[北 해킹위협]㊥ "북 해커 최대 1만명...코인 해킹해 외화벌이 중"

[아이뉴스24 김혜경 기자] 북한의 사이버 전력은 정권 유지를 위한 핵심 수단이다. 국가 기반으로 활동하는 해킹 조직은 많지만 국가가 주도해 사이버 범죄를 벌이는 곳은 손에 꼽히는데 북한이 대표적이다. 북한 해커 부대는 기밀을 탈취하는 첩보 활동과 핵 개발 자금을 조달하기 위한 외화벌이 등이 주요한 존재 이유다.

주목할 것은 북한의 사이버 공격이 2014년을 기점으로 바뀌고 있다는 점이다. 2000년대 초반 한국의 특정 기관과 집단을 겨냥해 사이버 공격을 감행했다면 2014년 '소닉픽쳐스' 해킹 사건 이후로는 해외로 눈을 돌려 가상자산 탈취에 주력하고 있는 것이다.

◆ 2000년대 들어 사이버전 개시...2014년 해킹으로 주목

북한 해킹조직이 본격적으로 활동을 시작한 것은 2000년대 들어서다. 국내에서는 2009년 '7‧7 디도스(분산 서비스 거부 공격)'에 이어 2011년 농협 전산망 해킹, 2013년 '3‧20 사이버 공격' 등이 대표적인 사례다.

이들이 해외에 존재감을 알린 것은 2014년. 미국 소니픽처스가 북한 풍자 영화인 '디 인터뷰'를 개봉하려 하자 북한은 최고 존엄을 모독했다는 이유로 배급사를 해킹했다. 이 공격으로 소니픽처스는 미개봉 영화가 유출되는 등 막대한 피해를 입었다.

사이버전 연구그룹인 이슈메이커스랩이 한국을 비롯해 전 세계를 대상으로 집계한 북한 추정 사이버 공격은 2004년 대비 2021년 300배 이상 급증했다. 최상명 이슈메이커스랩 대표는 "소니픽쳐스 해킹 사건 이전까지는 99%가 한국을 겨냥한 공격이었지만 이후 다른 국가의 공격 비중이 늘어났다"며 "2016년 국제금융망 스위프트(SWIFT) 공격에 이어 2017년 이후에는 랜섬웨어를 비롯해 가상자산거래소 및 사용자를 대상으로 한 공격이 이어지면서 한국을 타깃한 공격은 70% 정도"라고 설명했다.

북한 해커들은 2017년 '빗썸' 거래소 해킹 사건 배후로 지목되는 등 한동안은 국내 거래소 공격에 집중했지만 지금은 해외로 눈을 돌린 상태다. 최 대표는 "과거에는 국가기관과 연구소 등에 집중했다면 최근에는 가상자산을 비롯해 이를 이용하는 개인 등 불특정 다수로 확대됐다"며 "공격의 양도 늘어나고 있는 상황"이라고 말했다.

북한의 공격 특성은 악성코드가 단순하다는 점이다. 최 대표는 "이들이 제작한 악성코드는 굉장히 실용적인데 자료 탈취가 목적이라면 PC에 악성코드를 유포하고 감염시킬 수 있도록 기능적인 측면에 집중한다는 의미"라며 "굳이 은폐할 이유도 없고 신분이 노출되더라도 잡힐 위험이 없기 때문"이라고 설명했다.

이어 "미국이 이란 원자력발전소를 공격하는 데 활용한 악성코드인 '스턱스넷'의 경우 분석하는 데만 3개월이 소요될 정도로 복잡했다"며 "중국‧러시아 해커들은 신분을 감추거나 분석가에게 혼동을 주기 위해 악성코드를 복잡하게 만드는데 북한은 전혀 그렇지 않다"고 덧붙였다.

◆정찰총국 등 산하에 6~7개 조직…목적에 따라 세분화

북한 해커들은 정찰총국 제3‧5국, 인민무력부 총참모부, 국가보위성 제4‧6국에 소속돼 있으며, 6~7개 조직이 활동하고 있는 것으로 전문가들은 추정하고 있다. 공격 대상과 목적에 따라 해킹조직을 세분화한 구조다. 예를 들면 국가보위성 소속 해커들은 탈북자를 겨냥한 악성코드를 제작해 이들의 정보를 수집한다.

가장 위협적인 해킹조직은 '라자루스'와 '킴수키', '안다니엘'로 꼽힌다. 이들은 모두 정찰총국 산하 단체로 라자루스는 금융 분야 공격을 주도하며, 킴수키는 정보 수집을 담당한다. 라자루스 하위 그룹으로 알려진 안다니엘도 가상자산 탈취 등 금융범죄에 특화된 조직이다. 라자루스는 소니픽쳐스 해킹 사건에 이어 2016년 방글라데시 중앙은행 해킹 사건, 2017년 '워너크라이(WannaCry)' 랜섬웨어 사태의 주범으로 알려졌다.

북한은 1980년대부터 사이버 인력을 양성해왔다. 전국에서 선발된 수학‧과학 영재들은 IT 분야 인재를 양성하는 금성제1중학교 등에서 프로그래밍 교육을 받는다. 이곳을 졸업한 학생들은 북한 내 최고 고등교육기관인 김일성종합대학과 김책공업종합대학에 진학해 집중적으로 관련 교육과 실전 훈련을 받게 된다.

