美 사이버능력·韓 지리적 이점 결합… 北 ‘은밀 공격’ 막는다

정상회담서 ‘사이버 동맹’ 확대
尹 국내 안보시스템 재정비할 듯
“한·미 회복력 있는 가치 동맹”
美 도청의혹 관련 입장 밝혀
2022년 국내 보안프로그램 해킹
北 ‘라자루스’ 소행으로 밝혀져

한·미 양국이 윤석열 대통령의 다음주 국빈 방미를 계기로 북한 사이버 위협 대응을 위한 정보 공조 강화에 나선다. 세계 최고 수준인 미국의 사이버 능력과 한국의 지리적 이점을 결합해 점점 더 기승을 부리고 있는 북한의 위협을 차단하겠다는 것이다.

윤 대통령은 오는 26일 한·미 정상회담에서 사이버 안보 협력 관련 문건을 채택한 뒤, 후속 대응으로 국내 사이버 안보 역량을 높이기 위한 시스템 강화에 나설 것으로 전망된다. 국회에 계류 중인 ‘국가사이버안보기본법’이 재조명될 가능성도 거론된다.

18일 서대문구 경찰청에서 경찰청 안보수사국 관계자가 '보안인증 S/W 취약점 공격사건' 경찰 수사결과를 발표하고 있다. 연합뉴스

윤 대통령은 18일 국무회의에서 미 정보 당국의 도청 의혹과 관련해선 “한·미는 이해가 대립하거나 문제가 생겨도 충분히 조정할 수 있는 회복력 있는 가치 동맹”이라며 “한·미동맹은 이익에 따라 이합집산하는 관계가 아니라 자유민주주의, 시장경제라는 보편적 가치에 기반한다”고 강조했다.

이날 대통령실에 따르면 윤 대통령은 한·미 정상회담 결과물로 북한 사이버 위협에 맞서는 양국 공조 방안을 발표할 전망이다. 앞서 대통령실 고위 관계자는 “한·미 정상회담 결과로 사이버 안보 협력에 관한 별도의 문건이 발표될 것”이라고 밝힌 바 있다. 양국은 북한 위협에 초점을 맞춰 논의할 전망이다.

윤 대통령은 취임 후 정보 동맹 강화에 외교적 노력을 기울여왔다. 북한을 비롯한 적대 세력의 공격이 물리적 위협에 그치지 않고 사이버 영역에서 극심해지고 있어서다.

지난해 국정원에 따르면 한국에 대한 하루 평균 해킹 시도는 118만건으로 이 중 55.6%가 북한발 공격으로 파악됐다. 북한은 경제난 해소를 위한 외화 벌이와 범죄 수익을 목적으로, 암호화폐 등 가상자산을 노린 사이버 공격과 원자력, 방위산업, 정찰 자산 등 첨단 기술 탈취에 주력하고 있다. 북한의 사이버 능력은 미국, 러시아, 중국, 이스라엘과 함께 세계 ‘톱5’에 속한 것으로 알려졌다.

미국의 외교전문지 포린폴리시는 지난 16일(현지시간) 북한의 비밀 해커 그룹이 최근 수년간 미국이나 한국의 싱크탱크, 정부 기관, 학계 등을 상대로 민감한 데이터를 뽑아내며 조용한 전쟁을 벌이는 동시에 다른 한편으론 가상화폐망을 공격해 화폐를 훔치거나 돈세탁을 해왔다고 지적했다.

한·미는 정상회담을 계기로 북한 사이버 공격 관련 협력을 한층 강화할 것으로 보인다.

윤석열 대통령(왼쪽)이 지난 2022년 11월 13일(현지시간) 캄보디아의 수도 프놈펜 한 호텔에서 열린 정상회담에서 조 바이든 미국 대통령과 악수하고 있는 모습. 프놈펜=연합뉴스

한 소식통은 “한국에 해킹 피해가 발생했을 때 해커가 남긴 흔적과 자금 흐름을 파악하는 데 있어 미국이 자문해주고 있다. 한국이 자체 파악을 하기에는 한계가 있다”며 “대신 정보 자산은 지리적으로 가까우면 얻을 수 있는 것들이 상대적으로 많기 때문에 한·미 공조가 가능하다”고 말했다.

미국은 동맹인 한국이 정보 능력 강화에 나설 것을 독려해온 것으로 전해졌다. 한·일 관계 개선에 대한 미국 입장도 그 일환으로 보인다. 한·일 관계 개선이 이뤄지지 않고선 한·미·일 안보 협력 강화가 어렵기 때문이다.

또한 양국이 서로 신뢰할 수 있는 정보를 공유하려면 한국이 미국 수준의 기본적인 시스템을 갖춰야 하지 않느냐고 미 당국이 인식하는 것으로 전해졌다.

