해킹으로 돈 버는 북한…최근에도 빈번한 공격
70년이 넘게 허리가 끊긴 한반도. 같은 민족이지만 남북의 생각은 좀 다른 모양이다. 압도적인 경제적 기반 차이와 수준이 다른 IT 기술과 인력 등 우리나라에 비해 인프라가 떨어지는 북한이지만, 세계를 겨냥한 북한의 해킹 위협은 현재진행형이다.
북한은 전 세계, 특히 우리나라를 대상으로 사이버 공격을 빈번하게 가하고 있다. 수법은 여러가지지만 목표는 명확하다. 정권 유지를 위한 자금 조달과 첩보 수집이다. 특히 정부 차원에서 해커를 육성해 국가 재정 마련에 사용한다는 점이 눈에 띈다.
보안 업계에 따르면 북한의 해커 그룹은 정찰총국 산하에서 주로 육성된다. 북한은 조선인민국 총참모국 밑에 정찰총국(RGB)이라는 첩보 부서를 개설해 놓았다. 여기에서 ‘김수키(Kimsuky)’를 비롯해 라자루스, 안다리엘 등의 유명 해킹 조직이 싹을 틔웠다.
김수키를 APT43으로 명명하는 등 북한 해킹 조직을 분석하고 있는 맨디언트의 루크 맥마나라 수석 애널리스트는 “(북한 해커들이) 국가 내부 뿐 아니라 국외에서도 트레이닝을 받는다”며 “단기간에 해킹 역량을 끌어 올렸다”고 분석했다.
또 다른 보안 기업 레코디드퓨처의 미치 해자드 위협 인텔리전스 수석 연구원은 “1990년대 김정일 정권부터 시작해 김정은 정권으로 넘어오며 사이버 공격이 늘어나고 있다”며 “결과가 성공적이라 북한 입장에서는 안 할 이유가 없다”고 말했다.
북한은 RGB뿐 아니라 교육기관을 통해서도 해커를 양성한다. 우리 정부는 지난 2월 북한의 불법 사이버 활동을 차단하기 위한 대북 독자제재를 단행했다. 이중 지휘 자동화 대학(일명 미림대학)은 해킹 인력 양성에 관여해 제재 대상이 됐다. 이 밖에도 김일성종합대학 등에서 이른바 ‘정보전사’라 불리는 해커들을 육성하는 것으로 전해졌다.
북한이 별도로 교육까지 시켜가며 해킹에 목을 메는 건 이유가 있다. 높은 강도의 경제 제재와 코로나19 팬데믹 속에서 북한의 자금 상황이 좋지 않은 상황에서 돈벌이 수단으로 활용한다. 해킹으로 가상자산을 손에 넣은 뒤 세탁을 거쳐 정부 운영자금으로 쓴다.
미치 해자드 수석은 “상황적으로 사이버 공격을 통해 돈을 벌어오라는 압박이 있는 게 당연하다”며 “(북한의) 경제 상황을 봤을 때 수출 등 외화 벌이 수단이 없기 때문에 사이버 문제(해킹)가 일어나고 있다고 본다”고 분석했다.
북한의 가상자산 탈취 등 금융 관련 해킹 기술은 세계 최고라고 분석된다. 어려운 경제 사정이 해킹 실력을 키우는 아이러니를 낳았다. 하버드대 케네디스쿨 벨퍼 센터(Belfer Center)가 내놓은 ‘국가별 사이버 역량 인덱스(National Cyber Power Index 2022)’에서 북한은 파이낸셜 부문의 해킹 기술이 세계 최고라는 평가를 받았다. 60점 만점에 50점을 기록해 20점 초반으로 2위를 기록한 중국과의 차이가 컸다. 우리나라 외교부는 앞서 라자루스 그룹의 가상자산 지갑 주소 8개를 제재 대상에 올렸다.
하지만 가상자산을 겨냥한 북한발 해킹은 계속 될 것으로 보인다. 국정원이 지난달 발표한 ‘2022년 테러정세와 2023년 전망’에 따르면 2022년에만 8000억원 규모의 가상자산을 탈취했다. 국정원은 특히 “UN 안전보장이사회 대북제재 장기화로 인한 자금난을 해소하기 위해 가상자산 거래소 해킹에 집중할 것으로 보인다”고 밝혔다.
한편 북한 해킹 조직의 또 다른 특징은 정교한 타깃 설정이다. 자금 조달이나 첩보 수집 등 목적에 따라 해킹 타깃을 면밀히 분석해 사이버 공격을 수행한다.
특히 김수키 등 유명 해킹조직은 타깃에 따라 신분을 속인 뒤 스피어피싱을 주요 해킹 기법으로 활용한다. 김수키는 미국 매체 기자로 위장해 핵 전문가에게 문의 메일을 보내거나 채용 관계자로 위장해 개인 정보를 빼냈다.
안랩에 따르면 북한 및 외교·안보 전문가들이 주요 공격 대상이었다. 간담회나 자문요청서, 연구 결과보고서 등을 위장한 악성문서를 보내는 방식을 주로 사용한다.
안랩 관계자는 “(해킹을 위해 활용한) 문서나 이메일 등을 실제와 분간이 어려울 정도로 정교하게 제작한 것으로 미루어 볼 때, 공격그룹은 타깃에 대한 치밀한 사전 조사를 수행한 것으로 추정된다”고 밝혔다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network