정용환 기자
북한은 랜섬웨어와 악성코드를 이용해 각국에 대한 사이버 공격을 하는 것으로 밝혀지고 있다. 이런 북한의 사이버 공격에 관한 역사나 현황은 어떨까.
지난 2016년 일본 전국 세븐일레븐에 설치된 ATM에서 20억엔에 이르는 금액이 무단 인출되는 사건이 발생했다. 범행에는 번호와 상표가 인쇄되지 않은 하얀 카드가 사용됐다고 한다. 참여자는 흰색 카드를 통해 무단 인출한 금액 중 10%를 받는 조건으로 세븐일레븐 여러 곳에 설치된 ATM에서 돈을 인출했다.
인출한 금액 90%를 의뢰자 쪽에 전달했는데 당시 이 금액 중 5%를 수중에 남기고 나머지는 상부로 송금한다고 밝혔다고 한다. 이후 전국에서 무단 인출한 금액은 20억엔으로 보도됐는데 이 돈은 중국을 통해 북한으로 건너간 것으로 밝혀지고 있다.
북한은 국민 중 1% 밖에 인터넷에 액세스할 수 없다. 하지만 인터넷에 액세스할 수 있는 국민 수가 적음에도 세계 최고 능력을 가진 사이버 범죄 그룹이 속속 탄생하고 있다. 이 때문에 북한에서 우수 해커가 나오는 건 마치 자메이카 봅슬레이팀이 올림픽에서 금메달을 딴 것 같다고 표현하기도 한다.
북한 사이버범죄 그룹 활동은 은행 강도나 랜섬웨이 전송, 온라인 거래소에서 암호화 자산 도난 등 다양하다. 또 다른 국가 사이버 범죄 그룹과 달리 북한 쪽 그룹은 범행 성명을 내지 않는다. 따라서 북한에 의해 얼마나 많은 사이버 공격이 이뤄지고 있는지 판단하기는 어렵다고 한다.
2019년 보고에 따르면 북한은 사이버범죄그룹을 통해 20억 달러 이상을 조달한 것으로 추정된다. 또 유엔은 북한 사이버범죄그룹이 훔친 돈 대부분은 핵무기 개발을 포함한 무기 개발에 지출한다는 주장을 하기도 한다. 존 멀스 미국가안보국 차관보는 2021년 2월 북한이 총 대신 키보드를 이용한 범죄 집단을 형성하고 있다고 밝히면서 사이버 공격에 의한 자금 조달은 각국에서 가혹한 경제 제재를 받는 북한에게는 매력적인 방법이라는 말로 북한이 사이버 공격에 주력하는 배경을 추측했다.
2014년 소니픽터스엔터테인먼트가 공개를 예정하던 김정은 위원장 암살을 테마로 한 코미디 영화(The Interview)에 대해 북한은 공개 중지를 요구한다. 이후 2014년 11월 소니 측은 해커 그룹(Guardians of Peace)에 의한 사이버 공격을 받았다. 이 사이버 공격을 통해 직원 이메일 급여명세서, 의료 기록이나 007 시리즈 신작 영화 스펙터를 포함한 미공개 영화 데이터 등이 유출됐고 소니 인터넷 연결이 며칠 차단되는 사태가 일어나기도 했다.
FBI 수사를 통해 이 해커 그룹에는 북한이 관여했을 가능성이 부상했다. 북한은 관여를 부정했지만 동시에 사이버 공격은 정당한 행위라고 선언하기도 했다.
2015년에는 북한 관여가 의심되는 해커 그룹 라자루스그룹에 의해 방글라데시중앙은행이 보유한 연방 준비 은행 계좌에서 8,000만 달러가 부정하게 송금되는 사건이 발생했다. 방글라데시 이외 국가에서도 같은 수법으로 거액 불법 송금 사건이 발생하고 있다.
