지난 8월 13일 AP통신 등 외신들은 유엔 안전보장이사회(안보리) 산하 대북제재위원회 전문가 패널 보고서(요약본)를 인용하여, 북한이 2015년 12월부터 올해 5월까지 최소 17개국의 금융기관과 가상화폐 거래소를 대상으로 35차례에 걸친 사이버 공격을 통해 최대 20억 달러(약 2조 4000억 원)를 탈취했다고 일제히 보도했다.

특히 최근 3년 간 북한의 사이버공격을 당한 국가 중 한국이 10건으로 최대 건수를 기록했으며 인도 3건, 방글라데시와 칠레가 각각 2건이었다. 이외에 코스타리카, 감비아, 과테말라, 쿠웨이트, 라이베리아, 말레이시아, 몰타, 나이지리아, 폴란드, 슬로베니아, 남아프리카공화국, 튀니지, 베트남 등 총 17개국이 북한 추정 사이버 공격을 당해 금전을 탈취 당한 것으로 보고되었다. 이번 유엔 보고서(요약본) 공개로 사이버 공간을 활용한 북한의 금전 탈취 공작 등 사이버해킹 역량이 국제사회에서 악명(惡名) 높게 공인(公認)을 받았다고 할 수 있다.

실제 이번 유엔 보고서 이전에도 필자나 미국 당국 및 국제 사이버보안업체들이 북한이 사이버 금전 탈취의 심각성을 여러 차례 지적한 바 있다. 필자는 2016년 7월 7일 국군기무사령부가 주최한 ‘제14회 국방정보보호·암호 콘퍼런스’에서 발제를 통해 북한이 사이버상에서 연간 1조 원 상당의 외화벌이를 하고 있다고 공개한 바 있다. 이른바 사이버 금전 탈취 등 사이버 외화벌이가 북한의 핵심적 외화벌이 수단으로 등장했음을 지적한 것이다.
 

북한 사이버 금전탈취 배경과 사례

최근 북한이 사이버 외화벌이 공작에 주력하는 배경은 다음과 같다. 첫째, 북한의 연이은 핵실험과 탄도 미사일 발사 실험으로 유엔 등 국제사회의 대북제재가 심화되는 상황에서 기존의 외화벌이 수단(수출, 해외노동자와 해외식당, 무기밀매 등)이 막히다 보니 새로운 외화벌이 영역으로 사이버 금전 탈취에 주력하는 것이다. 둘째, 기술력만 향상시키면 사이버 금전 탈취가 ‘저비용 고효율’의 수익을 가져다 주기 때문이다. 셋째, 오프라인 상에서와는 달리 각종 보안장치를 뚫고 들어가 도둑질을 하다 들킬 위험성이 없다는 점이다. 실제 추적도 매우 어렵다. 넷째, 비트코인 등 가상화폐 시장이 급속히 확산되고 있고 더 나아가 자금 추적이 어려워 현금화하기가 용이하다. 끝으로, 가상화폐거래소가 기존 제도권 금융기관에 비해 상대적으로 사이버 보안 조치가 취약하다는 점이다.

이번 유엔 보고서에 의하면 국내 최대 규모 가상화폐거래소 ‘빗썸(Bithumb)’이 북한에 의해 최소 4차례 사이버 금전 탈취를 당했다. 2017년 2월과 7월의 공격으로는 700만 달러 정도를 도난당했고, 2018년 6월의 공격으로는 3100만 달러를, 2019년 3월의 공격으로는 2000만 달러를 탈취 당했다고 보고서는 기록하고 있다.

2017년 당시 국정원은 북한의 해킹그룹 라자루스의 악성코드가 빗썸 등 가상화폐거래소 해킹에 쓰인 코드와 동일하다는 점을 확인했다. 국가정보원은 2018년 2월 5일 열린 국회 정보위원회에서 “북한이 지난해 국내 가상통화 거래소를 최소 두 군데 이상 해킹해 260억 원 상당의 가상화폐를 탈취했다”고 보고했다. 또한 2017년 12월 19일 국내 가상화폐거래소 유빗(Youbit)이 해킹을 당해 170억 원에 상당하는 피해를 당했다. 동 회사는 2017년 4월에도 해킹을 당해 55억 원 상당의 가상화폐를 탈취 당했는데 결국 파산했다.

