김정은의 비밀무기 ‘북한 해커부대’의 실체 [정락인의 사건 속으로]

정락인 객원기자 2024. 11. 30. 17:00
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
어릴 때부터 사이버 영재 체계적으로 육성
미국 CIA 능가하는 수준으로 평가되기도

(시사저널=정락인 객원기자)

북한은 전체 인구의 1% 정도만 인터넷에 접속할 수 있다. 이용률로 따진 국가별 순위에서 147개국 중 146위로 세계 최하위권이다. 당국이 개인의 인터넷 접근을 철저히 통제하고 있어 함부로 이용할 수 없다.

이에 반해 해킹 능력은 세계 최고 수준이다. 지난해 5월 미국 IT 기업 '해커어스(HackerEarth)'가 개최한 해킹 대회에서 북한 대학생들이 1위에서 4위까지 휩쓴 것에서도 알 수 있다.

당시 1위는 800점 만점을 받은 김책공업대학 학생이 차지했고, 2위는 김일성종합대학 학생, 3위와 4위는 김책공업대학 학생이었다. 전 세계에서 내로라하는 해커 1700명이 참가했지만 북한 해커를 당해내지 못했던 것이다.

2020년에는 전 세계 대학생 3만 명이 참가한 인터넷 프로그래밍 대회 '코드셰프' 경연에서 6개월 연속 우승을 차지했다. 2013년부터 2020년까지 무려 18번이나 우승했을 정도로 놀라운 실력을 선보였다. 북한의 해킹 수준이 어느 정도인지 가늠할 수 있는 대목이다.

0.001% 과학 영재들 선발해 집중 교육

북한은 1990년대부터 정보기술(IT)과 해킹 인력 양성에 국가적 역량을 쏟아붓기 시작했다. 오랜 경제난으로 인해 노후화된 재래식 무기를 현대화할 수 없었다. 그래서 일찍부터 사이버전으로 눈을 돌렸다.

적은 인원, 적은 비용으로 최대의 효과를 누릴 수 있는 데다 직접 침투할 필요가 없고, 정체를 숨긴 채 은밀하게 활동할 수 있는 장점이 있다. 북한으로선 가성비 최고의 공격 방식인 것이다. 여기에 위조지폐와 불법 마약 제조 같은 음성적 외화벌이가 국제사회 제재 등으로 어려워지자 해커들을 전략적으로 육성한다.

북한 해커들은 어릴 때부터 길러진다. 전국 초등학교(소학교)에서 수학·과학 영재들을 선발해 '해커 사관학교'로 불리는 금성 제1·2 중학교에 입학시킨다. 이곳에서는 최고 사양의 컴퓨터로 프로그래밍 관련 전문지식을 가르친다.

북한의 각 시군 단위에는 제1중학교(우리의 중·고교 통합 과정)가 있는데, 여기서는 상위 0.001%의 수재들을 '과학 영재'로 선정하고, 2년간 컴퓨터 분야를 전문적으로 교육한다. 금성중학교와 제1중학교의 성적 우수자들은 군에 입대시키지 않고 김일성종합대학과 김일성군사종합대학, 김책공업대학, 평양콤퓨터기술대학 등에 진학시킨다.

노동당 작전부 산하 금성학원과 모란봉대학, 총참모부 산하 김일군사대학(일명 미림대학) 등에서도 대남 사이버 공격을 위한 해킹 요원을 전문적으로 육성하고 있다. 이렇게 길러진 해커들은 기본 프로그래밍 구조나 원서를 완전히 암기할 정도로 기본기가 탄탄하다. 최고 실력파들은 중국, 러시아, 인도 등으로 유학을 보낸다.

대학을 졸업하면 중앙당과 군사조직 산하에 배치된다. 현재 북한 사이버부대는 크게 4개 조직으로 구분된다. 조선인민군 총참모부 산하 정보기관인 정찰총국의 사이버전지도국(121국), 총참모부 산하 적공국(204 사이버 심리부대), 중앙당 조사부(기초조사자료실), 통일전선부 등이다.

정찰총국 121국은 해킹과 사이버전을 전담한다. 컴퓨터망 침입, 비밀자료 입수, 바이러스 유포, 대남 군·전략기관 사이버 공격 등의 임무를 수행한다. 외화벌이도 주요 임무 중 하나다. 대남 사이버 심리전은 적공국 204부대가 맡고 있다.

