北 해킹에 숭숭 뚫리는 한국 안보, 언제부터 사이버 전쟁 호구 됐나?[화정안보포커스]<13>

  • 동아일보
  • 입력 2021년 7월 20일 09시 49분


코멘트



북한의 해킹이나 사이버 공격은 어제 오늘의 일은 아닙니다. 그런데 최근 들어서

안보 관련 핵심 연구소나 방위 산업체들이 잇따라 뚫리고 있습니다. 심지어 열흘 넘게 해킹당한 사실도 모르고 있는 것이 드러나서 사이버 안보에 큰 구멍이 뚫렸다는 지적이 나오고 있습니다.

이번 화정 안보 포커스는 북한의 사이버 안보 위협이 얼마나 심각한지 고려대 사이버국방학과 임종인 교수님을 모시고 말씀을 듣도록 하겠습니다.




Q. 안녕하세요. 최근 북한 해커로 추정되는 세력들에 뚫린 안보 관련 연구소나 방위산업체들이 잇따라 나오고 있습니다. 마치 사이버 대공세를 하는 듯한 느낌인데요. 이것이 항상 공세는 있었는데 요즘 뚫리는 것인지, 아니면 새로운 것인지 어떻게 이해를 해야 되는 것인가요.

A. 예, 사실은 2011년, 정확히 10년 전에 4월 달에 농협 해킹부터 시작해서 2013년에 KBS 해킹, 2014년 한수원(한국수력원자력) 해킹 등 지속적으로 해킹을 당해 왔습니다. 최근의 사이버 공격이 굉장히 민감하고 중요한 연구소들이 해킹 당했기 때문에 더 언론의 주목을 받는 것이지 사이버 공격은 사실은 퍼시스턴트 인게이지먼트(Persistent engagement)라고 해서 지속적으로 계속 공격을 당해 오고 있구요. 그들이(북한) 보았을 때는 한국에 비해 가장 큰 강점을 가지고 있는 것이 사이버하고 핵인데 한국이 최근에 신형무기를 많이 개발한다고 하고 있지 않습니까. 핵추진 경 항공모함, 잠수함, KF-21 등 여러 가지 신형 무기들을 (개발)하려고 하니까 이것들의 제원이라든지 성능 등에 대해서 알아 볼 필요가 있죠. 그렇기 때문에 북한은 그것에 관련된 주요 연구기관인 카이(KIA·한국항공우주산업), 원자력연구소, 대우조선을 해킹한 것이고요. 뼈아픈 것은 그들이 이런 곳들을 해킹해서 중요 정보를 탈취할 것을 알면서도 막지 못했고, 또한 해킹 당한 다음에도 굉장히 오랜 시간 동안 12일이라고 하는데 저는 그보다 더 오래 될 것이라고 생각하는데 알지도 못했다는 것, 이런 것이 굉장히 뼈아프다고 생각합니다.


Q. 이번 해킹에서 주목되는 것이 원자력연구원입니다. 이 연구원이 핵원료 원천기술을 보유한 최상위의 국가 보안시설인데도 무엇을 빼어갔는지 아직 정확히 파악이 안 되고 있고, 12일 동안이나 이것을 어떻게 모르고 있는지 이해가 안 됩니다.

A. 한 마디로 우리 역량이 부족한 것이지요. 우리가 그들의 타깃이 될 것은 알고 있었지만 사실 북한이 우리에 비해 강점을 가지고 있는 것이 핵과 사이버라고 이야기 했는데, 사이버에 있어서 북한은 미국 CIA 보고서에 의하면 세계 5대 강국으로 미국, 중국, 러시아, 북한, 이스라엘 입니다. 굉장하죠. 이런 강국인데 우리가 충분히 막지 못했고, 최근에도 보면 2018년 평창 올림픽 때 우리가 러시아한테 대규모로 해킹을 당했고, 2019년에 업비트가 북한으로 추정되는 해커들에 의해서 해킹 당해서 580억 원이나 털렸는데도 아무 대응도 못했거든요. 그리고 지속적으로 당하고 있죠.

