국경 연 北, '캐시카우' 해외 IT 인력 전열 재정비?…진화하는 해킹 돈벌이
북한이 코로나19 확산 방지를 위해 폐쇄했던 국경을 약 3년 7개월여 만에 다시 열었다. 북한 주민의 입·출국길이 다시 열리면서 '외화벌이의 선봉'인 해외 노동자 송출 규모가 다시 커질 가능성도 제기된다.
27일 북한 관영 매체에 따르면 북한 국가방역사령부는 전날 "세계적인 악성 전염병 전파 상황이 완화되는 것과 관련해 방역 등급을 조정하기로 한 사령부 결정에 따라 해외에 체류하던 우리 공민들의 귀국이 승인됐다"고 밝혔다. "귀국한 인원들은 1주일 간 해당 격리시설들에서 철저한 의학적 감시를 받는다"면서다. 우선은 입국 해제인데, 이는 출국길도 곧 열릴 수 있다는 뜻으로 풀이된다.
교묘해지는 IT 인력 운용
이번 조치가 국경 폐쇄 해제 이상의 의미를 지니는 건 북한의 노동자 해외 송출 때문이다. 정부는 김정은 정권이 핵·미사일 개발에 쓰는 주된 자금원을 암호화폐 해킹과 해외 인력이 벌어들이는 외화로 보고 있다. 지난 18일(현지시간) 한·미·일 3국 정상이 캠프 데이비드에서 북한의 불법적인 사이버 활동을 저격한 이유이기도 하다.
북한 노동자의 해외 파견과 고용은 유엔 안전보장이사회(안보리)의 대북제재 위반에 해당한다.(2017년 채택 결의 2397호) 하지만 북한은 중국과 러시아에 인력을 보내며 취업이 아닌 유학, 관광 등을 목적으로 비자를 발급받게 하는 등 제재를 회피해 왔다.
특히 과거 북한 해외 노동자가 주로 건설현장이나 공장에서 일해왔다면, 최근에는 IT 인력이 주력이다. 이들이 국제 해커로 활동하거나 아예 IT 기업에 취업하는 '하이브리드' 방식으로 진화했다.
김건 외교부 한반도평화교섭본부장은 지난 5월 한·미 공동 심포지엄에서 "미국 법무부는 북한 IT 인력이 미국 시민으로 신분을 위장해 미국 기업에 취업한 사례를 적발했다"고 지적했다. 실제 북한 노동자들은 대면 면접 등 없이 실력만 인정받으면 하청업자로 일감을 얻을 수 있는 점을 이용해 국적을 세탁하고 실리콘 밸리에 위장취업하기도 한다.
이제 국경을 다시 열며 김정은 정권의 실질적 '캐시카우' 역할을 담당하는 이런 해외 IT 인력의 전열을 재정비할 기회가 생겼다는 지적도 그래서 나온다. 정박 미국 국무부 대북특별부대표도 "유엔의 추산에 따르면 북한 IT 인력은 북한의 탄도 미사일 프로그램에 매년 5억 달러 이상 기여할 수 있다"며 "북한 국경이 다시 개방되면 IT 인력의 위협이 더 커질 것"이라고 강조했다.(지난 5월 한·미 공동 심포지엄)
암호화폐 해킹은 안정자산으로 볼 수 없음에도 북한이 집중하는 분야다. 기존 제재 대상이 아닌 데다 확실한 통제 규범이 아직 없기 때문이다. 로이터 통신은 유엔 안보리 대북제재위원회 소속 전문가 패널 보고서를 인용해 북한이 지난해 탈취한 암호화폐 규모가 17억 달러(약 2조2000억원)에 이른다고 지난 10일 보도했다.
정유석 IBK경제연구소 북한경제팀 연구위원은 "암호화폐가 국제 금융시장에서 입지를 계속 넓히고 있기 때문에 북한도 당분간 암호화폐 탈취를 계속해 나갈 것"이라고 말했다.
