국경 연 北, '캐시카우' 해외 IT 인력 전열 재정비?…진화하는 해킹 돈벌이

정영교 2023. 8. 27. 16:51
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

북한이 코로나19 확산 방지를 위해 폐쇄했던 국경을 약 3년 7개월여 만에 다시 열었다. 북한 주민의 입·출국길이 다시 열리면서 '외화벌이의 선봉'인 해외 노동자 송출 규모가 다시 커질 가능성도 제기된다.

북한이 25일(현지시간) 코로나19 팬데믹 후 3년 6개월 만에 러시아 극동 연해주 블라디보스토크 노선 운항을 재개했다. 사진은 이날 오전 블라디보스토크 국제공항에 도착한 북한 고려항공 소속 여객기가 평양으로 돌아가기 위해 대기하는 모습. 연합뉴스

27일 북한 관영 매체에 따르면 북한 국가방역사령부는 전날 "세계적인 악성 전염병 전파 상황이 완화되는 것과 관련해 방역 등급을 조정하기로 한 사령부 결정에 따라 해외에 체류하던 우리 공민들의 귀국이 승인됐다"고 밝혔다. "귀국한 인원들은 1주일 간 해당 격리시설들에서 철저한 의학적 감시를 받는다"면서다. 우선은 입국 해제인데, 이는 출국길도 곧 열릴 수 있다는 뜻으로 풀이된다.


교묘해지는 IT 인력 운용


이번 조치가 국경 폐쇄 해제 이상의 의미를 지니는 건 북한의 노동자 해외 송출 때문이다. 정부는 김정은 정권이 핵·미사일 개발에 쓰는 주된 자금원을 암호화폐 해킹과 해외 인력이 벌어들이는 외화로 보고 있다. 지난 18일(현지시간) 한·미·일 3국 정상이 캠프 데이비드에서 북한의 불법적인 사이버 활동을 저격한 이유이기도 하다.
윤석열 대통령, 조 바이든 미국 대통령, 기시다 후미오 일본 총리가 18일(현지시간) 워싱턴DC 인근 미국 대통령 별장인 캠프 데이비드에서 한미일 정상 공동기자회견을 위해 오솔길을 함께 걸어 오고 있다. 연합뉴스

북한 노동자의 해외 파견과 고용은 유엔 안전보장이사회(안보리)의 대북제재 위반에 해당한다.(2017년 채택 결의 2397호) 하지만 북한은 중국과 러시아에 인력을 보내며 취업이 아닌 유학, 관광 등을 목적으로 비자를 발급받게 하는 등 제재를 회피해 왔다.

특히 과거 북한 해외 노동자가 주로 건설현장이나 공장에서 일해왔다면, 최근에는 IT 인력이 주력이다. 이들이 국제 해커로 활동하거나 아예 IT 기업에 취업하는 '하이브리드' 방식으로 진화했다.

김건 외교부 한반도평화교섭본부장은 지난 5월 한·미 공동 심포지엄에서 "미국 법무부는 북한 IT 인력이 미국 시민으로 신분을 위장해 미국 기업에 취업한 사례를 적발했다"고 지적했다. 실제 북한 노동자들은 대면 면접 등 없이 실력만 인정받으면 하청업자로 일감을 얻을 수 있는 점을 이용해 국적을 세탁하고 실리콘 밸리에 위장취업하기도 한다.

정 박 미국 국무부 대북특별부대표가 지난 5월 24일(현지시간) 미국 캘리포니아주 샌프란시스코에서 열린 '북한 IT 인력 활동 관련 한미 공동 심포지엄'에서 IT 인력을 활용한 북한의 외화벌이에 대해 발언하고 있다. 연합뉴스

이제 국경을 다시 열며 김정은 정권의 실질적 '캐시카우' 역할을 담당하는 이런 해외 IT 인력의 전열을 재정비할 기회가 생겼다는 지적도 그래서 나온다. 정박 미국 국무부 대북특별부대표도 "유엔의 추산에 따르면 북한 IT 인력은 북한의 탄도 미사일 프로그램에 매년 5억 달러 이상 기여할 수 있다"며 "북한 국경이 다시 개방되면 IT 인력의 위협이 더 커질 것"이라고 강조했다.(지난 5월 한·미 공동 심포지엄)

암호화폐 해킹은 안정자산으로 볼 수 없음에도 북한이 집중하는 분야다. 기존 제재 대상이 아닌 데다 확실한 통제 규범이 아직 없기 때문이다. 로이터 통신은 유엔 안보리 대북제재위원회 소속 전문가 패널 보고서를 인용해 북한이 지난해 탈취한 암호화폐 규모가 17억 달러(약 2조2000억원)에 이른다고 지난 10일 보도했다.

