3년반만에 국경 연 북한, 외화벌이 해커 해외 파견 나서나

북한이 코로나19로 폐쇄했던 국경을 개방하면서 해외 체류 북한 국적자의 귀국이 승인됐다. 지난 22일 북한 여성들이 중국 베이징 서우두 공항에서 출국하고 있다. [교도=연합뉴스]

북한이 코로나19 확산 방지를 위해 폐쇄했던 국경을 약 3년7개월여 만에 다시 열었다.

27일 북한 관영매체에 따르면 국가방역사령부는 전날 “세계적인 악성 전염병 전파 상황이 완화되는 것과 관련해 방역 등급을 조정하기로 한 사령부 결정에 따라 해외에 체류하던 우리 공민들의 귀국이 승인됐다”고 밝혔다. “귀국한 인원들은 1주일간 해당 격리시설들에서 철저한 의학적 감시를 받는다”면서다. 우선은 입국 해제인데, 이는 출국길도 곧 열릴 수 있다는 뜻으로 풀이된다.

이번 조치가 국경 폐쇄 해제 이상의 의미를 지니는 건 ‘외화벌이의 선봉’인 북한의 노동자 해외 송출 때문이다. 정부는 김정은 정권이 핵·미사일 개발에 쓰는 주된 자금원을 암호화폐 해킹과 해외 인력이 벌어들이는 외화로 보고 있다. 지난 18일 한·미·일 3국 정상이 캠프 데이비드에서 북한의 불법적인 사이버 활동을 저격한 이유이기도 하다.

북한 노동자의 해외 파견과 고용은 유엔 안전보장이사회의 대북제재 위반이다. 하지만 북한은 중국과 러시아에 취업이 아닌 유학, 관광 등을 목적으로 비자를 발급받게 하는 방식으로 제재를 회피해 왔다. 특히 과거 북한 해외 노동자가 주로 건설현장이나 공장에서 일해 왔다면, 최근에는 IT 인력이 주력이다. 이들이 국제 해커로 활동하거나 아예 IT 기업에 취업하는 ‘하이브리드’ 방식으로 진화했다.

김건 외교부 한반도평화교섭본부장은 지난 5월 한·미 공동 심포지엄에서 “미국 법무부는 북한 IT 인력이 미국 시민으로 신분을 위장해 미국 기업에 취업한 사례를 적발했다”고 지적했다. 정박 미국 국무부 대북특별부대표도 “유엔 추산에 따르면 북한 IT 인력은 탄도미사일 프로그램에 매년 5억 달러 이상을 기여할 수 있다”며 “국경이 다시 개방되면 IT 인력의 위협이 더 커질 것”이라고 강조했다.

로이터통신은 유엔 안보리 대북제재위원회 소속 전문가 패널 보고서를 인용해 북한이 지난해 탈취한 암호화폐 규모가 17억 달러(약 2조2000억원)에 이른다고 지난 10일 보도했다.

전문가들은 북한 해커 그룹이 암호화폐를 탈취할 때 가장 많이 사용하는 방법은 ‘스피어피싱’(Spearphishing attacks)이라고 설명한다. 지인이나 관련 기업, 정부기관 등을 가장해 e메일로 접근한 뒤 한글 파일(.hwp)이나 PDF 등의 형식으로 위장한 ‘디코이(Decoy·유인)’ 문서 파일을 보내는 방식이다. 정상 파일로 보이지만, 이를 열면 원격 접근이 가능한 악성 매크로가 자동 실행돼 각종 정보를 수집하거나 ‘랜섬웨어’ 등을 설치·작동시킬 수 있다.

실제 지난 1월 북한이 배후로 추정되는 해커 그룹은 암호화폐 투자자를 대상으로 국세청 세무조사에 출석을 요구하는 안내문으로 꾸민 메일을 보냈다. 또 지난해 10월에는 판교 데이터센터 화재로 인한 카카오톡 서비스 장애를 언급하면서 “PC 버전 카카오톡의 원활한 이용을 위해 업데이트된 버전을 이용하시길 바란다”는 안내 문구와 함께 첨부한 ‘Kakao TalkUpdate.zip’라는 파일을 내려받도록 유도하기도 했다.

익명을 원한 업계 전문가는 “지금까지는 특정 기관이나 기업, 일부 전문가 그룹을 타깃으로 하고 있지만, 일반 국민을 대상으로 공격에 나선다면 큰 피해로 이어질 가능성이 크다”고 우려했다.

정영교 기자 chung.yeonggyo@joongang.co.kr