우리가 부족함을 느끼고 자체 역량을 발전시키고 그 다음 사이버 범죄는 국제 협력이 중요합니다. 제가 어느 곳에서 ‘사이버 쿼드 플러스’라고 했는데, 평창 올림픽 같은 경우에도 미국과 영국이 도와주지 않았으면 우린 평창올림픽 치르지 못했습니다. 이들이 도와주었기 때문에 복구하고 추가 공격을 막고 했거든요. 북한이 전 세계 특히 중국 쪽에서 우리에 대한 사이버 공격을 많이 하고 있기 때문에 미국과 협력이 중요하고, 우리가 중국과 잘 해보려고 노력을 하는데 사실 우리가 중국에 대해 저자세만 하지 중국으로부터 얻은 것이 별로 없어요. 그런데 중국에서 우리에 대해서 지속적으로 사이버 공격을 하는 것은 국제법상 위법 행위입니다. 그래서 중국에 대해서 이런 것에 대해서 시정조치를 요구하고, 이런 공격이 가해지면 중국에 대해서 그 범죄인을 추방해라 이런 것을 요청할 수 있어야 합니다.

Q. 해킹 즉 미사일로 말하면 발사지, 그 기지가 주로 중국입니까. 대부분 중국입니까.

A. 대부분 중국입니다. 2011년 농협 해킹, 2013년 KBS 해킹, 2014년 한수원 해킹 등 모든 것들을 중국에서 하고 그 이유는 사실 북한에는 IP 주소가 몇 개 없습니다. 그리고 여러 가지 네트워크 환경이 열악하기 때문에 그들이 중국으로 와서 단둥 등 곳곳에서 합니다. 특히 북한 해커들의 소프트웨어 제작능력이 뛰어나기 때문에 그들이 소프트웨어 하청회사 수백 개를 만들어서 중국에서 공장을 가동하고 있어요. 소프트웨어 가동으로 돈벌이를 하다가 당에서 명령이 내려오면 즉시 우리에 대해서 해킹을 하는 것이지요.

Q. 중국 장춘과 심양 등에서 해커들이 어떻게 활동하고 있는지 간접적으로 들은 바가 있는데, 중국에서 그것을(해커) 적발하겠다고 들면 어디서 하는 지 우리가 몰라서 할 수 없다 고 그러지는 않겠지요.

A. 예, 그러니까 중국은 유엔의 제재에도 불구하고 북한에 생존을 위한 쌀이나 석유를 대주고 있지 않습니까. 그리고 북한의 소프트웨어 엔지니어들 실력이 뛰어나니까 중국이 그들이 필요로 하는 것을 하청을 거기다 주어서 돈벌이를 하면 그 돈의 일부는 해커가 30퍼센트 갖고 70퍼센트는 당에다 바친다고 하더라고요. 그러니까 어쨌든 돈벌이 수단이고, 또한 UN보고서 작년에 나온 것을 보면 북한 해커들이 지난 2년 간 전 세계 가상화폐 거래소나 은행을 해킹해서 20억 불 이상을 해킹했다고 보고서에도 나오지 않았습니까. 이것을 중국이 다 눈감아 주고 있는 것입니다. 최근 푸틴하고 바이든 대통령이 1시간 넘게 통화를 하면서 바이든 대통령이 미국에 대해 랜섬웨어 공격을 한 해커들 ‘레빌(REvil)’ ‘다크사이드’ 등 러시아 해커들 이를 즉시 통제하라 안 그러면 우린 보복 하겠다 얘기 했잖습니까. 우리도 사실 중국한테 당당하게 요구해야 하는데 현재 정부가 거기에 대해서 저자세로만 하고 못하고 있으니까 참 치욕적이죠.


Q. ‘해킹 전쟁’이라는 것이 창과 방패의 싸움으로 비유가 되는데 창이 너무 강했는지 우리 방패가 부실했는지 이런 것을 봐야 되는데 최근의 항공우주산업 KAI 회사 내외부 인터넷망을 분리를 해야 된다는 것이라든지 암호를 바꾸는 등 방패 관리가 부실한 측면이 있지 않았나 싶습니다.

