북한이 문재인 정부의 안보·외교라인은 물론 정계, 학계, 언론계 등을 대상으로 전방위적인 해킹 공격을 하고 있는 것으로 드러났다(‘[단독]북한, 안보·외교라인 전방위 해킹…윤건영·박선원·최종건’ 기사 참조). 사이버 보안 전문가들은 “김정은 체제 이후 북한의 해킹 공격이 점점 더 심해지고 있다”면서 “북한의 해킹 기술은 이미 전 세계적인 수준”이라고 입을 모으고 있다.
안보·외교 기밀 해킹부터 외화벌이까지
사이버 첩보전 및 테러 수행, 해커 양성 등 사이버 활동에 관련된 임무는 ‘정찰총국’에서 하는 것으로 알려져 있다. 정찰총국은 지난 2009년 노동당 작전부와 35호실, 인민무력부(현 인민무력성) 정찰국을 통합해 만들어졌다. 정찰총국은 작전총국, 정찰국, 해외정보국, 대화조정국, 기술국, 후방지원국 등 6개 국으로 구성돼 있다. 이 중 해외정보국은 북한 해킹 조직의 배후로 지목되는데 ‘사이버 지도국’ ‘121국’ 등으로 불리기도 한다.
통일부가 발표한 자료에 따르면, 최근 정찰총국장과 호위사령관이 모두 교체된 것으로 파악되고 있다. 2009년부터 정찰총국을 이끌던 김영철 정찰총국장이 2016년 통일전선부장으로 자리를 옮겼다. 이후 장길성이 정찰총국장을 맡다가 2019년 해임된 것으로 추정되며, 현재는 림광일로 교체된 것으로 보인다.
북한 해킹 조직은 알려진 것만도 4~5개에 이른다. 가장 먼저 ‘김수키(Kimsuky)’를 꼽을 수 있다. 미국 마이크로소프트는 북한 해킹 그룹에 원소기호를 붙이는데, 김수키를 ‘탈륨’이라고 부르고 있다.
김수키는 가장 활발하게 활동하고 있는 북한 해킹 조직으로, 글로벌 정보 수집 임무를 수행하는 것으로 알려져 있다. 스피어 피싱(이메일에 악성코드를 심은 문서나 링크를 걸어놓는 해킹 방식) 및 워터링홀(공격 대상이 방문할 가능성이 있는 합법적 웹사이트를 미리 감염시킨 뒤 잠복하면서 피해자의 컴퓨터에 악성코드를 추가로 설치하는 해킹 방식) 공격을 사용해 타깃의 정보를 추출한다. 주로 한국·일본 및 미국의 개인과 조직을 목표로 삼는데, 국내 외교정책·국가안보 기밀 등에 대해 지속적인 공격을 시도하고 있다. 2014년 한국수력원자력 해킹 사건의 주범이다.
‘라자루스(Lazarus)’는 2009년 트로이 작전(Operation Troy)을 시작으로 지금까지 활발히 활동 중이다. 2009년부터 2014년에는 한국과 미국을 집중적으로 공격했다. 2015년 이후에는 금전적 수익을 목적으로 공격 범위를 넓히고 있다. 일각에서는 ‘히든 코브라(Hidden Cobra)’라고 부르기도 한다.
트로이 작전이란, 우리 정부와 군의 컴퓨터를 감염시킨 후 ‘미군’ ‘비밀’ ‘키리졸브 훈련’ ‘합참’ 등의 용어를 검색해 군사기밀을 빼내간 해킹 사건을 말한다. 이런 해킹이 최소한 4년간 지속됐다. 미군은 이를 두고 “이것은 단순한 해킹 공격이 아닌 군사 간첩 행위”라고 규정했다.
“북한 해커 3명, 1조4000억원 탈취”
2020년 ‘드림잡 작전(Operation ‘Dream Job’)’도 라자루스의 소행이다. 라자루스는 항공·방위산업체 직원들에게 세계 최대 항공기 제조회사 중 하나인 미국의 보잉 및 맥도넬 더글러스와 영국계 방산업체 BAE시스템즈 등의 채용공고를 허위로 뿌렸다. 이를 통해 이스라엘을 포함해 전 세계 수십 곳의 기업 및 기관에 침투하는 데 성공했다.
블루노르프(Bluenoroff)는 라자루스의 하위 그룹으로 금융기관, 카지노, 금융 거래 소프트웨어 개발사, 암호화폐 관련 등 금전적 수익을 얻을 수 있는 곳만 공격한다. 2016년 방글라데시 중앙은행·폴란드 금융감독원, 2018년 칠레 은행 등의 해킹이 대표적인 사례다.
스카크러프트(Scarcruft)는 한국의 공공 및 민간 부문에 중점을 두다가 2017년부터 일본, 베트남 및 중동까지 영역을 확장했다. 화학, 전자, 제조, 항공우주, 자동차 및 의료기관을 포함한 광범위한 산업 분야를 타깃으로 삼고 있다. 2020년 태영호 전 주영 북한대사관 공사의 스마트폰을 해킹한 조직이 바로 스카크러프트다.
안다리엘(Andariel)은 국방, 방위산업체, 정치기구, 보안업체, ICT 업체, 에너지연구소 등 기관의 정보 수집 임무를 수행한다. 최근에는 경제적 이익을 위해 도박게임, ATM기기, 금융사, 여행사, 암호화폐 거래소 등의 해킹 임무도 맡고 있다. 2017년 가상화폐 사용자 원격지원 솔루션을 공격한 것이 이들이다.
