돈줄 막힌 北, 국내 비트코인 해킹 시도

비트코인 거래소 4곳에 악성메일
스마트폰 문자내용 훔쳐 계정 생성… IP주소 세탁 안해 경찰에 발각
정부기관은 백신 투자에 인색… 국방부 공고에 업체 1곳만 응찰
대부분 “그 가격엔 수지타산 안맞아”

북한 해커가 한국 비트코인 거래소 직원에게 경찰을 사칭해 보낸 e메일 내용. 경찰청 제공

북한이 한국 비트코인 거래소 직원에게 악성코드가 담긴 e메일을 보내 컴퓨터를 감염시켜 가상화폐 비트코인을 빼내려 한 사실이 드러났다. 최근 현금자동입출금기(ATM)를 해킹해 약 13만 명의 금융정보를 빼낸 데 이어 비트코인까지 건드린 것이다.

경찰청은 북한 정찰총국 121국 산하 평양 류경동 조직 소속으로 추정되는 해커가 국내 비트코인 거래소 4곳에 해킹을 시도한 사실을 확인했다고 27일 밝혔다. 북한 해커는 7∼8월 비트코인 거래소 4곳의 직원 25명에게 경찰 검찰 금융보안원 서울시 농협 등을 사칭해 악성코드가 담긴 e메일을 뿌렸다. 메일에 첨부된 한글 프로그램 양식의 공문을 내려받으면 컴퓨터가 바로 악성코드에 감염돼 북한에서 원격 조종할 수 있다.

이 악성코드는 한글 프로그램에 특화된 것이었다. 수사기관이 민간 기관에 자료를 요청할 때 신원 보증을 위해 신분증을 첨부파일로 보내는 관행까지 파악해 범죄에 악용했다. 북한 해커가 서울중앙지검과 서울지방경찰청 수사관을 사칭해 보낸 신분증도 실제 경찰과 검찰 것이었다. 수사관끼리 비트코인 계좌를 넣어두는 공간을 칭하는 ‘지갑’이란 말도 그대로 사용했다.

경찰은 북한 해커가 악성코드를 보내는 데 사용한 국내외 e메일 계정 9개를 수사하는 과정에서 우리 국민 스마트폰이 해킹당한 사실도 확인했다. 해킹된 스마트폰은 문자메시지와 통화 내용, 현재 위치가 실시간으로 유출되고 원격 조종도 가능하다.

북한은 악성코드 e메일을 시험 발송하는 과정에서 인터넷주소(IP주소) 세탁을 제대로 하지 않아 덜미가 잡혔다.

경찰은 이번 공격에 사용된 악성코드 e메일을 시험해볼 때 쓴 G메일 계정이 북한에서 접속됐다는 사실을 구글 본사에서 통보받았다. 경유 서버 IP 대역도 북한이 2014년 한국수력원자력 해킹과 2016년 청와대 사칭 e메일 해킹 사건 때 쓴 것과 같았다.

이처럼 북한의 사이버 공격이 거세지고 있지만 정부 기관은 백신 프로그램에 대한 투자를 꺼려 사이버 방호가 제대로 이뤄지지 않고 있다는 지적이 나온다. 지난해 북한에 내부통신망을 해킹당한 국방부는 올해 새로운 백신 업체를 모집했지만 기존 업체 1곳만 응찰해 입찰을 일시 중단한 것으로 확인됐다.

국방부는 당초 17억 원으로 전군에 흩어진 내·외부망 PC 30만 대와 서버를 관리하는 백신 업체를 선정했다가 북한 해킹에 취약점을 드러내자 예산을 40억 원으로 올려 업체를 모집했다.

하지만 대부분 보안업체가 “비용이 100억∼150억 원은 돼야 최소한 수지타산이 맞는 사업”이라며 응찰을 꺼렸다고 한다. 결국 해킹을 당한 기존 백신을 만든 업체 1곳만 응찰해 사업이 잠정 중단된 것이다. 국방부는 북한 해킹 사건 이후에도 같은 업체 백신을 계속 사용하고 있다.

조동주 djc@donga.com·이지훈 기자