A. KAI가 망 분리가 제대로 되어있지 않았다는 얘기가 있는데 그것은 여러 가지 보안사항문제도 있긴 하지만 망 분리가 답은 아닙니다. 망 분리를 하면 업무 망과 인터넷 망을 분리하면 방어력은 강해집니다. 대신 업무 효율성이 너무 떨어져가지고, 사실은 KAI가 혼자 하는 것이 아니고 KAI는 소프트웨어는 한화시스템이랑 하고 어떤 것은 어디랑 하고 항상 분리를 해놓을 수 가 없는 것이지요. 그러니까 자체 내에 ERP(전사적 자원관리)도 있지만 다른 협력회사와 끊임없는 정보 교류를 해야 되고 여러 가지 소프트웨어라든지 등등을 정보를 업데이트를 해야 되기 때문에 완벽한 망 분리를 하기 어렵고 또 접점이 있어요. 그러기 때문에 사실은 보안을 너무 강하게 하면 업무 효율성이 떨어지지 않습니까. 그래서 이 둘 사이에 어떤 균형을 맞추고 그러기 위해서는 접점 부분을 항상 모니터링을 확실하게 하고 내부 직원들이 보안 규칙을 잘 지켜야 되는데 이번의 경우에도 조사를 하면 나오겠지만 우리가 그런 부분에 있어서 허점이 있었다. 그렇게 생각할 수 밖에 없고, 역사적으로 보면 실패로부터 교훈을 얻지 못하는 국가는 사실은 어려움에 처한다고 했는데 우리나라는 굉장히 많은 공격을 받았는데도 늘 같은 방법으로 당하고 더 심각한 것은요 중국이 우리의 제1 해킹대상국입니다.

Q. 방금 말씀하신 것처럼 몇 년에 걸쳐서 계속 공격이 이루어지고 하는데 우리의 법과 제도, 사이버 위협, 해킹 등을 막기 위한 기술적인 것 못지않게 법과 제도적인 정비도 미흡하다는 지적에 대해 어떻게 생각하십니까.

A. 법은 사실은 사이버 시큐리티(사이버 보안)와 관련된 국가의 어떤 체계 거버런스에 대해서 이야기 하는 것이고 자체 역량은 기술적 측면 그리고 그것을 시행하고 개발하고 실행할 수 있는 인력, 그 다음에 국제공조가 필요하기 때문에 국제적인 협력 이런 부분이 필요합니다. 현 정부 들어와서 사실은 고려대에 전 세계에서 처음 만든 인력양성 프로그램인 사이버국방학과 이것은 전 세계에서 굉장히 주목 받는 프로그램이고 제가 2018년 NATO 사이버 사령부 장관들, 거기에 가서도 노하우 좀 가르쳐달라 이런 이야기를 들었는데 그것이 2011년 국방부하고 협약을 해서 만들었습니다. 2015년에는 박근혜 대통령 시절에 청와대에 사이버비서관제도를 만들고 저도 사이버안보 특보로 들어가서 사이버에 대해서 나름 뭔가 체계를 하려고 그러고 그 당시 사이버에 상당한 관심을 가진 김관진 장관이 안보특보를 하면서 이 부분에 많은 체계가 구축되었는데 현 정부 들어서 다 무너져 버렸죠. 사이버 비서관도 없애고 어디에 통합시켰습니다. 사이버 특보도 없애버렸죠.



Q. 다시 한 번 다잡아야 할 계기입니다.

A. 그렇죠. 청와대가 일단 관심이 없어요. 이번에 북한이 KAI 에서 해킹 당했다고 했는데 KAI 해킹을 했다고 해서 박지원 (국정)원장이 국회에서 사과도 하고 그러지 않았습니까. 청와대 코멘트가 있어요? 아무것도 없죠. 올해 1/4분기에 한국에 가장 많이 해킹하려한 국가는 중국입니다. 중국이예요. 중국이 (해킹을)하는 것은 일단 유사시 한미동맹이 있으니까 한국은 그들이 볼 때 군사적 측면에서도 주적이고 반도체를 비롯한 많은 기술들을 미국이 통제하고 있기 때문에 이런 산업 기술을 위한 해킹, 이것 때문에 중국이 가장 많은 해킹을 하고 있고 2위가 북한, 3위가 러시아입니다. 이렇게 하는데 중국에 대해서 어디 한번 얘기해요. 북한에 대해서 안하고, 이러니까 한국이 당하고도 막을 능력도 없고 그렇다고 미국이나 여기에다 도와달라고 SOS도 안 청하고 그다음에 그쪽은 얘기도 못하고 하니까 한국은 얕잡아 보여 가지고 제가 사실은 어디에서 그런 표현을 썼는데 일종의 ‘호구’가 되었습니다. 이제부터라도 우리의 자체 역량을 기르고 그 다음에 거버넌스 체계 청와대로부터 국정원까지 국방부로 이어지는 어떤 체계를 구축하고 그것을 뒷받침할 법 제도를 만들어야 되고 그 다음에 미국이 군사동맹으로 쿼드 많이 이야기 하는데 우리가 그 부분이 여러 가지로 어렵다고 하면 사이버에 있어서는 사이버쿼드 플러스라든지를 통해서 어떤 우리에 국제협력을 강화하는 그런 것도 시도해야 한다고 생각합니다.

