 알려준 경우가 아니면 개인이 스스로 알아내기는 사실상 불가능하다”면서 “그러나 북한 해커들은 호스팅 업체를 직접 노리기도 한다. 관리자 권한을 획득하거나 취약점을 장악하면, 마치 처음부터 자기네 홈페이지였던 것처럼 마음대로 사용할 수 있다”고 설명했다.
북한은 하나의 이메일 계정을 해킹하면, 이 계정과 연결된 사람에게 악성 이메일을 또다시 보낸다. 이 경우에도 해킹 사실을 알아챌 수 없다. 새로운 계정을 만들어 이메일을 보내기 때문에, 답장은 원 계정이 아닌 북한 해커가 만든 계정으로 들어온다. 쉽게 말해, 원 이메일 계정이 ‘123@sisajournal.com’이라면, 북한이 이 이메일에 들어온 사람에게 악성 이메일을 보낼 때는 ‘124@sisajournal.com’으로 이메일 계정을 교묘히 바꿔 보내는 것이다.
“북한 사이버 테러 쉬쉬하는 문재인 정부”
그렇다면 개인 메일이 해킹됐을 때 피해 규모는 얼마나 될까. 기본적으로 해킹된 메일 계정 주인의 아이디/비밀번호, 주소록을 비롯해 주소, 휴대폰 번호 등 민감한 개인정보까지 모두 탈취된다고 봐야 한다.
개인 메일을 타고 계정 주인이 소속된 기관·단체 서버까지 침투할 수도 있다. 2014년 원자력발전 도면이 유출된 한국수력원자력 해킹이나 2016년 1000만여 명의 회원 정보가 빠져나간 인터파크 해킹 등도 내부 직원의 이메일 계정에 대한 해킹으로 시작됐다.
사이버 보안업체 관계자는 “정부 요인의 개인 메일이 해킹됐을 경우, 이 메일을 정부기관 내의 PC를 사용해 열면 기관 서버까지 침투가 가능해진다”면서 “또한 개인 메일을 통해 공적인 사무를 봤다면, 이에 대한 정보는 전부 탈취됐다고 봐야 한다. 이 경우가 바로 힐러리 클린턴 전 미 국무장관의 개인 이메일 스캔들”이라고 설명했다. 이어 “기사에 언급된 공직자가 해킹된 이메일을 정부기관 PC를 통해 열어봤다면, 정부기관 서버도 안전하지 않다는 얘기”라고 덧붙였다.
윤 의원, 박 실장, 최 차관은 모두 문재인 정부 안보·외교 분야의 핵심 인물로, 2018년 남북 정상회담을 성사시킨 주역들이다.
문 대통령의 ‘복심’으로 통하는 윤 의원은 문재인 정부 출범부터 2020년 초까지 청와대 국정기획상황실장으로 있으면서, 2018년 4월 판문점회담과 9월 평양회담 개최 논의를 위해 특사로 두 차례 방북하기도 했다.
박 실장은 2017년 대선 당시 문재인 캠프 안보상황단 부단장을 맡았고, 2018년 1월 상하이 총영사를 거쳐 2018년 7월 외교안보특별보좌관으로 국정원에 입성했다. 당시 청와대는 “답보 상태였던 북·미 간 비핵화 협상에서 돌파구를 찾기 위한 인사”라며 박 실장을 극찬했다.
최 차관은 청와대 평화군비통제비서관-평화기획비서관으로 있으면서 남북 정상회담의 결과물인 2018년 9·19 남북 군사합의를 주도했다. 2020년 8월에는 ‘최연소 차관’이라는 타이틀과 함께 외교부 1차관에 임명됐다.
북한이 이들에게 해킹 공격을 한 시점인 2019년은, 2018년 4월27일 남·북 정상회담을 시작으로 2019년 6월30일 남·북·미 정상회담에 이르는 평화·대화 무드가 조성된 때였다. 그러나 문 대통령과 김정은 위원장이 손을 맞잡고 있을 때, 북한 해커들은 남한 정부 요인들을 노리고 있었던 셈이다.
“국정원, 북한 해킹 실태 공개해야”
하태경 의원은 “북한의 사이버 테러는 대화의 진정성을 의심케 할 것이며, 이는 남·북 혹은 북·미, 남·북·미 관계에 충분히 악영향을 미칠 것으로 생각한다”면서 “북한의 해킹 세력이 자주 사용하는 수법 가운데 하나는 공공기관을 사칭해 접근하는 것이다. (해킹 메일을 받은 사람 중에) 한 사람이라도 파일을 열게 되면 우리의 국가기밀이 통째로 넘어갈 수 있는 위험이 있는데, 이에 대해 정부가 손을 놓고 있는 건 아닌지 걱정된다”고 밝혔다.
안보·외교라인에 대한 북한의 대대적인 해킹 공격이 있었지만, 정부 당국의 대응은 헛웃음을 짓게까지 한다. A교회 관계자는 “2019년 당시 경찰 측에서 딱 한 번 전화가 왔었다. 우리 교회 서버가 해킹됐다는 통보가 전부였다. 자세한 설명도 없었고, 그 뒤로 어떠한 연락도 없었다”면서 “(그래서) 이 전화(경찰 전화)가 오히려 ‘보이스 피싱’인 줄 알았다. 당연히 교회 서버에 대한 점검도 하지 않았고, 그냥 그대로 사용했다. 안보와 관련한 수사는 원래 이렇게 하는 것인가”라고 기자에게 되묻기까지 했다.
이와 관련해 경찰 측은 “증거불충분으로 수사 종결했다”고만 밝혔고, 국정원은 “유사 사례를 포착해 보안 조치한 바 있으나 A교회 사건과 명확히 일치하는지는 불분명하다”고 해명했다.
하태경 의원은 “국정원이 독점하고 있는 북한 해킹 실태에 관한 정보를 깨끗하게 공유할 수 있도록 시스템을 구축해야 한다. 사이버 테러를 감행하는 해커를 색출해 처벌할 수 있으면 좋겠지만, 현실적으로 불가능하기 때문에 최대한 예방을 해야 한다. 예방을 위해서는 투명한 정보 공개를 통해 국민 스스로가 자각하는 수밖에 없다”면서 “이를 위해 △국정원이 사이버 안보를 위협하는 각종 공격 및 위협 행위와 수법을 식별할 수 있는 지표 개발 △사이버 안보 위협지표 및 사이버 안보 위협 방어조치 사항을 매년 국회 정보위에 보고 △국가기밀에 해당하지 않는 정보 공개 의무화 등이 포함된 국정원법 개정안을 대표발의 했다”고 밝혔다.
<북한 해킹에 대한 국가정보원 입장>
●국정원은 5월21일 한·미 정상회담 전후로 해킹 시도가 증가함에 따라 관련 사이버 위협 모니터링을 강화한 바 있음
●특정 교회 서버를 통한 해킹 시도 관련, 국정원은 유사 사례를 포착해 보안 조치한 바 있으나 A교회와 명확히 일치하는지는 불분명함. 구체 내용은 해킹 피해 당사자 외에는 확인해줄 수 없음을 양해 바람
●다양한 형태의 사이버 공격 예방을 위해 사이버 위협 상황을 실시간으로 모니터링하고 있으며, 해킹 징후 포착 시 과학기술정보통신부 등 유관기관에 관련 내용을 즉각 전파하고 사고 원인 규명 등 대응조치로 피해 확산을 조기 차단하고 있음
●또한, 최근 해킹 추세에 대응하기 위해 공공기관은 물론 민관과도 정보공유·협력을 확대해 나가고 있음