2018년 10월 19일 러시아 사이버 보안업체 ‘그룹-IB’의 발표에 의하면 북한의 해킹조직 라자루스는 그동안 악성코드 배포, 스피어피싱 등의 방법으로 암호화폐(가상화폐)거래소를 집중 공격해 5억 7100만달러(약 6373억 원)를 탈취했다. 북한의 해킹 액수는 작년 한 해 전 세계에서 발생한 금전 해킹(약 9988억 원)의 65%에 달하는 액수이다. 2018년 1월 26일 일본의 가상화폐거래소인 ‘코인 체크’가 해킹을 당해 580억 엔(5800억 원)이란 거액이 탈취당한 사건이 발생해 결국 파산했는데 이 역시 북한 소행으로 추정된다.

국제 사이버보안업체인 FireEye에서는 가상화폐인 비트코인의 가격이 상승할 때 빗썸 등 국내 가상화폐거래소에 대한 해킹을 시도한 추이를 분석해 발표한 바 있다. 위 도표에서 보듯이 비트코인 가격이 급등할 때 해킹 시도도 급증했음을 보여준다.
 

방글라데시 중앙은행 900억 원 털려

2016년 3월 5일 뉴욕 연방준비은행에 예치해 둔 방글라데시 중앙은행 돈 1억 100만 달러(1167억 원)가 해킹으로 순식간에 빠져나간 사건이 발생했다. 당시 뉴욕 연방은행에는 방글라데시 중앙은행 명의로 총 35건의 이체 요청이 접수되었고, 이체에 필요한 은행 코드 등이 있었기 때문에 절차에 따라 금액을 이체하기 시작했다. 이 중 5건의 계좌 이체 요청이 승인되었고 8100만 달러(900억 원)는 필리핀 은행을 통해 빠져나갔다. 2000만 달러는 스리랑카 은행으로 이체됐지만 인출 직전 스리랑카 금융 당국이 인출을 막았다. 필리핀 계좌로 이체된 돈은 이미 카지노 등에서 자금 세탁을 마쳐 회수하지 못했다. 공격자가 방글라데시 중앙은행의 국제은행간통신협회(SWIFT) 전산 시스템을 해킹해 결제 코드를 탈취해 성공시켰다.

이 사건은 세계 사이버 공격의 획을 그은 금전 탈취 사건이다. 공격자 입장에서 볼 때 007작전을 방불케 하는 쾌거(?)였다. 미국 NSA(국가안전국)과 세계 사이버 보안 기업들은 배후로 북한의 해커팀인 ‘라자루스(Lazarus)’ 그룹을 지목했다. 노베타, 시만텍, 카스퍼스키랩 등 세계의 유수한 사이버 보안기업들은 2014년 소니픽처스 해킹 조사 분석 후 해당 사고를 일으킨 조직 이름을 ‘라자루스’로 명명했다. 북한은 방글라데시 중앙은행 외에도 전 세계 10여 개 은행에 대한 사이버 공격을 감행한 것으로 밝혀졌다.
 

워너크라이 랜섬웨어 사건

워너크라이(WannaCry) 랜섬웨어 사건은 2017년 5월 12일부터 대규모 사이버 공격을 단행하여 전 세계 99개국의 컴퓨터 23만대 이상을 감염시킨 사건이다. 이들은 윈도 서버블록메시지(SMB) 취약점을 이용해 워너크라이 랜섬웨어를 유포하며 비트코인을 지급하면 풀어주겠다는 협박 메시지로 12만 6623달러(약 1억 4151만 원)를 탈취했다.

당시 미국 NSA(국가안전국)와 세계 유수의 사이버 보안기업들이 배후로 북한을 지목했는데 이번에 미국, 영국, 일본 등이 공식 확인을 한 것이다.

