[단독]北해커 습관 DB화… 해킹땐 콕 집어낸다

국정원, AI-메타버스 활용 해커리스트 체계화
2004년부터 사이버범죄 자료 수집, 개인 버릇까지 파악해 선제 대응
권한강화땐 민간감시 악용 우려도

3개월 전 국가정보원은 경찰과 공조해 멕시코에서 1조3000억 원(소매가 기준) 상당의 필로폰을 밀반입한 마약사범을 붙잡았다. 압수한 필로폰의 양은 404.23kg. 1350만 명이 동시에 투약할 수 있는 분량으로 국내 마약 밀수 사상 최대 규모였다. 당시 밀수범들은 필로폰을 헬리컬기어(비행기 감속장치 부품)에 은닉했지만 국정원은 장소를 콕 집어 전량 압수하는 데 성공했다. 2017년부터 추적해온 이 범죄 조직이 그동안 해온 수법과 같았기 때문이다. 국정원이 공들여 구축한 마약 범죄 데이터베이스(DB)가 빛을 발한 것.

정보 소식통에 따르면 국정원은 무차별적 해킹 등 사이버 공격에 본격적으로 대응하기 위해 18년 치에 달하는 DB에 신기술을 접목하는 계획을 진행하고 있다. 사이버 안보가 초국가적 이슈로 부상한 데다 해킹 대응만큼 DB의 중요성이 큰 분야도 없기 때문. 정부 관계자는 “국정원은 이같이 파악한 사이버 범죄를 수법, 지역 등으로 분류해 사건별로 맞춤형으로 적용하고 있다”고 말했다.

○ 2004년부터 구축한 DB… AI도 활용

정보 소식통에 따르면 국정원이 구축한 사이버 범죄 DB의 적용 기간은 2004년 이후 현재까지다. ‘1·25 인터넷 대란’으로 불리는 2003년 1월 25일 국내 인터넷 마비 사태를 기준으로 그 이듬해부터 수집된 자료가 집중 분류 대상이다.

국정원이 정리한 DB에는 2009년 디도스(DDoS·분산 서비스 거부) 공격, 2011년 농협 전산망 무력화, 2014년 한국수력원자력 해킹, 2018년 평창 겨울올림픽 홈페이지 해킹 사례 등을 촘촘하게 정리한 것부터 개별 해커들을 집중 분석한 내용까지 망라돼 있는 것으로 알려졌다.

특히 국정원은 개별 해커들의 특징이나 습성 등에 주목하고 있는 것으로 전해졌다. 기존에도 주의가 필요한 해커 리스트를 뽑고 계속 들여다봤지만 이젠 이들을 더 체계적으로 분류하고 특징을 뽑아보고 있다는 것.

북한 해커들은 우리 감시망의 최우선 타깃이다. 2000년대 초중반부터 활동한 해커들이 여전히 왕성하게 활동하고 있기 때문. 정보 소식통은 “북한 해커들은 속된 말로 ‘고인 물’이 많아 노련하고 능숙하다”면서 “그런 만큼 해킹 때 자주 쓰는 습관이나 버릇도 많아 이를 데이터화하려는 것”이라고 밝혔다. 국정원은 해커들을 특정하고 선제 대응에 나서기 위해 인공지능(AI)이나 메타버스(3차원 가상세계) 등까지 접목한다. 단순히 데이터를 모으는 것보다 이를 효율적으로 활용하는 게 중요하다는 판단에서다.

○ 해커들, ‘주요 경유지’로 한국 집중 공략

한국은 최근 사이버 공격의 주요 타깃이 되고 있다. 특히 해커들이 ‘주요 경유지’로 활용하면서 해킹 사례가 급증했다. 올해 3분기(7∼9월) 하루 평균 해킹 공격 탐지 및 차단 건수만 122만 건에 이른다. 지난달 초 국정원은 해킹된 국내 생산 NAS(Network Attached Storage·저장장치) 장비가 해외 기관을 공격하는 데 악용된 사실을 확인하기도 했다.

이에 국정원은 사이버 위협 체계를 총괄하는 컨트롤타워 구축에 박차를 가하고 있지만 국정원이 민간 분야를 조사하려 해도 법적 권한이 없다는 점에서 한계가 있다는 지적이 나온다. 정부 관계자는 “국정원이 보안 집행을 하고 싶어도 못 하는 실정은 해커들이 더 잘 안다”고 지적했다.

그러나 국정원에 민간 기관 사이버 대응까지 가능한 권한을 부여할 겨우 권한 남용 우려도 제기된다. 민간인 댓글 부대에 국정원 예산을 지원한 2012년 ‘국정원 댓글 사건’처럼 정보기관이 민간인 감시에 활용될 수 있다는 것이다.


신진우 기자 niceshin@donga.com