신출귀몰 '김수키'… 잡을 수 없다면 대비하라

전 세계 위협하는 北해킹
언론사·방산기업·블록체인 …
전방위 침투해 외화·정보 빼내
공격 전략도 점점 고도화
"원천적 봉쇄 사실상 불가능
美처럼 민관 정보공유 필요"

'언론사, 백신개발 의료, 방산기업.'

최근 경찰청 국가수사본부 안보수사국이 1000만명이 쓰는 국내 금융보안 인증프로그램 '이니세이프'를 통해서 북한의 해킹 공격을 받았다며 공개한 피해 업종이다. 언뜻 보면 어색한 조합이지만 북한 당국 입장에서 보면 조각이 맞춰진다.

북한 핵무기 개발을 위해 방산기업 정보를 불법 취득하고, 북한 내 코로나 문제에 대응하기 위해 백신 관련 기관을 해킹한다. 아울러 언론사 내부시스템망에 들어가서 국내의 여러 동향들을 파악한다.

글로벌 사이버보안 기업이자 구글 클라우드 파트너인 맨디언트의 루크 맥너마라 수석분석가는 "심지어 북한은 언론사 기자를 사칭해서 며칠 몇시까지 북핵 관련 의견을 보내달라는 식으로 교수·관료 등 전문가 집단에 접근한다"며 "상당수 한국 전문가들이 언론사 취재에 응하는 것처럼 성실히 대응했다가 북한 미사일·핵 개발과 관련된 정보를 북한에 주고 있다"고 경고했다.

이같은 북한의 해킹은 최근 들어 늘고 있다. 북한 해킹의 목적과 수법은 어떤 것일까? 그리고 앞으로 어떻게 대응해야 할까?

전문가들은 북한의 사이버 해킹 시발점을 2009년 2월 정찰총국이 만들어졌을 때부터라고 본다. 김영철 전 노동당 통일전선부장이 국장을 맡았던 정찰총국은 대남·해외 공작을 총괄하는 부서다. '김수키' '라자루스' '블루노로프' '안다리엘' 등이 바로 정찰총국 내 북한 해커조직 별칭이다. 2020년 국방백서에서는 북한 정부에 소속된 사이버 해커가 약 6800명으로 2013년(3000명)에 비해 2배 이상 증가했다고 적시됐다.

미국 뉴욕에 위치한 블록체인 분석업체 '체이널리시스'는 2022년 전 세계에서 총 38억달러(약 4조6600억원) 규모의 가상화폐가 해킹으로 도난당했다는데, 이 중 북한 해커가 16억5000만달러(약 2조원·전체 금액의 43%)를 빼돌린 것으로 추정된다고 밝혔다. 업계선 "북한 해커 실력은 세계 최상위권"이라고 말하는 이유다.

2조원이라는 숫자는 북한 경제에 있어서 매우 중요하다. 북한 국내총생산(GDP)은 2021년 기준 35조9000억원에 불과하다. 북한 정부 1년 예산은 약 91억달러(약 12조원)이다. 2조원을 해킹했다는 것은 북한 전체 GDP의 약 5%, 정부 예산의 15%를 가상화폐 해킹을 통해 벌어들였다는 것을 의미한다. 약 2000조원인 국내 GDP에 대입해보면 5%(100조원)를 해킹을 통해서 벌어들인다는 논리가 된다.

가상화폐거래소 해킹에 대해 정통한 한 전문가는 "가상화폐 근간이 되는 블록체인 기술 자체는 분산장부시스템이어서 해킹이 불가능하지만, 가상화폐가 거래되는 중간에 해킹코드를 심어서 몰래 돈의 주인을 바꿔놓는 형식으로 가상화폐를 탈취한다"고 밝혔다.

해킹된 가상화폐는 '돈 세탁'을 통해서 북한 당국에 흘러간다. 맥너마라 분석가는 "이 과정에서 일부 중국인과 말레이시아인이 돈 세탁을 도와주고 있는 정황이 파악됐다"며 "다만 미국 정부가 기소한 내용을 살펴보면 중국 정부와의 연관성은 밝혀지지 않았다"고 말했다. 북한 해커가 매년 조 단위로 해킹한 가상화폐는 핵무기 및 미사일 개발에 쓰이는 것으로 알려져 있다.