윤석열정부는 출범 직후 대통령 직속으로 국가사이버안보위원회를 설치하고 관련 법령 제정을 추진하겠다고 밝힌 바 있다. 국정원은 지난해 11월 국정원·국방부·과학기술정보통신부로 분할돼 있는 사이버 위협 대응 체계를 개편해 컨트롤타워를 구축하는 내용의 국가사이버안보기본법 제정안을 입법 예고하기도 했다. 하지만 민간인 사찰 우려가 제기되며 수면 아래로 가라앉았다.

조태용 국가안보실장이 의원 시절에 발의한 ‘사이버안보기본법안’과 더불어민주당 김병기 의원의 ‘국가사이버안보법안’ 제정안은 국회 정보위원회에, 민주당 윤영찬 의원의 ‘사이버보안기본법안’은 과학기술정보방송통신위원회에 계류돼 있다. 한·미 정상회담을 계기로 국제 수준의 사이버 능력 구축 명분이 만들어지고 북한 위협이 고조될 경우 대통령실이 관련 법에 드라이브를 걸 가능성도 거론된다.

한편 경찰청 국가수사본부는 지난해 발생한 보안 인증 프로그램 해킹 사건이 북한과 연계된 해커 그룹 ‘라자루스’의 소행으로 파악됐다고 이날 밝혔다. 1000만대 넘는 국내 기관·업체·개인 PC에 설치된 보안 인증 프로그램을 이용해 대규모 대남 사이버 공격을 계획한 정황으로 추정된다. 경찰 수사 결과 덫에 걸린 PC는 단 100분의 1초 만에 악성코드에 감염된 것으로 드러났다.

사안의 심각성을 고려해 국가정보원은 지난달 30일 일반에 관련 보안 취약점을 공개하고, 경찰청과 함께 보안 패치 개발을 완료한 뒤 해당 소프트웨어를 사용 중인 공공·금융 기관을 대상으로 프로그램 업데이트를 완료해 해킹을 차단했다. 수사 당국은 해킹 인프라를 구축한 방법, 보안 서비스의 취약점을 이용한 악성코드 유포 방식의 유사성을 바탕으로 북한 라자루스를 해킹 주체로 지목했다.

라자루스는 2021년 4월부터 1년여 동안 국내 유명 보안 인증 업체를 해킹, 인터넷뱅킹에 쓰이는 보안 인증 프로그램을 이용한 사이버 공격을 준비했다. 본격적인 해킹은 지난해 6월쯤 시작됐다. 해당 보안 인증 프로그램이 설치된 PC에서 특정 언론사 사이트에 접속하면 자동으로 악성코드가 설치되도록 해 국내 언론사 8곳 등 61개 기관의 PC 207대가 뚫렸다. 라자루스가 취하는 이 공격 방식을 ‘워터링홀(Watering Hole)’이라 부른다. 방문 가능성이 높거나 많이 사용하는 사이트를 감염시킨 후 피해자가 해당 사이트에 접속할 때 컴퓨터에 악성코드를 심는 수법이다.

경찰은 해당 보안 인증 프로그램의 국내 점유율(20∼25%)을 토대로 1000만여대의 PC가 공격 위험에 노출됐을 것으로 추정했다. 해킹된 PC의 관리자 권한을 뺏어 이른바 ‘좀비 PC’로 만든 뒤 사이버 공격을 본격 감행할 계획이었지만, 해킹 징후가 사전에 포착돼 실제 피해는 발생하지 않았다. 대응이 늦어졌다면 디도스 공격이나 특정 기관의 자료 유출, 금전 탈취 등 피해가 상당했을 수 있다.

그동안 북한은 안보, 방산 등 일부 특정 분야를 겨냥한 해킹을 주로 저질러왔는데, 이번엔 양상이 조금 달랐다는 점에 경찰은 주목하고 있다. 라자루스가 취하는 워터링홀 공격은 대상을 일부로 한정하는 것이 특징인데, 이번에는 국내외 1000만대 이상 컴퓨터에서 사용하는 소프트웨어를 해킹했다는 점에서 대상이 전 국민으로 확대됐기 때문이다.

경찰청 관계자는 “대다수 국민이 금융 서비스 이용을 위해 필수 설치하는 프로그램을 악용했고, 의심 없이 접속하는 언론사 웹사이트를 활용한 것으로 보아 수법이 치밀하다”며 “은밀하게 내부 시스템에 침투한 뒤 기관의 자료를 탈취하거나 키보드 인식 내용을 파악하는 등 대규모 장악을 시도하려 했을 가능성이 있다”고 분석했다.