2020년 김책공대 소속 학생들은 국제 프로그래밍 대회에서 1‧2위를 차지하기도 했다. 10세 미만의 어린 나이 때부터 철저한 교육이 이뤄진다는 점이 특징이다.

국내 보안업계 관계자는 "폐쇄적인 국가 이미지 때문에 IT 인프라가 낙후됐다고 생각할 수 있는데 교육시스템은 굉장히 체계적"이라며 "과거에는 미국 출신 교수를 평양에 초청했는데 국제 제재가 강화된 이후에는 중국·러시아 교수들을 데려오는 등 국가 차원의 투자를 강화하고 있다"고 말했다.

임종인 고려대 정보보호대학원 석좌교수는 "국가가 조기 교육으로 해커를 양성한 후 지속적인 관리를 통해 외화벌이에 투입한다는 점이 특징"이라며 "어렸을 때부터 세뇌를 받아 주어진 임무 외에는 생각조차 하지 못할 뿐 아니라 성과만 내면 국가에서 막대한 보상을 지급하므로 정권 지시에 따라 일사불란하게 움직인다"고 전했다.

◆ "해커 최대 1만명 수준...고도의 기술력 보유자도 수백명"

북한의 사이버 전력 수준은 어느 정도일까. 1천여명에서 1만여명까지 관측이 다양하다. 그만큼 노출이 되지 않았다는 것이다.

2013년 국가정보원이 국회 정보위원회에 보고하는 과정에서 알려진 규모는 전담 조직 6개(1천700명)와 지원 조직 17개(5천100명)다.

최상명 대표는 "악성코드 개발자는 700~800명으로 추정되고 실제 공격에 나서는 인력까지 합한다면 1천여명은 넘을 것"며 "배후 인력을 모두 합칠 경우 수천여명은 될 것으로 보고 있다"고 말했다.

임종인 교수는 "동원할 수 있는 사이버 인력은 6천~1만명으로 추정되는데 이중 고도의 능력을 보유한 인원은 100~200명일 것"이라고 했다. 실력 있는 해커들이라면 소수 정예라도 큰 위력을 발휘할 수 있으므로 규모는 중요하지 않다는 뜻으로 풀이된다.

2017년 워너크라이 사태를 기점으로 북한 해킹조직은 IT 환경 변화에 발맞춰 공격 기법을 고도화하고 있다. 워너크라이는 윈도우용 프로그램 취약점을 이용한 랜섬웨어로, 보안패치가 적용되지 않은 PC를 감염시키는 등 전 세계를 강타했다.

최 대표는 "워너크라이 사태가 발생하기 전 러시아 연계 해킹조직인 '쉐도우브로커스'는 미국 국가안보국(NSA)을 해킹했다며 MS 운영체제의 취약점을 공개했는데 한 달 후 북한 해커들이 이 취약점을 활용했다"며 "과거에는 다른 조직이 공개한 취약점을 빌려 썼다면 최근 몇 년 사이에는 자신들이 직접 찾아 제로데이(알려지지 않은 취약점) 공격을 수행한다"고 말했다.

◆지난해만 2조1천410억원...국제 제재로 돈줄 막히자 가상자산 탈취

북한은 해킹으로 벌어들인 가상자산을 체제 유지 수단으로 사용한다. 미국 블록체인 데이터 분석기업 체이널리시스에 따르면 라자루스 등 북한 해킹조직들은 지난 한해 약 16억5천만달러(한화 약 2조1천410억원)에 달하는 암호화폐를 빼돌렸다.

이들 조직은 대부분 디파이(DeFi) 거래 구조의 약점을 파악해 범행에 이용하는 것으로 분석됐다. 디파이란 블록체인 기술을 활용한 탈중앙화 금융 서비스를 뜻한다.

북한이 본격적으로 가상자산 해킹을 시작한 것은 2017~2018년이다. 앞서 UN 안전보장이사회가 광물자원 수출을 전면 금지하고 노동자 해외 파견을 동결하는 등 경제 제재를 단행한 것이 영향을 미쳤다는 분석이다.

북한은 2017년 경제성장률이 20년 만에 -3.5%라는 최저치를 기록하면서 위기를 실감했다. 이때부터 금전 탈취 목적의 해킹에 집중, 외화벌이 대안으로 가상자산 공격에 집중하기 시작했다.

거래소를 직접 공격하던 해커들은 2018년부터는 악성코드를 유포해 개인이 보유한 가상자산을 탈취했다. 2021년부터는 디파이 생태계 성장으로 공격대상을 디파이 플랫폼과 지갑으로 전환한 것으로 나타났다.

국정원은 "북한은 디파이 플랫폼에 대한 해킹을 지난해부터 본격화하고 있다"며 "규제가 강화되는 중앙화된 거래소와 달리 신원 확인이 불가능하고 추적이 어려운 다크코인 거래가 용이하기 때문"이라고 말했다.

김혜경 기자의 다른 기사 보기

• ㊤ "정부기관 털리고 핵 기밀까지" 북 해킹에 속수무책