ATM 해킹 금전탈취 사건

유엔 보고서는 북한의 ATM 해킹도 지적했다. 북한이 한 국가의 모든 ATM 시스템을 관리하는 인프라에 접근하는 데 성공해 멀웨어를 심어 ATM의 거래가 진행되는 과정을 조작해 다량의 현금을 인출하도록 했다고 한다. 총 1만 번의 송금(액수는 정확히 나와 있지 않았다)과 인출이 20개국에 걸쳐 5시간 만에 이뤄졌다고 보고하고 있다. 동 보고서에서는 2016년 일본 17개 지역의 편의점 ATM에서 약 18억 6000만 엔이 동시에 부당 인출된 사건에도 북한이 연관된 혐의가 있는 것으로 지적했다.

실제 2017년 3월에는 국내에서는 북한 해커가 현금자동입출금기(ATM)에 악성 코드를 심어 금융정보를 이용해 금전을 탈취한 사건이 발생했다. 경찰청 발표에 의하면 63대 국내 ATM기 해킹으로 23만 8073명의 금융정보로 빼내 복제 카드를 만들어 국내외 현금 인출 8833만 원, 각종 대금결제 1092만 원, 고속도로 하이패스 충전 339만 원 등 1억 264만 원을 탈취한 것이다. 경찰청은 전자금융거래정보를 북한 해커로부터 전달 받아 유통하고 이를 이용해 카드를 복제·사용한 피의자 4명을 검거해 정보통신망법위반 등의 혐의로 구속 송치한 바 있다.

2018년 10월 미 국토안보부(DHS)와 연방수사국(FBI)은 북한 해킹조직 ‘히든 코브라’가 ‘패스트캐시(FASTCash)’ 수법을 사용해 올해에만 전 세계 23개 국 ATM기에서 수천만 달러의 현금을 탈취했다고 발표했다. 또한 10월 3일 미국 사이버 보안업체 ‘파이어아이’의 발표에 의하면 북한 해킹조직 APT38이 전 세계 16개 은행을 해킹하여 11억 달러(약 1조2000억 원)를 빼돌리려다 적발되었다.
 

누가 공격을 주도하는가?

북한의 해킹 조직은 크게 북한군과 당계열로 구분된다. 이 중 가장 주목할 대상은 북한 최대의 해킹 부서인 ‘기술(전자)정찰국’이다. 이 조직은 국무위원회(전 국방위원회) 직속 정찰총국의 사이버전담부서로 해킹 등 사이버공작뿐만 아니라 암호통신 분석, 통신감청 등 대남공작 관련 기술연구개발 및 기술공작도 담당한다.

기술정찰국에서도 ‘110연구소(Lab 110)’는 정찰총국의 사이버공작을 전담하는 부서로 알려져 있다. 종래의 ‘121소’(일명 기술정찰조)와 ‘100연구소’를 통합한 부서인데, 사이버공간을 활용해 한국, 미국 등에 대한 전략정보 수집, 디도스 공격 등 사이버 테러와 금전 탈취 등 사이버 외화벌이 등을 전담하고 있다. 이 부서는 2009년 7·7 사이버대란, 2011년 3·3 디도스공격, 농협전산망 무력화, 2013년 3·20 사이버공격과 6·25 사이버공격, 2014년 소니픽처스 해킹 등을 자행한 바 있다. 세계적인 해킹 조직으로 알려진 라자루스그룹이 바로 기술정찰국(110연구소)이다. 세계 사이버보안 전문업체인 시만텍, 파이어아이, 카스퍼스키랩 등은 2014년 소니픽처스 해킹 조사 분석 후 해당 사고를 일으킨 조직 이름을 라자루스로 명명했다. 라자루스가 바로 북한 국무위원회 직속 정찰총국의 정예 부서인 것이다.

기술정찰국이 운용하는 해킹팀들은 이밖에도 많다. ‘APT38’ ‘템프허밋(TEMP·Hermit)’ ‘히든 코브라’ ‘APT37’ ‘천리마(미로 천리마, 침묵 천리마, 별똥 천리마 등으로 구분)’ ‘Group 123’ ‘니켈 아카데미(Nickel Academy)’ ‘리퍼(Reaper·죽음의 신으로도 불림)’ 등이 기술정찰국이 운용하는 해킹팀들로 알려져 있다. 기술정찰국에만 15~20여 개 해킹팀이 활동하고 있는 것으로 알려져 있다. 이들 팀들은 일정 기간 특정한 타깃(Target)을 대상으로 하는 금전 탈취 등의 작전을 마치면 또 다른 작전에 투입되기 때문에 새로운 조직처럼 보이나 기본적으로 중복된 팀들인 경우가 많다.