2017년에는 랜섬웨어 워너크라이(WannaCry)가 전 세계적으로 유행해 항공기 제조업체 보잉과 영국 국민보험서비스, 독일철도 등 세계적인 대기업이나 정부기관이 심각한 피해를 입었다. 이 랜섬웨어 개발에도 북한 해커 그룹이 관여했던 것으로 판명됐다고 한다.
북한에선 유망한 아이는 학교에서 컴퓨터를 사용할 걸 권장하고 있으며 수학을 잘하는 아이는 전문 고등학교에서 수학 관련 교육을 받는다. 또 평양에 위치한 김책공업종합대학이나 김일성종합대학에서 재능있는 젊은이에게 고급 프로그래밍 교육이 이뤄지고 있다. 북한 학생팀은 국제대학 대항 프로그래밍 대회 ICPC나 수학올림픽에서 높은 성적을 거두고 있기도 하다. 북학에서 프로그래밍 교육이나 해커 육성 방법은 과거 소련 선수 육성 방법과 비슷하다고 할 수 있다.
조선인민군에는 대원 7,000명이 소속된 사이버 부대가 존재하고 있다고 한다. 사이버 부대는 육군 작전을 지원하는 총무부와 미국 CIA와 유사 조직인 정찰총국으로 나뉘며 북한 국외에서 외화를 훔치는 작전이 실행되고 있다고 한다.
앞서 밝힌 방글라데시중앙은행에 대한 사이버 공격에 관련된 라자루스그룹은 조선인민군 사이버 부대 일부로 여겨지지만 사이버 부대 내역에 대한 자세한 내용은 밝혀지지 않고 있다. 한 전문가는 2017∼2020년까지 북한 인터넷 사용자 메타 데이터를 추적했다. 그 결과 북한 프로그래머 대부분은 중국이나 동남아 등 북한 국외에서 작업하고 있는 걸 발견했다고 한다.
2014년 북한에서 미국으로 망명한 이현승 씨에 따르면 중국 대련에는 북한 IT 노동자 4∼6명으로 이뤄진 3개팀 거점이 존재했었다고 한다. 그는 또 IT 노동자팀은 일본과 중국, 한국 시장에 모바일 게임 소프트웨어를 개발해 돈을 받고 있었다고 말하기도 했다.
또 다른 북한 망명자는 북한은 우수 해커에 낮은 수준 일을 주고 해외에 대기시키고 중요한 일을 할 때 평양에 부른다고 증언하기도 했다. 북한은 우선순위가 높은 작전에 종사하는 우수 해커가 해외에서 잡히는 걸 방지하기 위해 낮은 수준 일을 주고 있는 것으로 보인다는 분석이다.
국내 보안 전문가인 사이먼 최는 2008년 병역 의무를 수행하던 중 북한이 한국군에 사이버 공격을 시도한다는 걸 알게 됐고 병역 완수 이후 자원봉사팀(IssueMakersLab)을 설립해 회원 10명과 함께 북한 사이버공격을 조사했다. 그는 조사 과정에서 북한 해커 1,100명에 의해 작성된 악성 스크립트를 발견했다. 그는 발견된 스크립트는 미국과 러시아 해커가 만든 스크립트보다 세련되지 않았지만 매우 간단하고 실용적이었다며 북한 해커는 목적을 달성하기 위해 끈질기게 공격을 계속한다고 밝혔다.
블록체인 분석 기업인 체이널리시스에서 정책 사업을 맡은 제시 스피로는 북한 해커가 암호 자산 거래소에서 적어도 17억 5,000만 달러 상당 암호화 자산을 도용했다고 주장한다. 또 다른 분석 기업인 엘립틱(Elliptic) 연구원인 톰 로빈슨은 암호 자산은 관리자가 없고 완전히 익명으로 거래할 수 있다며 이런 이유로 암호 자산 거래는 북한 해커에게 매력적인 대상이라고 분석했다. 또 북한 해커 등 많은 범죄 조직이 몸값 지불 방법으로 증거를 남기기 어려운 암호 자산을 이용한다며 암호화 자산 추적 방법 확립이 필요하다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