미국 법무부는 지난 2월, 전 세계 은행과 기업에서 13억 달러(약 1조4000원) 이상의 현금 및 가상화폐를 빼돌린 혐의로 북한 정찰총국 소속 3명의 해커 박진혁, 전창혁, 김일을 기소했다.
이들의 활동 분야는 엔터테인먼트, 은행, 암호화폐, 국방, 항공 등 다양하다. 박진혁의 경우 2014년 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 공격 등과 같이 주로 국제 은행과 기업을 타깃으로 삼았다.
미 법무부의 공소장에 따르면, 박진혁이 주도한 소니픽처스 해킹 공격은 소니픽처스에서 제작한 영화 《더 인터뷰》를 노렸다. 이 영화와 관련된 직원들에게 스피어 피싱 공격을 활용해 악성코드를 전송한 것이다. 이후 감염된 직원의 PC를 통해 네트워크에 침투해 내부 자료들을 탈취했다. 유출된 자료 중에는 미개봉 영화는 물론이고 직원들의 연봉과 같은 대외비 자료도 포함돼 있다.
세계대회 휩쓰는 北 영재들, 해커로 변신
북한은 1980년대 후반부터 ‘사이버전’ 인력 양성을 시작했다. 북한 주민은 소학교(초등학교) 3학년 때부터 컴퓨터를 배우기 시작한다. 소프트웨어(SW) 인재를 양성하기 위해 고등학교에 ‘수재반’을 설치하고 대학 교육과 연계하는 교육 체제를 구축하고 있다. 각 도에 수재 학교인 ‘제1 중·고등학교’가 있는데, 이 학교 졸업생은 군에 입대하지 않고 바로 이·공과 대학의 수재반에 진학할 수 있다. 대표적인 곳이 김일성종합대학과 김책공업대학이다.
꾸준한 인재 양성의 결과는 세계 프로그래밍 및 올림피아드 대회에서 나타나고 있다. 코드쉐프(CodeChef)는 2009년부터 인도 소프트웨어 기업 ‘디렉티(Drecti)’가 개최하는 국제 인터넷 프로그래밍 대회로, 매달 전 세계 80여 개국 2만여 명의 대학생이 참여해 10일간 진행된다. 북한은 2013년부터 2020년까지 이 대회에 참가해 18차례 1등을 차지했다.
국제수학 올림피아드는 대학교육을 받지 않은 만 20세 미만 학생을 대상으로 매년 열린다. 현재 100개국 이상이 이 대회에 참가하고 있다. 북한은 이 대회에 1990년 최초 참가해 2015년, 2019년에 최고 순위 4위에 올랐다.
익명을 요구한 사이버 보안업체 관계자는 “2014년 한국수력원자력 해킹 당시 북한 쪽을 역추적했는데, 그때 우연히 북한 해커의 성적표를 봤다. 우리나라와는 상당히 다른 교육 체계였다. 우리나라의 경우 과학이면 과학, 외국어면 외국어, 이렇게 한 우물을 파게 한다. 그러나 북한은 기본적으로 영어, 중국어, 러시아어, 체육, 공학 등 전반적으로 다 우수해야 영재로 양성된다”면서 “외국 유학도 적극적으로 보낸다. 다양한 경험을 쌓게 하는 것이다. 내부 경쟁도 치열하다. 생존의 문제가 걸리다 보니 실력이 늘 수밖에 없는 것”이라고 설명했다.
북한의 컴퓨터 영재들은 이후 사이버 공격과 관련된 프로젝트를 진행할 가능성이 높다. 프로그래밍은 소프트웨어·도구·악성코드 제작에 꼭 필요한 기술이며, 프로그래밍 실력이 좋을 경우 보다 뛰어난 해킹 프로그램 및 악성코드를 만들 수 있기 때문이다.
이와 관련해 사이버테러 수사 당국 관계자는 “이러한 인력이 어떤 곳에서 어떠한 직책을 맡을지 계속 추적해야 한다. 출중한 실력을 어떻게 사용할 것인지, 최종 목표가 무엇인지 선제적으로 파악해 대비할 수 있어야 한다”면서 “특히 북한 해커들은 적극적으로 컴퓨터 해킹 정보를 공유하며, 국제대회 사이트인 코드쉐프·해커랭크 등에 가입해 해킹에 필요한 정보와 기술을 습득한 후 사이버 공격에 활용한다”고 설명했다.
북한 해커들은 국가의 필요에 따라 어려서부터 철저한 관리 아래 세계 최고의 해킹 실력을 갖게 됐다. 이와 관련해 취재 중에 만난 한 사이버 보안업계 관계자는 다음과 같은 의미심장한 말을 남기기도 했다.“북한 해커들이 과연 이 일을 하고 싶어서 할까? 이들에게 꿈이 있다면 외국에 나가서 일하는 것이다. 조금이라도 자유로울 수 있으니까. 북한 해커들은 해킹에 쓰인 암호화 코드에 하고 싶은 말을 가끔씩 숨겨놓기도 한다. ‘세상이 너무하네요’란 문장이 그중 하나였다. 북한 해커들도 뭔가 고민이 있고, 이를 추적하는 사람에게 알리고 싶어 하는 것 같았다.”
