뉴스

한반도 A to Z

목요진단 한반도

외화벌이에 이용되고 있는 북한의 해킹 실태

2020-09-10

ⓒ YONHAP News

국제 금융 결제망인 국제은행간통신협회, 스위프트가 지난 2일, 북한 해킹그룹이 가상화폐를 이용한 자금세탁에 나서고 있다고 밝혔습니다.

스위프트는 영국 보안업체 'BAE시스템'과 공동작성한 자금세탁 보고서에서 북한 해킹그룹 중 하나인 '라자루스'가 거래소 해킹으로 가상화폐를 탈취한 뒤 다른 거래소로 옮기는 자금세탁을 시도했다고 분석했습니다.

북한 해커들의 가상화폐 자금세탁은 미국 당국에서도 지속해서 경고음을 울리는 사안으로, 미 법무부는 지난달 27일, 북한 해커들의 소행으로 보이는 가상화폐 탈취 사건이 있었다며 280개 관련 계좌에 대한 몰수 소송을 제기했는데요.

이렇게 각국이 북한의 사이버 위협에 대해 우려를 표명한 것은 어제 오늘의 일은 아닙니다.

이종훈 시사평론가의 설명을 들어봅니다.


<이종훈> 미국 정부 쪽에서는 합동 경보까지 발령을 했어요. 지난달 22일 북한 해커들의 악성코드를 공개 했고, 또 26일에는 미국 국토안보부 산하 사이버 안보 기간시설 안보국, 재무부, 연방수사국, 사이버사령부까지 다 합쳐서 합동 경보까지 발령해 했는데 ‘비글 보이즈’라고 하는 북한 집단이 현금 자동 입출금기 ATM을 활용해 금융 해킹을 제기했다, 이런 내용입니다. 합동 경보를 발령한 직후에 법무부 차원에서도 그와 관련해서 몰수 소송을 제기한 건데요, 그런데 이게 이번에만 해당되는 게 아니고 지난 4월에도 합동 주의보를 발령한 적이 있는데요, 미국 정부 쪽에서는 최근 들어서 북한의 해킹 그룹의 활동이 갑자기 활발해지고 있는 것이 뭔가 이유가 있다고 보는 것 같고요, 그 이유는 뭐냐 하면 미국 대선 전에 북한이 모종의 도발을 준비중인 게 아니냐, 예를 들어 장거리 미사일 발사 실험 같은 것, 그런 것을 대비해 비용 조달에 나선 것 아니냐, 이렇게 보는 분위기가 읽히고 있는 그런 상황입니다.


한국은 북한 해커들의 주요 공격 대상 중 하납니다.

북한의 또 다른 해킹 조직으로 추정되는 '탈륨'의 사이버 공격이 최근 더욱 급증하고 있는 것으로 나타났는데요, 탈륨은 마이크로소프트가 지난해 미국 정부부처 공무원 등을 공격했다는 혐의로 버지니아주 연방법원에 고소된 조직으로, 기존에 '김수키'라는 이름으로 알려진 북한 해킹 조직과 동일한 것으로 추정되고 있습니다.

지난 5일 국내 보안업체 이스트시큐리티는 탈륨이 국내 방위업체를 포함해 대북 연구 분야 종사자, 탈북민, 북한 관련 취재 기자를 집중 공격하고 있다고 분석했는데요.

최근엔 '개성공단 근무 경험자' 연구 관련 문서 등을 사칭해 악성코드가 심어진 이메일을 유포한 것으로 알려졌습니다.


<이종훈> 이 해킹 그룹의 해킹 방식이 상당히 고도화 돼 있어요. 일반인들이 보기에는 기업체에서 보내는 듯한 그런 피싱 메일을 보내서 거기 접속하면 해킹을 하는 방식으로 진행하고 있는데, 예를 들어 ‘삼성 클라우드 갤러리 사용 확인 안내’, 이런 것을 보내는 겁니다. 그러면 보통 사람들의 내가 이거 쓰는데 뭐가 문제가 있나? 접속해 보게 되는데, 그렇게 자연스럽게 접근을 한다든지 또는 네이버를 사칭해서 언론사 기자들에게 피싱 메일 공격을 하기도 했고, 조금 전에 말씀드린 삼성 클라우드 갤러리 사용 확인 안내 라는 피싱 메일 같은 경우에는 대북 분야 종사자들에게 보내는 식으로... 아시다시피 국내외에서 피싱이나 스미싱방식이 굉장히 진화를 하고 있는데 이런 방식으로 진화된 방식들을 최근 들어 활용을 하고 있는 모습을 보이고 있고요. 주 공격 대상에는 우리 금융권도 포함돼 있다, 그래서 자금 유출 같은 것도 충분히 개연성이 높아지고 있는 상황이다, 이렇게 보시면 될 것 같습니다.