━
내가 연 한글 파일이? 교묘해지는 수법
전문가들은 북한 해커 그룹이 암호화폐를 탈취할 때 가장 많이 사용하는 방법은 '스피어피싱'(Spearphishing attacks)이라고 설명한다. 지인이나 관련 기업, 정부기관 등을 가장해 e메일로 접근한 뒤 한글 파일(.hwp)이나 PDF 등의 형식으로 위장한 '디코이'(Decoy·유인) 문서 파일을 보내는 방식이다.
정상 파일로 보이지만, 이를 열면 원격 접근이 가능한 악성 매크로가 자동으로 실행돼 해당 기기에서 각종 정보를 수집하거나 사이버 공격용 소프트웨어인 '랜섬웨어' 등을 설치·작동시킬 수 있다. 무심코 열어본 한글 파일이 북한의 핵·미사일 개발 자금을 벌기 위한 수단으로 악용될 수 있는 셈이다.
실제 지난 1월 북한이 배후로 추정되는 해커 그룹은 암호화폐 투자자를 대상으로 국세청 세무조사에 출석을 요구하는 안내문으로 꾸민 메일을 보냈다. 기업에 제출하는 이력서, 외교·안보·국방 등 분야의 전문가 자문요청서, 정부나 유관기관이 주관하는 캠페인 안내서 등의 형식을 활용한 사례도 있었다.
또 지난해 10월에는 판교 데이터센터 화재로 인한 카카오톡 서비스 장애를 언급하면서 "PC버전 카카오톡의 원활한 이용을 위해 업데이트된 PC버전의 카카오톡을 이용하시길 바란다"라는 안내 문구와 함께 첨부한 'Kakao TalkUpdate.zip'라는 파일을 내려받도록 유도하기도 했다.
북한 해커들의 공격이 일상생활 속에 이미 깊숙이 들어와 있다는 점을 방증하는 대목이다. 익명을 원한 업계 전문가는 "북한 해킹들의 공격은 일상적으로 이뤄지고 있다"며 "지금까지는 특정 기관이나 기업, 일부 전문가 그룹을 타깃으로 하고 있지만, 일반 국민을 대상으로 공격에 나선다면 큰 피해로 이어질 가능성이 크다"고 우려했다.
━
중·러 등 우방도 예외 없어
북한 해커들은 중국·러시아 같은 우방국도 가리지 않는다. 마이크로소프트(MS)는 지난해 말에 발간한 '디지털 방어 보고서 2022'에서 북한이 배후인 것으로 추정되는 해커조직 세륨(CERIUM)과 징크(ZINC)가 무기 및 항공우주 기술에 접근하기 위한 해킹 전술 개발에 상당한 노력을 기울였다고 평가했는데, 해킹 대상엔 중국·러시아 등 북한의 우방국도 포함돼 있었다.
정영교 기자 chung.yeonggyo@joongang.co.kr
Copyright © 중앙일보. 무단전재 및 재배포 금지.
- 강부자·패티김의 그 아파트, 한강변 최초 68층 올라가나 | 중앙일보
- 지하철 뒤흔든 엄마의 비명…승객들 온몸으로 4살 아이 구했다 | 중앙일보
- 하천변 산책 여성 풀숲 끌고 간 뒤…성폭행하려 한 40대 구속 | 중앙일보
- 브래드 피트에 이혼당한 '프렌즈' 배우? 5300억 보유한 자산가 | 중앙일보
- 은평구 흉기난동범, 호프집서 2시간 하소연…"느낌 싸해 문 잠가" | 중앙일보
- “끝까지 공부혀야 하는겨” 수월 선사가 내민 나침반 | 중앙일보
- "여보 넓긴 넓다"…차박 즐기는 부부 깜짝 놀란 '산타페 변신' | 중앙일보
- 김윤아 7년 전 '일본 먹방' 꺼낸 전여옥 "제2의 청산규리냐" | 중앙일보
- "부모가 연예인이라는 이유로"…신애라 아들 학폭 피해 고백 | 중앙일보
- "밥 잘 사주는 선배" "대체불가 인재"…1000억 횡령남의 두 얼굴 | 중앙일보