Q. 핵과 미사일은 눈에 보이지 않습니까. 눈에 보이는 이런 것 못지않게 사이버 공격과 위협 얼마나 심각한지 궁금합니다.

A. 이번에 바이든 대통령이 G7 회의 이후에 브뤼셀로 가서 NATO 정상회담을 했습니다. 거기서 다시 한 번 얘기 하는 게 NATO 규약이 이미 여러해 전에 바꾸었지만 (나토) 회원국이 사이버 공격을 당하면 그것은 군사공격으로 간주를 하고 공동대응을 하겠다. 실제로 2017년에 러시아가 우크라이나에 대해서 페트야(Petya)라는 랜섬웨어 공격을 했는데 지금 방송을 하지만 생방송이 멈추고 금융이 마비되고 정전이 되고 그래서 사회 주요 기관 인프라가 다 무너졌고 이번 5월 달에 있었던 미국 콜로니얼 파이프라인을 보면 가스 공급 중단되었잖아요. 실제로 전시에 미사일을 쏘는 것이랑 똑같아요. 미사일 쏴서 우리 삼성전자 반도체 공장 멈추고 할 수 있어요. 현대차 멈추게 할 수 있어요. 한전 멈추게 할 수 있어요. 이러면 우리나라 자체가 초토화 되잖아요. 그런데 사람은 죽지 않으니까 훨씬 어떻게 보면 실감을 덜 느낄 거예요.

Q. 이것이 ‘게임 체인저’가 될 수 있다. 게임을 전쟁을 시작하기도 전에 이렇게 이야기 할 수 있습니까.

A. 그렇죠. 일종의 사이버 공격이라는 것은 30년 전에 걸프전이 일어났을 때에는 토마호크 미사일을 먼저 날려서 시작했는데 지금은 조용한 사이버 미사일을 먼저 날립니다.

Q. 다음 큰 전쟁은 사이버 전쟁에서 시작된다?

A. 예, 그것은 전문가들이 다 얘기하는 것이고, 그럴 때 미국 같은 경우에는 사이버 사령부를 통합전투사령부로 바꿨고 사이버 사령관이 NSA(미 국가안전보장국) 의장을 겸하면서 4성장군 입니다. 우리나라는 겨우 국방부의 한 개 원스타가 하고 있고요. 아주 초라한 규모죠. 그리고 국정원 같은 경우에도 능력은 뛰어나지만 아주 소규모고 그리고 부처 간의 어떤 협력이라든지 정보교환이라든지 이런 것도 쉽지 않고 특히 민간과 어떤 공공이 따로 없잖아요. 그러니까 민간분야하고 협력이 잘 이뤄져야 하는데 그것은 또 개인정보 보호 프라이버시 문제 때문에 쉽지가 않아요.

안보에는 여야도 없고 개인과 공공이 따로 있을 수 없기 때문에 그런 부분에 있어서 국민 국가적 합의가 이루어져서 법체계를 바꿔서 협력은 국가적 총체적인 노력은 하되 다만 어떤 프라이버시 침해 이런 것을 못 하도록 감시위원회를 만든다든지 이렇게 해서 역량을 강화해야 되는데 그런 부분에 있어서 청와대의 노력이 부족한 것이죠.

Q. 마지막으로 북한 해킹 얘기가 나올 때 북한의 해킹 역량에 대해서 견해가 갈립니다. 어느 사람은 수 만명 인력을 보유했다고 하고 또 신뢰할 만한 북한 전문가의 분석은 우리가 아는 것 보다 많은 인력은 아니다 라고 합니다. 북한 해커들의 규모, 그들의 해킹 능력 ‘킴스키(Kimsuky)’ 등 조직도 있고 한데 어느 정도 입니까.