경찰에 따르면 해킹 피해를 입은 한 민간 기관으로부터 첩보를 입수한 지난해 10월 말쯤부터 신속하게 관계 기관이 합동 대응해 대규모 사이버 공격을 미리 막을 수 있었다. 한층 교묘해진 북한의 해킹, 워터링홀 기법을 구체적으로 규명했다는 데에도 수사 의의가 있다고 밝혔다. 경찰청 관계자는 “추가 해킹 피해를 예방하기 위해 보안 인증 프로그램을 최신 버전으로 업데이트해 달라”고 당부했다.

업데이트하려면 사용 중인 PC의 제어판에서 프로그램 및 기능을 클릭한 뒤 ‘INISAFE CrossWeb EX V3’ 버전을 확인해 취약 버전(3.3.2.40 이하)일 경우 즉시 삭제하고, 최신 버전(3.3.2.41)을 설치하면 된다.

◆‘라자루스’ ‘김수키’ ‘안다리엘’ 北 해킹조직  150國 랜섬웨어 공격·가상화폐 탈취 앞장

지난해 발생한 보안인증 프로그램 해킹 사건이 북한 연계 해커그룹 ‘라자루스’의 소행으로 드러나면서 북한의 사이버 해킹 능력에 관심이 쏠리고 있다. 북한은 해킹을 통해 정보·자금을 탈취하고자 사이버 능력을 강화하고 관련 조직을 운영하는 것으로 알려졌다. 국방부는 ‘2022 국방백서’에서 “북한이 6800여명의 사이버전 인력을 운영하며 최신 기술 연구개발을 지속하는 등 사이버전력 증강에 노력하고 있다”고 분석했다.

최근 공개된 유엔 안전보장이사회 산하 대북제재위원회 전문가패널 보고서에 따르면, 북한에서 가장 위협적인 사이버 해킹 조직은 정찰총국 제3국(기술정찰국) 소속 라자루스, 김수키, 안다리엘이다. 이들 조직은 다른 사람이나 단체로 위장해 백도어 멀웨어(악성 소프트웨어)를 뿌리거나 스피어피싱(특정 개인 또는 단체를 노린 사이버 피싱) 공격을 감행해 정보와 가상화폐를 훔쳤다.

2009년부터 본격적으로 활동을 시작한 라자루스는 북한의 정보·가상화폐 탈취에 앞장서는 대표적 조직이다. 미 재무부는 2019년 발간한 대북제재보고서에서 2017년에 전 세계 컴퓨터에 랜섬웨어를 심어 큰 피해를 입힌 워너크라이 사건에 라자루스가 개입했다고 지적했다. 당시 150개국에서 랜섬웨어 악성코드 감염 사례가 발견됐고, 30만대의 컴퓨터가 셧다운됐다. 2014년 미국 소니픽처스 해킹 사건 주범으로도 지목되어 있다. 지난해 6월에는 우크라이나 정부 기관을 상대로 지식재산을 훔치려고 시도했다.

2014년 한국수력원자력 해킹 사건 주범으로 지목되는 김수키는 ‘애플시드’라는 백도어 멀웨어를 구매 주문서 등으로 위장해 군사 기지 보수업체와 원자력발전소 관련회사 등에 배포, 피해자의 계정 정보와 컴퓨터 파일을 빼냈다. 2016년 한민구 당시 국방부 장관 집무실 개인 컴퓨터와 국방부 인트라넷을 해킹했던 안다리엘도 방위산업체, 정치기구, 연구소 등에 대한 해킹을 지속하는 것으로 알려졌다.

북한 해킹 조직은 가상화폐 절도에도 적극적으로 나서고 있다. 지난해 6월부터 라자루스가 배포한 ‘블록스홀더’라는 가짜 가상화폐 앱에는 ‘애플제우스’라는 멀웨어가 포함됐다. 이 멀웨어에 감염되면 해커가 이용자들의 가상화폐를 훔칠 수 있다. 라자루스 하위 조직인 블루노로프도 유명 은행이나 벤처캐피털 회사를 모방한 가짜 도메인을 활용해 피해자들의 가상화폐를 중간에서 가로채려 했다. 안다리엘도 랜섬웨어 공격으로 가상화폐를 갈취한 사례가 포착됐다. 이렇게 훔친 가상화폐는 믹서(가상화폐를 쪼개 누가 전송했는지 알 수 없도록 만드는 기술) 기업을 통해 돈세탁됐다. 유엔 안보리 대북제재위원회 전문가패널 보고서는 한국 정부 분석을 인용해 북한이 이 같은 해킹으로 지난해 6억3000만달러(8272억원)의 가상화폐를 탈취한 것으로 추정했다.

이현미·정지혜·박수찬 기자, 워싱턴=박영준 특파원