정찰총국이 운영하는 해킹팀들은 중국 선양·다롄·광저우·베이징, 몽골 등 전 세계에 무역회사 등으로 위장한 수십 개의 사이버공작 거점을 두고 해킹 등 사이버공작을 수행하고 있다.
 

북한의 전방위 사이버 공격에 노출된 대한민국

지금 이 시간에도 북한의 사이버 요원들은 평양과 해외거점의 데스크에 앉아 우리의 국가기관망, 금융망, 방송통신망, 교통망, 에너지망, 교육망, 사회안전망 및 민간 상용망 등을 대상으로 초(秒) 단위의 사이버공격을 전개하고 있다. 실제 북한 및 해외로부터 한국의 국가기관망과 공공망을 대상으로 해킹을 시도하는 건수가 하루 평균 150만 건에 달한다. 1초에 18회 이상 사이버공격을 당하고 있는 것이다. 이를 국정원 등 사이버 안보 관련 부서들이 사전 탐지하여 방어하고 있어, 그나마 안전하고 자유로운 사이버공간을 우리가 영위하는 것이다.

북한의 사이버 금전 탈취 등 경제안보와 사이버 테러 등 안보 위협이 심각한 상황인데도 대한민국은 이를 차단할 법적 근거인 (가칭) 국가사이버안보기본법 조차 제정하지 못하고 있다. 국회와 정치권(정확히 말하면 현재 여당)은 ‘사생활 침해 방지, 인권보호, 안보부서의 권력남용’ 등의 논거를 들어 관련 법 제정을 수년간 방치하고 심지어 법제정을 방해하고 있다.

일찍이 세계 주요 선진국은 사이버 공간에서의 초국가적 안보 위협에 대응해 관련법을 제정 및 보완하고 막대한 예산을 투자하는 등 사이버안보 시스템을 강화하고 있는데 정작 대한민국은 이에 역행하고 있다. 또한 대규모 사이버 공격 발생시 민간망, 사설포탈망에 대한 감독권과 강제 조사권을 당국에 부여해야 한다. 북한은 사이버 공간과 우리 법제의 허점을 최대한 활용해 사이버 공격을 전개하고 있다. 아직까지 파악하지도 못한 사이버 공격의 존재를 감안한다면 안보 위협은 더 치명적일 것이다.

북한은 이른바 남북 화해 국면에서도 우리를 대상으로 한 사이버 금전 탈취 등 해킹 공격을 일상화하고 있다. 이에 대해 우리 정부는 북한에 경고도 못하고 침묵하고 있다. 김정은이 주도하는 사이버 공격을 더 이상 국내외에서 활개 치도록 방조하면 ‘역사의 죄인’이 될 것이다.

향후 더 공세화 될 북한 및 해외 해커들에 의한 사이버 공격을 억지하기 위해서는 이제 탐지, 차단, 복구 등의 방어 차원에서 벗어나 사이버 공격 원점을 추적해 철저히 응징하는 공세적 사이버 대응시스템의 구축과 실행이 필요하다.

주요 기관 자체 폐쇄망인 인트라넷망만 운용하고 전역에서 인터넷을 운용하고 있지 않아 대칭적 응징에는 한계가 있다. 따라서 우리는 미국 등 국제사회와 공조해 북한 내 사이버공작 부서인 정찰총국이나 해외거점에 대한 물리적 파괴공격 등 비대칭적 응징도 고려해야 한다. 대한민국에 대한 사이버공격자는 온-오프라인에서 끝까지 추적해 초토화시키고 응징해야 한다. 이러한 의지를 보여줘야 사이버 국부 유출과 사이버 공격으로부터 안전하고 자유로운 사이버 공간이 보장될 것이다.