A. 군에는 직접 전투 병력도 있고 지원 병력도 있고 그러잖아요. CIA에서 아까 말씀 드린 대로 세계 사이버 공격 능력에 있어서 다섯 개 나라를 꼽으면 북한은 항상 들어갑니다. 특히 2017년에 그들이 만들었던 워너크라이(WannaCry) 랜섬웨어는 단 하루만에 155개국에 30만대 PC를 감염시켜서 야 북한이 대단하구나. 그 전까지 랜섬웨어는 그렇게 급속히 퍼지지 않았어요. 전염성이 강한 지금 코로나 바이러스처럼 전염성이 강한 랜섬웨어를 북한이 만듦으로써 북한의 능력이 굉장하구나 이것을 인식시켜줬고요.

유엔보고서에도 북한이 엄청나게 외화벌이를 하고 있다. 그리고 또 한편으로는 사이버 용병 노릇을 많이 하고 있어요. 돈 받고 용병 노릇을 하는 것이지요. 가난한 국가 사람들에 옛날에 용병 많이 했잖아죠. 북한의 어떤 사이버 역량 있는 이들이 용병 노릇 많이 하고 있고요.

규모는 얼마나 되느냐. CIA 보고서에 의하면 몇 년 전에는 7천명 이었는데 지금은 1만 명 정도 수준이다. 북한의 사이버 부대가. 그 중에서 진짜 역량 있는 해커들, 직접 해킹하는 친구들은 1천명 수준, 그 중에서도 정말 킴스키니 라자루스니 1급 해커들은 그 중에 몇 백명으로 줄어들겠죠. NSA도 통칭 몇 명이나 하면 행정 요원도 있고 해서 3만 명은 넘는다. 그 중에서 진짜 특급해커들은 몇 명이냐. 300명 정도라고 그러거든요. 그런데 해커들은 한 명이 백만 명을 상대할 수 있는 게 해커이니까. 숫자가 다라고 말할 수 없지만 북한 해커들이 뛰어난 것은 사실입니다. 왜냐하면 북한에서는 해커들과 소프트웨어 엔지니어, 핵 기술자가 가장 큰 대우를 받기 때문에 중학교 때부터 이쪽 사이버쪽 영재들을 발굴해서 계속 훈련시키고 또 외국에도 파견 시킬 수 있고 돈도 많이 벌고 그러니까 우리나라하고 달라요. 의사나 어떤 일보다 해커를 하면 자기네 집안이 핀다. 외국에도 나갈 수 있고 국가에서 대우도 받고 그러니까 이 해킹 쪽으로 능력 있는 친구들이 많이 달려들고 하니까 북한의 해커들이 뛰어난 것이 사실입니다.

앞서 교수님이 말씀하셨지만 현대전은 사이버 공격으로 시작을 하고 보이지 않는 사이버 위협이 눈에 보이는 무기보다 더 위협적인 시대가 된 것 같습니다. 이런 부분에 대해서 관심을 많이 가지고 국가적으로 대비 할 수 있는 노력을 더 기울여야 될 것 같습니다. 교수님 오늘 바쁘신 시간 내 주셔서 감사합니다.

정리 = 윤융근 화정평화재단 21세기평화연구소 기획위원

북한 해커, 전세계 금융기관 노리는 ‘사이버 화적떼’
미국 정부는 2월 18일 전세계 은행과 사업체로부터 13억 달러(약 1조4365억원)를 절도한 혐의로 북한의 해커 3명인 김일, 박진혁, 전창혁을 기소했다. 이들은 중국 등에서 활동하다 북한으로 돌아간 것으로 알려졌다.

이들은 2017년 영국 등 세계 여러 나라 컴퓨터 체계에 큰 혼란을 초래한 ‘워너크라이 (WannaCry) 2.0 랜섬웨어 사이버 공격’에 가담한 혐의도 받는다. 이 공격으로 영국의 국민의료보험(NHS) 컴퓨터 체계가 타격을 입었다.

박진혁은 2014년 소니엔터테인먼트 해킹에 가담한 혐의로 이미 2년 전에도 기소됐다. 미국 법무부는 3명이 북한 군 정보기관인 정찰총국 소속이라고 밝혔다. 미 연방수사국(FBI)은 박진혁이 북한의 명문대를 졸업하고 다롄 소재 북한 기업 조선엑스포(Chosun Expo)에서 일한 컴퓨터 프로그래머라고 소개했다. 그는 세계 각국 거래처와 온라인 게임과 도박 프로그램 등을 설계했다. 2002년부터 2013년 또는 2014년까지 다롄에서 활동한 ‘디지털 족적’이 발견됐다.

