신출귀몰 ‘김수키’ 누구길래…방산기업도 블록체인도 벌벌 떤다는데

전세계 위협하는 北해킹

해커 [사진 = 픽사베이]

‘언론사, 백신개발 의료·바이오, 방산기업’

최근 경찰청 국가수사본부 안보수사국이 1000만명이 쓰는 국내 금융보안 인증프로그램 ‘이니세이프’를 통해서 북한해킹 공격을 받았다며 공개한 피해 업종이다. 언뜻보면 어색한 조합이지만 북한 당국 입장에서 보면 조각이 맞춰진다. 북한 핵무기 개발을 위해 방산기업 정보를 불법 취득하고, 북한 내 코로나 문제에 대응하기 위해 백신 관련 기관을 해킹한다. 아울러 언론사 내부시스템망에 들어가서 국내의 여러 동향들을 파악한다.

글로벌 사이버 보안 기업이자 구글 클라우드 파트너인 맨디언트의 루크 맥나마라 수석분석가는 “심지어 북한은 언론사 기자를 사칭해서 몇일 몇시까지 북핵 관련 의견을 보내달라는 식으로 교수·관료 등 전문가 집단에게 접근한다”며 “상당수 한국 전문가들이 언론사 취재에 응하는 것처럼 성실히 대응했다가 북한 미사일·핵 개발과 관련된 정보를 북한에 주고 있다”고 경고했다.

이 같은 북한의 해킹은 최근 들어 늘고 있다.

경찰청 안보수사국 이외에도 국정원, 그리고 미국 정부와 맨디언트 등이 모두 북한해킹을 경고하고 나섰다. 우크라이나 전쟁이 장기화되면서 러시아 선전매체발로 북한군 약 1만명이 오는 5월 우크라이나 전쟁에 투입될 것이란 보도가 나온 상황에서, 이를 앞두고 북한해킹이 늘어난 것은 시선을 분산시키고 사회혼란을 부추기려는 의도도 있는 것으로 풀이된다.

그렇다면 북한해킹의 목적과 수법은 어떤 것일까? 그리고 앞으로 어떻게 대응해야 할까?

[사진 = 연합뉴스]

북한해킹 제1목적, 외화벌이

전문가들은 북한의 사이버 해킹 시발점을 2009년 2월 정찰총국이 만들어졌을 때부터라고 본다. 김영철 전 노동당 통일전선부장이 국장을 맡았던 정찰총국은 대남·해외 공작을 총괄하는 부서다. ‘김수키’ ‘라자루스’ ‘블루노로프’ ‘안다리엘’ 등이 바로 정찰총국 내 북한 해커조직 별칭이다. 2020년 국방백서에서는 북한 정부에 소속된 사이버 해커가 약 6800명으로 2013년(3000명)에 비해 2배 이상 증가했다고 적시됐다. 보안업계에서는 핵심 인력인 ‘슈퍼브레인’ 수십 명이 일상적으로 해킹을 하고, 나머지 수천 명의 요원이 해커가 수집한 정보를 분석하는 형태로 움직이고 있다고 추정하고 있다.

미국 뉴욕에 위치한 블록체인 분석업체 ‘체이널리시스’는 2022년 전 세계에서 총 38억 달러(약 4조6600억 원) 규모의 가상화폐가 해킹으로 도난당했다는데, 이 중 북한해커가 16억5000만 달러(약 2조원·전체금액의 43%)을 빼돌린 것으로 추정된다고 밝혔다. 업계선 “북한해커 실력은 세계 최상위권”이라고 말하는 이유다.

2조원이라는 숫자는 북한 경제에 있어서 매우 중요하다.

북한 GDP는 지난 2021년 기준 35조9000억원에 불과하다. 북한정부 1년 예산은 약 91억달러(12조원)이다. 2조원을 해킹했다는 것은 북한 전체 GDP의 약 5%, 정부예산의 15%를 암호화폐 해킹을 통해 벌어들였다는 것을 의미한다. 약 2000조원인 국내 GDP에 대입해보면 5%(100조원)를 해킹을 통해서 벌어들인다는 논리가 된다.

가상화폐거래소 해킹에 대해 정통한 한 전문가는 “가상화폐 근간이 되는 블록체인 기술 자체는 분산장부시스템이어서 해킹이 불가능하지만, 가상화폐가 거래되는 중간에 해킹코드를 심어서 몰래 돈의 주인을 바꿔놓는 형식으로 가상화폐를 탈취한다”고 밝혔다.

해킹된 가상화폐는 ‘돈 세탁’을 통해서 북한 당국에게 흘러간다. 돈 세탁을 할 땐 클라우드마이닝업체를 이용한다. 클라우드마이닝 서비스란 비트코인이나 이더리움으로 돈을 지불하고 코인(다른 가상화폐)을 채굴하는 서비스를 말한다. 새로 채굴한 코인이 새로운 월렛(디지털지갑)으로 들어오기 때문에 누구의 것인치 추적하기 어려워진다. 맥나마라 분석가는 “이 과정에서 일부 중국인과 말레이시아인이 돈 세탁을 도와주고 있는 정황이 파악됐다”며 “다만 미국 정부가 기소한 내용을 살펴보면 중국 정부와의 연관성은 밝혀지지 않았다”고 말했다.