북한의 사이버 공격 양상은 계속 변화하고 있습니다. 과거 북한은 사이버 인프라 대상을 마비시키거나 간섭, 파괴하는 공격을 주로 해왔는데, 디도스 공격 등 인터넷 서비스를 차단하는 공격이 대표적입니다.

그러나 최근에는 경제 제재로 자금난이 지속되다보니 외화를 회득하기 위해 해킹을 시도한다는 분석이 많습니다.

즉, 사이버 능력을 활용해 외화벌이에 나선 것인데, 비트코인, 라이트코인, 모레노 등 암호화폐 채굴과 절취, 생산 등에 나서고 있는 것입니다.

각국의 보안업계는 이들의 공격 수법이 전보다 교묘해진만큼 각별한 주의가 필요하다고 당부했는데요. 이렇게 날로 발전하고 있는 북한의 사이버 해킹 수준은 어느정도 일까요.


<이종훈> 북한 해커들이 많이 공격하는 게 암호화폐 거래소인 것으로 추정되고 있고, 거기에서 수억달러 어치 암호화폐를 훔친 것으로 추정되는데, 이 추적도 굉장히 쉽지 않다는 거예요. 추적을 따돌릴려고 암호화폐를 5천 차례 이상 이전을 한다든지 이런 방식까지도 지금 활용하는 것으로 이렇게 알려져 있습니다. 그런 정도라고 본다면 굉장히 섬세한 기술을 구사하고 있고 굉장히 고도화 돼 있는 것으로 추정되고 있습니다. 워낙 규모가 방대하기도 해서 김정은의 통치자금이나, 또는 핵무기 또는 기타 여러 가지 무기 개발 자금으로 활용하기 위해서 국가적인 차원에서 조성하고 있는 게 아니냐는 의심을 하고 있는 그런 상황이고요. 국제사회에서 안보 업계 종사자 하시는 분들의 전반적인 평가를 보게 되면 러시아 그리고 중국 다음가는 수준이거나 그에 버금가는 수준일 것이다, 이렇게 보고 있는 것 같습니다. 0756 해커들을 매우 체계적으로 양성하고 있는 것 같다는 분석이 많이 나오고 있습니다. 북한의 주요 대학이나 기관에서 해커들을 아예 의도적으로 체계적으로 기르는 건데, 이게 북한으로서 보자면 굉장히 비용 대비 효과가 높다는 거죠.


이렇게 북한 해커들이 사이버 해킹을 통해 벌어들이는 외화는 각종 제재로 묶인 북한이 기댈 수 있는 거의 유일한 ‘돈줄’이나 다름 없습니다. 해킹으로 거둔 수입의 규모도 결코 적지 않은데요.

2016년 2월에는 국제 은행 거래망인 스위프트 전산망을 해킹해 방글라데시 중앙은행이 뉴욕 연방준비은행에 예치해 둔 1억100만달러 중 8,100만달러를 빼돌리기도 했고, 2019년에는 칠레 국립은행에서 1000만 달러를 해킹한 것으로 확인됐습니다. 또한 앞서 언급한 북한 해커 집단인 ‘라자루스’는 최근 5억 달러 이상의 암호화폐 해킹을 주도한 것으로 보이는데요.

그렇다면 북한 해커들이 훔진 외화는 얼마나 될까요.


<이종훈> 유엔 안전보장이사회 대북제재위원회 전문가 패널의 보고서가 지난해 나온 게 있어요. 지난해 8월에 보고서가 나왔는데, 북한이 은행이나 가상화폐 거래소 해킹 등을 통해서 벌어들인 자금의 규모, 대략 추산을 20억 달러 정도로 하고 있습니다. 그러면 2조 4천억 정도 규모가 된다는 거죠. 엄청난 규모 아니겠습니까? 과거에 북한이 외화수입, 여러 가지 수입 벌어들일 때 그때 규모에 맞먹는 금액이다. 즉 대북제재 이전의 북한 외화 수입 규모 정도를 현재 이런 해킹 방식을 통해서 벌어들이고 있다는 거죠. 그리고 이 해킹 방식으로 벌어들이는 돈은 그야말로 북한 쪽에서는 비용이 크게 안 들어간다는 거예요. 인건비도 싸고하기 때문에 아주 값싼, 고도의 해커들을 동원해서 이런 식으로 하고 있는 것으로 추정되고 있습니다.