중앙당 조사부는 남파 간첩들과의 정보 교신을 위한 기법을 만들고, 각종 사이버 공간에서 활동하고 있다. 통일전선부는 사이버 공간에서 조작된 정보와 여론을 남한에 확산시키는 등 대남 심리전을 펼치고 있다.

북한 해커들은 국적이나 신분을 위장해 중국을 거점으로 동남아시아와 유럽 등 해외 각지에서 전문 해커로 활동한다. 신분은 학습용 소프트웨어나 애니메이션 제작자 등으로 위장한다. 이들은 전 세계 IT 기업이나 범죄조직들로부터 일감을 수주해 외화를 벌어들인다.

사이버 공격은 대부분 중국 동북부에 위치한 가짜 기업의 이름으로 실행된다. 이때 중국 IP(인터넷 주소)를 사용하며 자신들의 실체를 감춘다.

국방부가 2020년 12월 발행한 국방백서에 따르면, 북한은 약 6800명의 사이버전 인력을 운용하고 있다. 규모로는 미국과 중국, 러시아, 이스라엘에 이어 세계 5위다.

만경대혁명학원에서 컴퓨터 실습 중인 북한 학생들 ⓒ조선중앙통신

만경대혁명학원에서 컴퓨터 실습 중인 북한 학생들 ⓒ조선중앙통신

김정은 직할 '정찰총국'이 공격 주도

이들의 능력은 세계 최고 수준으로 평가받고 있으며, 미국 중앙정보국(CIA)을 능가할 정도다. 뉴욕타임스는 북한의 사이버 공격을 우려하며 "수천 명인 북한의 해커부대가 또 다른 핵무기가 될 수 있다"고 보도했다.

북한 해커부대의 핵심은 최고사령관인 김정은의 지휘를 받는 정찰총국이다. 2009년 노동당 작전부와 35호실, 인민무력부(현 인민무력성) 정찰국을 통합해 설립됐다. 이곳은 조선인민군 특수작전군과 함께 북한의 특수전과 첩보전을 담당하고, 정보전자전(해킹·DDoS 등)도 수행한다.

북한 해커들은 사이버 공격뿐만 아니라 핵 기술과 대량살상무기(WMD) 개발자금 조달, 김정은의 통치자금 마련을 위해 국적과 대상을 가리지 않고 도둑질을 감행하고 있다.

특히 가상자산 절취와 랜섬웨어 공격을 통해 막대한 수입을 올리는 것으로 알려졌다. 유엔 안전보장이사회(안보리) 대북제재위원회 전문가 패널이 안보리에 제출한 보고서에 따르면, 북한은 해킹 등 사이버 테러를 통해 최근 3년간 무려 총 31억2900만 달러(약 4조1700억원)를 탈취한 것으로 파악됐다. 북한 소행으로 드러나지 않은 것까지 포함하면 이보다 훨씬 많을 것으로 추정된다.

국내 정부기관, 법원, 연구소, 방산기업, 언론사 등을 상대로 국가 기밀을 비롯한 각종 정보를 노린 사이버 공격도 감행한다. 국정원에 따르면, 지난해 공공부문을 겨냥한 국가 배후 또는 국제 해킹조직의 사이버 공격은 하루 평균 162만여 건으로 파악됐는데, 이 중 80%의 공격 주체가 북한인 것으로 드러났다.

북한 정찰총국이 운영하는 해커부대로는 '라자루스' '블루노로프' '안다리엘' '킴수키' 'APT38' 등이 악명을 떨치고 있다.

이 중 라자루스(Lazarus)는 2007년에 가장 먼저 창설됐다. 주로 각국 정부와 군, 금융기관, 언론 등의 전산망을 대상으로 데이터 절도, 금전 강탈과 악성코드를 사용한 컴퓨터 파괴 공작에 나서고 있다.

처음 세간에 알려진 것은 2014년 미국 소니픽처스 해킹 사건이다. 당시 소니픽처스는 김정은 국무위원장 암살을 다룬 영화를 제작하고 있었는데, 제작 중단 요구를 거부하자 해킹 공격을 받았다. 미국 연방수사국(FBI)은 북한을 배후로 지목했다. 2016년 방글라데시 중앙은행을 해킹해 8100만 달러를 탈취한 사건과 2017년 워너크라이 램섬웨어 공격 등도 북한의 소행으로 알려졌다.