FBI가 2월 기소하면서 공개한 박진혁의 사진은 조선엑스포 근무시절 고객에게 자신을 소개하며 보낸 이메일에서 확보한 것이다. FBI는 박진혁이 낮엔 프로그래머, 밤엔 해커로 일한다고 설명했다.

3월 유엔 안보리 대북제재위원회 전문가 패널 보고서에 따르면 북한은 2019¤2020년 사이 해킹으로 3억1640만 달러(약 3796억 원)를 탈취했다. 2019년 보고서에서는 북한이 2015¤2018년 세계 17개국의 금융기관과 가상화폐거래소를 대상으로 35차례(한국 10차례) 해킹으로 최대 20억 달러(2조4000억 원)를 탈취했다고 공개했다.

2017년 이후 주요 가상화폐거래소가 해킹으로 거액을 탈취당한 사례로는 △빗썸 2017¤2019년 4회에 걸쳐 690억 원 상당 △업비트 2019년 580억 원 상당 △코인게일 2018년 500억 원 상당이다.

미국이 기소한 북한의 해커 3명 김일 박진혁 전창혁(왼쪽부터).
미국이 기소한 북한의 해커 3명 김일 박진혁 전창혁(왼쪽부터).


▷ 북한 소행 확인 혹은 추정되는 주요 해킹 사건

-스위프트 전산망 해킹

2016년 2월 방글라데시 중앙은행이 뉴욕 연방준비은행에 예치하고 있던 1억100만 달러(한화 약 1167억 원)가 해킹으로 도둑맞았다. 방글라데시 중앙은행 서버에 악성코드를 심어 스위프트(SWIFT) 시스템 접속 정보를 훔쳐냈다. 스위프트 시스템은 전세계 은행 공동의 전산망으로 해외 송금에 주로 사용된다.

방글라데스 중앙은행 명의로 접속한 해커는 뉴욕 연방준비은행에서 필리핀과 스리랑카의 은행으로 1억100만 달러를 이체시킨 후 이중 8100만 달러를 빼돌렸다. 조사 결과 소니 픽쳐스 해킹을 주도한 ‘라자루스(Lazarus) 그룹’의 흔적이 발견됐다.


-소니 픽쳐스 해킹

2014년 11월 북한 김정은 노동당 위원장을 희화화한 영화 ‘인터뷰’를 제작한 소니 픽쳐스가 해킹됐다. 소니에서 제작한 미개봉 영화가 유출됐고 임직원들의 연봉 자료까지 공개됐다. 이듬해 1월 제임스 코미 FBI 국장은 북한이 소니 픽쳐스 해킹에 연관됐다는 결정적인 증거를 확인했다고 밝혔다. 북한의 해킹에도 불구하고 소니 픽처스는 ‘인터뷰’를 상영했다.

-3·20 전산 대란

2013년 3월 20일 KBS, MBC, YTN 등 방송사, 신한은행 농협 등 금융기관에서 3만2천 대의 컴퓨터의 하드디스크가 파괴됐다. 보안업체 조사 결과 악성코드는 백신 프로그램의 구성 파일로 위장해 들어왔다. 정부·민간 합동 대응팀은 북한이 적어도 8개월 전부터 공격을 준비했다고 분석했다.


-농협 전산망 마비 사태


2011년 4월 12일, 농협의 전산망 자료가 대규모로 손상돼 사흘 가량 금융서비스 이용이 중단됐다. 검찰은 서버 관리 업체의 직원 노트북이 북한 정찰총국이 배포한 악성코드에 감염됐다고 발표했다.

▷북한 해킹 조직 알려진 것만 4~5개

김수키(Kimsuky)는 가장 활발하게 활동하고 있는 해킹 조직으로 스피어 피싱(이메일에 악성코드를 심은 문서나 링크를 걸어놓는 해킹 방식) 및 워터링홀(공격 대상이 방문할 가능성이 있는 합법적 웹사이트를 미리 감염시킨 뒤 잠복하면서 피해자의 컴퓨터에 악성코드를 추가로 설치하는 해킹 방식) 방식으로 공격한다. 2014년 한국수력원자력 해킹 사건의 주범이다.