북한 해커가 매년 조 단위로 해킹한 가상화폐는 핵무기 및 미사일 개발에 쓰이는 것으로 알려져 있다. 한국 국방연구원 계산에 따르면, 대륙간탄도미사일(ICBM)은 한 발에 최소 2000만 달러(280억 원), 중거리탄도미사일(IRBM)은 1000만 달러(140억 원), 단거리탄도미사일(SRBM)은 300만 달러(42억 원)이 소요된다. 대북 경제제재로 중국·러시아 이외에 무역루트가 완전히 끊겨버린 북한 입장에선 북한 해킹을 통해 벌어들이는 수입(GDP 5%)이 절대적으로 중요하다. 북한은 GDP의 25%를 군비 확충에 쓰고 있는데 이를 역산해보면 군비의 약 20% 가량이 암호화폐 해킹을 통해 조달되고 있다.

현실적으로 가상화폐 해킹과 돈 세탁을 막기는 쉽지 않다. 미국과 우리나라 정부가 이상징후를 포착하면 가상화폐거래소에 계좌동결 등을 요청하고 있지만 100% 완벽하게 예방하긴 어려운 상황이다. 하지만 가상화폐 해킹이 북핵·미사일 자금이 되기 때문에 이를 계속 줄여나가려는 노력이 필요하다. 한희 고려대 정보보호대학원 교수는 “목돈을 환전할 경우 크로스인증제도를 도입해 송수신자 양측의 허가를 받아야 거래가 가능하도록 해야 한다”며 “해킹 자체를 100% 막을 수 없는 만큼 사이버복원력 관점에서 피해를 최소화하고 복원을 하는데 주안점을 둬야 한다”고 강조했다.

첩보수집 위한 해킹도 증가

북한은 외화벌이뿐만 아니라 앞서 밝힌대로 방산·언론사·백신개발 의료바이오 업체 등을 해킹하며 여러 정보를 수집하고 있다. 이를 통칭해서 첩보활동이라고 부른다.

이 지점에서 북한은 5가지 해킹수법을 주로 사용한다. △ 이메일 스피어피싱(이메일 낚시·메일에 악성코드를 심어놔서 해당 메일을 열면 해킹에 감염), △ 워터링홀(Watering Hole·해킹 목표 대상자가 자주 방문하는 사이트에 악성코드를 심어놓아서 감염시키는 것) △ 공급망 공격(소프트웨어의 여러 공급망 단계를 노리는 해킹) △ 고위 당국자 개인 SNS 공격 △ 스마트폰 단말기 해킹(탈북자 출신인 태영호 의원이 북한 해커로부터 자신의 휴대폰을 해킹당한 바 있음)이 그것이다.

이 중 최근 공급망 공격과 관련한 새로운 움직임도 포착됐다.

맨디언트에 따르면 지난달 발생한 기업용 음성 및 비디오 통화 프로그램 ‘3CX’ 해킹은 북한 해커의 소행으로 추정된다. 3CX는 기업용 음성 및 화상 통화 프로그램으로, 1일 사용자가 1200만명 이상인 소프트웨어다.

먼저 3CX 직원이 지난해 소프트웨어 제공업체인 ‘트레이딩 테크놀로지’에서 소프트웨어를 내려받았는데 이 과정에서 북한해커가 미리 심어놓은 멀웨어(악성코드)가 심어진 버전이 설치됐다. 한마디로 북한이 트레이딩 테크놀로지에 먼저 악성코드를 심어놓고 이를 지렛대 삼아서 3CX까지 침투한 것이다. 이번 북한의 3CX 공급망 공격 사건은 ‘소프트웨어 공급망 공격’이 또 다른 ‘소프트웨어 공급망 공격’으로 이어진 최초의 공격이어서 주목 받았다.

이 같은 북한 해킹을 처음부터 원천적으로 봉쇄하긴 힘들다. 다만 의심이 될만한 이메일은 가급적 열어보지 말고, 이상한 낌새가 있으면 바로 관련 기관(국정원 혹은 과기정통부 및 한국인터넷진흥원)에 신고해야 한다.

보안 [사진 = 픽사베이]

민관 공유체계 만들어야

아울러 북한해킹 대응 거버넌스 체계를 바꿔야 한다는 의견도 나온다.

송태은 국립외교원 안보통일연구부 조교수는 지난해 10월 외교안보연구소 홈페이지에 글을 쓰며 “우크라이나와 서방의 정부는 마이크로소프트, 구글, 스페이스X 등 IT 기업과 민간 전문가와 프로그래머 등과 긴밀하고 신속하게 공조·협력해 러시아의 사이버전에 대응했다”며 “우리의 경우는 민간에 비해 대응역량이 부족한 정부기관과 공기업이 사이버공격의 빈번한 타격이 되고 있고, 미디어·은행·병원·방위산업 등 대부분 민간기관은 정부의 감시통제 밖에 있으므로 외부로부터의 사이버공격에 대한 현황파악이 쉽지 않다”고 진단했다.

결국 미국정부와 같이 민관이 유기적으로 서로 정보를 공유하는 방향으로 가야한다는게 전문가들 시각이다. 이를테면, 지난 2018년 2월 9일 평창동계올림픽 개막식 도중 올림픽조직위원회와 주요 파트너사들이 러시아 군 정보기관의 사이버 공격을 받아서 조직위 홈페이지에 접속 장애가 발생한 일이 있었는데, 유기적으로 민관 간 정보공유가 잘되는 미국서 한 민간 보안기업이 러시아 소행임을 최초로 밝혔다.

국제안보 리서치업체인 미국기업 카론(Kharon)사의 한 관계자는 “국정원이 안보를 이유로 모든 정보를 다 독점하고 민감한 해킹정보를 민간에 공유하지 않고 있어서 민간 보안업체가 보안정부 수집에 있어서 약점을 보이고 있는게 한국의 현실”이라며 “미국의 경우 정보당국이 상위 해커그룹에 대한 정보를 민간기업과 공유한다. 우리도 이와 비슷한 체계를 만들어야 한다”고 조언했다.