반도체·코인·대통령 일정까지 닥치는대로 해킹… 核만큼 위협적 무기[Who, What, Why]

■ What - 악랄해지는 北 해킹
공공기관 대상 사이버 공격
지난해 하루평균 162만여건
北 배후 추정이 80% 달해
해외 가상자산 거래소 먹잇감
수억 달러 가상화폐 현금화
핵·미사일 고도화로 ‘악순환’
챗GPT 등 생성형 AI 활용
피싱 페이지 생성 동향 포착
韓, 더 튼튼한 보안방패 필요

그래픽 = 송재우 기자

“사이버전은 핵·미사일과 함께 인민군대의 무자비한 타격 능력을 담보하는 만능의 보검.”

지난 2013년 국가정보원이 전한 김정은 북한 국무위원장의 발언이다. 국제제재를 무릅쓰고 개발한 핵·미사일과 함께 ‘3대 전쟁수단’으로 꼽을 만큼 해킹 공작의 전략적 중요성을 강조한 말로 풀이된다. 10여 년이 흐른 지금 김 위원장의 발언은 현실로 다가왔다. 북한의 해킹 조직이 국내 공공기관과 기업 전산망을 공격해 정보를 빼돌리는가 하면, 해외 가상자산 거래소를 해킹해 수억 달러 규모의 가상자산을 훔치는 일도 서슴지 않는다. 그렇게 도둑질한 가상자산은 현금화를 거쳐 다시 핵·미사일 고도화에 쓰인다. 사이버 범죄를 넘어 심각한 국가안보 위협으로 대두하고 있는 ‘만능의 보검’을 막아내기 위해선 우리 정부가 더 튼튼한 ‘방패’를 마련해야 한다는 지적이 나온다.

그래픽 = 송재우 기자

◇ 국내 공공기관 공격 80%가 북한발

지난 1월 국정원이 기자간담회에서 공개한 사이버 위협 동향은 현 상황의 심각성을 보여준다. 국정원은 지난해 공공분야를 대상으로 하루 평균 162만여 건의 국가 배후 및 국제 해킹 조직의 공격 시도를 탐지했는데, 공격 주체별로는 북한이 80%로 가장 많은 것으로 나타났다. 사건별 피해 규모·중요도·공격 수법 등을 감안한 피해 심각도를 반영하더라도 북한의 비중은 68%나 됐다. 김 위원장의 관심사에 따라 해커들이 기민하게 움직이는 특징도 나타났다. 북한 해킹 조직은 지난해 초반 김 위원장이 식량난 해결을 지시하자 국내 농수산 기관을 공격했고, 8∼9월 들어 해군력 강화를 강조하자 국내 조선업체를 해킹했다. 10월엔 무인기 생산을 강화하란 지시에 맞춰 무인기 엔진 자료를 수집하기도 했다.

첨단기술인 반도체는 북한 해커들의 또 다른 표적이 되고 있다. 이달 초 국정원은 북한이 지난해 하반기부터 최근까지 국내 반도체 장비업체들을 대상으로 사이버 공격을 벌이고 있는 사실을 전했다. 국정원에 따르면 지난해 12월 A 사와 올해 2월 B 사가 각각 형상 관리 서버와 보안 정책 서버를 해킹당해, 제품 설계 도면과 설비 현장 사진 등이 탈취됐다. 대북제재에 따라 반도체 조달에 어려움을 겪고 있는 상황에서 정찰위성·미사일 개발 등으로 수요가 늘자 북한이 반도체를 자체 생산하려는 움직임일 수 있다고 국정원은 설명했다.

사상 첫 ‘사법부 전산망 해킹’ 사건의 배후에도 북한이 있었다. 지난 4일 천대엽 법원행정처장은 법원 홈페이지 공지를 통해 “북한과 관련된 것으로 추정되는 공격 주체가 고도의 해킹기법으로 사법부 전산망에 침입해 법원 내부 데이터와 문서를 외부로 유출했을 가능성이 높다는 사실이 확인됐다”며 “국민 여러분께 큰 심려를 끼쳐드린 점에 대해 깊은 사과의 말씀을 드린다”고 밝혔다. 법원행정처는 지난해 2월 사법부 전산망에서 악성코드를 탐지해 삭제했는데, 분석 결과 라자루스가 주로 사용하는 것과 유사한 기법의 악성코드로 파악됐다. 경찰은 라자루스가 수백 기가바이트에 달하는 사법부 전산망 내 자료를 빼갔다는 의혹을 수사하고 있다.