라자루스 그룹(Lazarus Group)은 히든 코브라(HIDDEN COBRA)라고도 불렸다. 미국 보안업체 맥아피(McAfee)는 2009년부터 한국에서 발생한 ‘트로이 작전(Operation Troy)’ 이라는 이름의 악성 맬웨어(Malware)의 해킹이 라자루스의 소행이라고 2013년 밝혔다. 한국군과 주한미군을 대상으로 최소 4년 이상 지속적인 공격을 했다. 2009년 트로이 작전(Operation Troy)을 시작으로 지금까지 활발히 활동 중이다. 2020년 ‘드림잡 작전(Operation Dream Job)’도 라자루스의 소행이다.

‘라자루스 그룹’이라는 이름은 죽음에서 부활한 성경 속 인물 ‘나자로’에서 따왔다고 한다. 북한 해커의 컴퓨터 바이러스가 나자로처럼 회복력이 강하다는 것을 강조하는 것이다.

블루노르프(Bluenoroff)는 라자루스의 하위 그룹으로 금융기관, 카지노, 금융 거래 소프트웨어 개발사, 암호화폐 관련 등 금전적 수익을 얻을 수 있는 곳만 공격한다. 2016년 방글라데시 중앙은행·폴란드 금융감독원, 2018년 칠레 은행 등의 해킹이 대표적인 사례다.

스카크러프트(Scarcruft)는 한국의 공공 및 민간 부문에 중점을 두다가 2017년부터 일본, 베트남 및 중동까지 영역을 확장했다. 화학, 전자, 제조, 항공우주, 자동차 및 의료기관을 포함한 광범위한 산업 분야를 타깃으로 삼고 있다. 2020년 태영호 전 주영 북한대사관 공사의 스마트폰을 해킹한 조직이 스카크러프트다.

안다리엘(Andariel)은 국방, 방위산업체, 정치기구, 보안업체, ICT 업체, 에너지연구소 등 기관의 정보 수집 임무를 수행한다. 최근에는 경제적 이익을 위해 도박게임, ATM기기, 금융사, 여행사, 암호화폐 거래소 등의 해킹 임무도 맡고 있다. 2017년 가상화폐 사용자 원격지원 솔루션을 공격했다.

사이버 첩보전 및 테러 수행, 해커 양성 등 사이버 활동에 관련된 임무는 정찰총국에서 하는 것으로 알려져 있다. 정찰총국 해외정보국이 북한 해킹 조직의 배후로 지목되는데 ‘사이버 지도국’ ‘121국’ 등으로 불리기도 한다.

▷부실 안이한 대응

국방부가 한기호 국민의힘 의원에게 제출한 자료에 따르면 군을 노린 해킹 시도는 2017년 3986건에서 2020년 1만2696건으로 3배 이상 늘었다. 올해 상반기에만 6139건이 적발됐다. 중국발 사이버 공격은 2017년 1051개에서 1만897개로 11배 이상 늘었고 올해 상반기에만 1만1228개로 지난 한해 수준을 뛰어넘었다.

북한의 해커들은 대부분 중국에서 활동하는 상황에서 IP 발신지가 중국으로 확인되는 해킹 시도가 늘었는데 북한 추정 세력의 공격이 2019년 1건, 지난해와 올해 모두 ‘0’건으로 추정하고 있는 것은 너무 안이한 대응이라고 할 수 밖에 없다.

국가안보전략연구소 조성렬 박사는 북한이 국력 열세에 따른 군사력 약화를 타개하기 위해 비대칭 전력을 키웠는데 대표적인 것이 핵무기와 탄도미사일이지만 사이버전 능력 향상도 그런 차원에서 시작됐다고 분석했다. 북한이 사이버전에 본격적으로 관심을 갖게 된 것은 미국의 2003년 이라크 대상의 ‘사막의 폭풍 작전’때라고 알려져 있다고 했다. 김정일이 인터넷과 초고속통신망의 군사적 이용이 전쟁 수행에 커다란 영향을 미친다는 것을 깨닫고 “21세기 전쟁은 정보전”이라고 강조했다는 것이다.

참고 자료

조성렬, ‘북한의 사이버전 능력과 대남 사이버 위협 평가: 한국의 사이버안보를 위한 정책적 함의’, 북한연구학회보 제17권 제2호, 2013.

시사저널 2021년 7월 10일

구자룡 화정평화재단 21세기평화연구소장 bonhong@donga.com



정리 = 윤융근 화정평화재단 21세기평화연구소 기획위원
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스