정유석 IBK경제연구소 북한경제팀 연구위원은 "암호화폐가 국제 금융시장에서 입지를 계속 넓히고 있기 때문에 북한도 당분간 암호화폐 탈취를 계속해 나갈 것"이라고 말했다.

암호화폐를 대상으로 한 북한의 해킹 공격이 늘어날 것이란 전망이 나온다. [중앙포토]


내가 연 한글 파일이? 교묘해지는 수법


전문가들은 북한 해커 그룹이 암호화폐를 탈취할 때 가장 많이 사용하는 방법은 '스피어피싱'(Spearphishing attacks)이라고 설명한다. 지인이나 관련 기업, 정부기관 등을 가장해 e메일로 접근한 뒤 한글 파일(.hwp)이나 PDF 등의 형식으로 위장한 '디코이'(Decoy·유인) 문서 파일을 보내는 방식이다.

정상 파일로 보이지만, 이를 열면 원격 접근이 가능한 악성 매크로가 자동으로 실행돼 해당 기기에서 각종 정보를 수집하거나 사이버 공격용 소프트웨어인 '랜섬웨어' 등을 설치·작동시킬 수 있다. 무심코 열어본 한글 파일이 북한의 핵·미사일 개발 자금을 벌기 위한 수단으로 악용될 수 있는 셈이다.

보안기업 이스트시큐리티가 지난 1월 카카오 로그인 페이지로 위장해 대북 업무 관련 종사자들의 계정 정보 탈취를 시도하는 피싱 이메일이 발견됐다며 주의를 당부했다. 사진은 카카오를 사칭한 북한 해킹 공격 피싱메일. 사진 이스트시큐리티 제공, 연합뉴스

실제 지난 1월 북한이 배후로 추정되는 해커 그룹은 암호화폐 투자자를 대상으로 국세청 세무조사에 출석을 요구하는 안내문으로 꾸민 메일을 보냈다. 기업에 제출하는 이력서, 외교·안보·국방 등 분야의 전문가 자문요청서, 정부나 유관기관이 주관하는 캠페인 안내서 등의 형식을 활용한 사례도 있었다.

또 지난해 10월에는 판교 데이터센터 화재로 인한 카카오톡 서비스 장애를 언급하면서 "PC버전 카카오톡의 원활한 이용을 위해 업데이트된 PC버전의 카카오톡을 이용하시길 바란다"라는 안내 문구와 함께 첨부한 'Kakao TalkUpdate.zip'라는 파일을 내려받도록 유도하기도 했다.

북한 해커들의 공격이 일상생활 속에 이미 깊숙이 들어와 있다는 점을 방증하는 대목이다. 익명을 원한 업계 전문가는 "북한 해킹들의 공격은 일상적으로 이뤄지고 있다"며 "지금까지는 특정 기관이나 기업, 일부 전문가 그룹을 타깃으로 하고 있지만, 일반 국민을 대상으로 공격에 나선다면 큰 피해로 이어질 가능성이 크다"고 우려했다.

김정은 북한 국무위원장이 '전승절(6·25전쟁 정전협정 기념일)' 70주년인 지난달 27일 밤 평양 김일성광장에서 세르게이 쇼이구 러시아 국방장관(왼쪽), 리훙중 중국 전국인민대표대회 상무위원회 부위원장(오른쪽) 등과 함께 열병식을 지켜보고 있다. 조선중앙통신, 연합뉴스


중·러 등 우방도 예외 없어


북한 해커들은 중국·러시아 같은 우방국도 가리지 않는다. 마이크로소프트(MS)는 지난해 말에 발간한 '디지털 방어 보고서 2022'에서 북한이 배후인 것으로 추정되는 해커조직 세륨(CERIUM)과 징크(ZINC)가 무기 및 항공우주 기술에 접근하기 위한 해킹 전술 개발에 상당한 노력을 기울였다고 평가했는데, 해킹 대상엔 중국·러시아 등 북한의 우방국도 포함돼 있었다.

정영교 기자 chung.yeonggyo@joongang.co.kr

Copyright © 중앙일보. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?