현실적으로 가상화폐 해킹과 돈 세탁을 막기는 쉽지 않다. 미국과 우리나라 정부가 이상징후를 포착하면 가상화폐거래소에 계좌 동결 등을 요청하고 있지만 100% 완벽하게 예방하긴 어려운 상황이다. 하지만 가상화폐 해킹이 북핵·미사일 자금이 되기 때문에 이를 계속 줄여나가려는 노력이 필요하다.

한희 고려대 정보보호대학원 교수는 "목돈을 환전할 경우 크로스인증제도를 도입해 송수신자 양측의 허가를 받아야 거래가 가능하도록 해야 한다"며 "해킹 자체를 100% 막을 수 없는 만큼 사이버 복원력 관점에서 피해를 최소화하고 복원을 하는 데 주안점을 둬야 한다"고 강조했다.

북한은 외화벌이뿐만 아니라 앞서 밝힌 대로 방산·언론사·백신개발 의료바이오업체 등을 해킹하며 여러 정보를 수집하고 있다. 이를 통칭해서 첩보활동이라고 부른다.

이 지점에서 북한은 5가지 해킹수법을 주로 사용한다. △이메일 스피어피싱(이메일 낚시·메일에 악성코드를 심어놔서 해당 메일을 열면 해킹에 감염) △워터링홀(Watering Hole·해킹 목표 대상자가 자주 방문하는 사이트에 악성코드를 심어놓아서 감염시키는 것) △공급망 공격(소프트웨어의 여러 공급망 단계를 노리는 해킹) △고위 당국자 개인 SNS 공격 △스마트폰 단말기 해킹(탈북자 출신인 태영호 의원이 북한 해커로부터 자신의 휴대폰을 해킹당한 바 있음)이 그것이다.

이 중 최근 공급망 공격과 관련한 새로운 움직임도 포착됐다. 맨디언트에 따르면 지난달 발생한 기업용 음성 및 비디오 통화 프로그램 '3CX' 해킹은 북한 해커의 소행으로 추정된다. 3CX는 기업용 음성 및 화상 통화 프로그램으로, 1일 사용자가 1200만명 이상인 소프트웨어다. 먼저 3CX 직원이 지난해 소프트웨어 제공업체인 '트레이딩 테크놀로지'에서 소프트웨어를 내려받았는데 이 과정에서 북한 해커가 미리 심어놓은 멀웨어(악성코드)가 심어진 버전이 설치됐다.

한마디로 북한이 트레이딩 테크놀로지에 먼저 악성코드를 심어놓고 이를 지렛대 삼아서 3CX까지 침투한 것이다. 이번 북한의 3CX 공급망 공격 사건은 '소프트웨어 공급망 공격'이 또 다른 '소프트웨어 공급망 공격'으로 이어진 최초의 공격이어서 주목받았다.

이 같은 북한 해킹을 처음부터 원천적으로 봉쇄하긴 힘들다. 다만 의심이 될 만한 이메일은 가급적 열어보지 말고, 이상한 낌새가 있으면 바로 관련 기관(국정원, 과학기술정보통신부, 한국인터넷진흥원)에 신고해야 한다.

아울러 북한 해킹 대응 거버넌스 체계를 바꿔야 한다는 의견도 나온다.

미국 정부와 같이 민관이 유기적으로 서로 정보를 공유하는 방향으로 가야 한다는 게 전문가들 시각이다. 이를테면, 2018년 2월 9일 평창동계올림픽 개막식 도중 올림픽조직위원회와 주요 파트너사들이 러시아 군 정보기관의 사이버 공격을 받아서 조직위 홈페이지에 접속 장애가 발생한 일이 있었는데, 유기적으로 민관 간 정보공유가 잘되는 미국서 한 민간 보안기업이 러시아 소행임을 최초로 밝혔다.

국제안보 리서치업체인 미국 기업 카론의 한 관계자는 "국정원이 안보를 이유로 모든 정보를 다 독점하고 민감한 해킹정보를 민간에 공유하지 않고 있어서 민간 보안업체가 보안정보 수집에 있어서 약점을 보이고 있는 게 한국의 현실"이라며 "미국의 경우 정보당국이 상위 해커그룹에 대한 정보를 민간기업과 공유한다. 한국 정부도 이와 비슷한 체계를 만들어야 한다"고 조언했다.

[나현준 기자]