이뿐만 아니라 2019년 11월 가상자산 거래소 '업비트'에 보관돼 있던 이더리움 34만2000개가 탈취된 사건이 있었는데, 약 5년간의 수사 끝에 북한의 소행으로 확인됐다. 경찰청 국가수사본부는 라자루스와 안다리엘이 공모한 것으로 드러났다고 밝혔다. 피해 규모는 당시 시세로 580억원, 현재 기준으로는 1조4700억원 상당이다.

북한이 탈취한 이더리움의 57%는 북한이 개설한 것으로 추정되는 가상자산 교환 사이트 3개를 통해 시세보다 2.5% 싼 가격에 비트코인으로 바꿔치기된 것으로 경찰은 파악했다. 나머지 이더리움은 해외 51개 거래소로 분산 전송된 후 세탁됐다.

블루노로프(Bluenoroff)는 라자루스의 하위 그룹으로 금융기관, 카지노, 금융 거래 소프트웨어 개발사, 암호화폐 등을 공격해 금전을 갈취하고 있다.

킴수키(Kimsuky)는 글로벌 정보 수집 임무를 수행한다. 2014년 한수원 해킹 사건과 2016년 국가안보실 사칭 이메일 발송으로 국내외에 알려졌다. 주로 국내 외교정책이나 국가 안보 기밀 등에 대해 지속적인 공격을 시도하고 있다.

언론사 기자를 사칭해 국방과 안보, 통일, 외교 관련 전문가들에게 악성파일을 보내 악성코드를 뿌린 뒤 기밀을 탈취하는 수법을 사용하기도 한다.

2022년 4월부터 10월까지 국내 외교안보 분야 전문가들에게 기자와 국회의원실 비서 등을 사칭한 '피싱 메일'을 대량 유포해 해킹을 시도한 적도 있다. 같은 해 5월 당시 국민의힘 태영호 의원실 비서를 사칭해 외교안보 분야 전문가들에게 '피싱 메일'을 보냈는데, 국내 민감 정보를 빼내려고 이 같은 시도를 한 것으로 알려졌다.

안다리엘(Andariel)은 국방이나 방위산업체, 조선업체 등 국방 분야를 주된 공격 대상으로 삼는다. 경제적인 목적을 위해 금융기관과 암호화폐 거래소 등에 대한 해킹도 병행하고 있다.

경찰에 따르면 안다리엘은 국내 서버를 통해 피싱 메일을 보내 방산업체와 연구소, 대학교 등을 여러 차례 해킹하고, 레이저 대공무기를 비롯해 핵심 무기 자료를 빼돌린 것으로 조사됐다. 일부 업체에 랜섬웨어를 감염시킨 뒤 수억원을 뜯어낸 정황도 파악됐다.

북한 정찰총국 소속 사이버부대를 찾은 김정은의 모습 ⓒ북한 선전매체

북한 정찰총국 소속 사이버부대를 찾은 김정은의 모습 ⓒ북한 선전매체

갈수록 공격 강도 높아지고 수법 교묘해질 듯

북한은 숱한 사이버 테러의 배후로 지목됐지만 지금까지 이를 인정하지 않고 있다. 정황과 증거가 북한을 가리키고 있지만 그때마다 발뺌하면서 오리발을 내밀고 있다. 문제는 이런 악의적인 행위에 대해책임을 묻거나 국제사회의 적절한 제재와 보복 수단이 마땅하지 않다는 것이다.

이런 틈새를 노린 북한의 사이버 공격은 갈수록 강도가 높고 교묘해지고 있다. 앞으로는 그 횟수가 잦아지고 규모도 더욱 커질 전망이다. 정부와 단체, 기업, 개인이 철저하게 대비하지 않으면 언제든 북한의 사이버 공격에 당할 수 있다.

북한 해킹 수법이 날로 고도화하는 만큼 보안인증 프로그램을 최신 버전으로 업데이트하는 등 대비를 해야 한다. 안일하게 대처하다가는 회복 불능의 피해를 볼 수도 있는 것이다. 전문가들은 "북한의 사이버 공격에 대해 심각한 위기의식을 가져야 한다"고 강조한다. 지금 남한과 북한은 총성 없는 사이버 전쟁을 벌이고 있다. 

Copyright © 시사저널. 무단전재 및 재배포 금지.