보안이 허술한 개인 이메일은 북한이 흔히 노리는 먹잇감이다. 윤석열 대통령의 지난해 11월 하순 영국·프랑스 순방 직전, 순방 실무를 담당한 대통령실 행정관의 이메일이 북한으로 추정되는 외부 세력에 해킹당한 사실이 알려졌다. 해당 행정관은 경제 일정 관련 순방 업무를 담당했는데, 이 과정에서 대통령실 이메일뿐 아니라 포털사이트 이메일을 함께 사용한 탓에 해킹 표적이 됐다. 북한은 포털사이트 계정을 해킹해 윤 대통령의 현지 일정과 행사 내용 등을 입수한 것으로 알려졌다.

그래픽 = 송재우 기자

◇ 새로운 외화벌이, 가상자산 탈취

과거 북한의 외화벌이 수단은 불법적 마약 거래, 담배 밀매, 초정밀 위조지폐 유통 등이었다. 무기 판매와 해외 노동자 송출도 주요 돈벌이 수단이었다. 그러나 핵·미사일 고도화에 따라 국제사회가 제재 강화로 북한의 돈줄을 틀어쥐었고, 코로나19 확산으로 국경이 봉쇄되면서 인력과 물자 이동도 어려워졌다.

북한이 눈을 돌린 것은 가상화폐 등 사이버 가상자산 탈취였다. 온라인상에서 벌어지는 가상자산 탈취는 국경을 넘나드는 데다, 기존 수단으로 제재도 쉽지 않다. 지난해 8월 유엔 안전보장이사회(안보리) 대북제재위원회 전문가 패널이 안보리에 제출한 보고서에 따르면, 북한 해커들은 2022년에만 무려 17억 달러(약 2조2000억 원)의 가상자산을 훔쳤다. 기존 기록을 넘어선 최대 규모였다. 전문가 패널은 “북한 해커들은 국제적으로 가상자산 및 다른 금융거래 수단을 겨냥한 공격에 계속 성공하는 것으로 전해졌다”며 특히 외국의 가상화폐·국방·에너지·보건 분야 회사들이 표적이 됐다고 밝혔다. 이렇게 훔친 가상자산은 핵·미사일 개발은 물론, 정권 통치자금 등으로 흘러가는 것으로 추정된다.

다만 가상자산 특성상 급격한 시세 변동에 노출될 수 있다는 점은 약점이다. 북한이 해킹으로 거액을 훔치더라도 막상 대북제재 때문에 현금화엔 어려움을 겪고 있다는 이야기도 나온다. 브라이언 넬슨 미국 재무부 차관은 지난달 자유아시아방송(RFA)과의 인터뷰에서 “북한이 가상화폐를 믹싱해 현금화하는 데 많은 어려움을 겪고 있다”며 아무리 가상화폐를 많이 훔쳐도 살 수 있는 게 없다고 말했다.

2023년 11월 21일 오전 서울 서대문구 국가수사본부에서 북한발 정부기관·기자 등 사칭 메일 발송사건 브리핑이 열리고 있다. 뉴시스

◇ AI 발달하며 북한 해킹도 진화 중

최근 북한의 해킹 수법은 인공지능(AI) 기술을 만나 한 차원 높게 고도화하고 있다. 앞서 국정원은 북한 해커가 AI를 활용해 해킹 대상을 물색하고 필요한 기술을 검색하는 정황이 포착됐다며 “아직 실전에는 활용되지는 않은 것으로 보이나 AI 활용으로 고도화될 수 있어 예의주시하고 있다”고 밝혔다. 챗GPT 등 생성형 AI를 이용해 피싱 페이지를 자동 생성하는 움직임 등이 관찰됐다는 설명이다. 지난달 챗GPT 개발사인 오픈AI와 마이크로소프트(MS)도 북한을 비롯해 중국·러시아·이란 등 해킹 조직의 챗GPT 이용 사실을 탐지해 차단했다고 밝혔다. MS는 특히 북한 해커 조직 ‘에메랄드 슬릿’(김수키)이 생성형 AI를 이용해 북한을 연구하는 해외 싱크탱크를 조사하고, ‘스피어 피싱’ 해킹에 사용될 가능성이 있는 콘텐츠를 만들었다고 밝혔다.

전문가들은 북한의 사이버 공격이 새로운 수법을 동원하면서 진화할 것으로 우려하고 있다. 박수곤 전환기정의워킹그룹(TJWG) IT·시스템보안담당관은 문화일보와의 통화에서 “최근 북한의 해킹 수법은 바로가기(.lnk) 파일을 압축 파일로 숨기거나 브라우저 확장프로그램을 이용해 로그인 정보를 탈취하는 형태로 나타나고 있다”며 “특정 연구소에 해킹을 시도하거나 통일 관련 기관·업체, 개인에게 공격을 시도하는 정황도 있다”고 말했다. 박 담당관은 “최근 북한 등 적성국에서 AI를 이용해 악성코드를 만드는 동향이 관찰되고 있어, 이와 연계돼 더 많은 공격이 위장된 형태로 나타날 것”이라고 내다봤다.

조재연 기자 jaeyeon@munhwa.com