이같은 국제사회의 분석에 대해 북한은 어떤 반응을 보이고 있을까요.

북한은 최근 미 안보당국이 대북 금융 해킹 경보를 발령한 데 대해 "미국은 우리를 건들일 경우 큰 봉변을 당할 수 있다는 것을 명심하고 자숙하는 것이 좋을 것"이라고 강력 반발했습니다.

북한 외무성은 지난달 30일 홈페이지에 게재한 '조선민주주의인민공화국 자금세척 및 테러자금지원 방지를 위한 국가조정위원회 대변인 담화'를 통해 "최근 우리를 반대하는 미국의 모략 소동이 사이버 분야까지 확대되고 있다"며 이같이 밝혔는데요.


<이종훈> 북한은 그동안 우리 쪽으로 해킹한 부분 관련해서 우리 수사기관에서 조사를 해서 확인한 내용 조차도 다 부인을 해 왔거든요. 예컨대 2016년도에 우리 외교안보 인사들에 대해 해킹이 이뤄졌고 이것을 검찰 쪽에서 수사를 한 결과 북한 쪽에서 감행한 거다 라고 발표했는데요, 이 발표에 대해서도 대남 선전매체 ‘우리민족끼리’를 통해서 뭐라고 밝혔냐면 남측 내부에서 발생한 해킹 사건인데, 이걸 근거도 없이 무작정 북한 소행으로 몰아붙이고 있다, 이런 식으로 주장하기도 했고요, 당연히 국제사회에서 전반적으로 이뤄지고 있는 해킹 관련해서도 부인을 하는 행태를 보였습니다. 2014년에 소니 해킹 관련해서도 북한 관련 설이 불거졌는데, 그 당시에 북한 외무성이 AFP통신과 인터뷰를 한 적도 있는데요, 그때도 북한은 소니 해킹과 전혀 관련이 없다 이런 식으로 발표를 하고 있고, 심지어 우리 수사기관이 밝히는 과정에서 IP추적한 내용도 공개를 하는데요. 설령 북한쪽 IP주소가 나오더라도 ‘다른 해킹 범죄자들이 우리것을 도용한 것이다’ 이런 식으로 까지 주장을 하고 있는 그런 상황입니다.


북한의 해킹이 2020년에도 전 세계를 위협하고 모바일 해킹 분야를 주도할 것이란 전망이 있습니다.

캐나다의 컴퓨터 운영체제와 휴대전화 제조업체인 ‘블랙베리’ 산하 사이버 보안기업 ‘블랙베리 사일런스’는 올해 2월, ‘2020년 사이버 보안 분야를 전망한 ‘2020 위협’ 보고서를 발표하고 2020년에도 북한이 주요 악성 행위자가 될 것이라는 분석을 내놨는데요.

대북제재로 외화벌이 경로가 협소해진 북한이 전 세계 금융권을 해킹하고 암호화폐 탈취 등을 통해 외화를 벌어들이는 활동은 계속될 수 밖에 없을 것으로 보입니다.


<이종훈> 대북 제재가 장기화하면서 북한 경제가 어렵고 북한 경제가 어려운 것도 어려운 것이지만, 무엇보다도 김정은 국무위원장의 통치자금이 고갈되고 있다는 거 아니겠습니까? 통치자금 확보 차원에서라도 해킹을 하지 않으면 안 되는 것이고, 어떻게 보면 가장 쉽게 돈을 만들 수 있는 그런 방식인데요. 과거에는 사실은 위조 달러를 유통시키는 방식도 있었는데, 그것보다도 오히려 비용이 적게 들 뿐만 아니라 노출 위험도 상대적으로 적고 회피하기도 쉽다는 거예요. 그래서 방식 면에서 점점 고도화 될 거고 더 정교할 것이다 이렇게 생각이 들고 또 규모 면에서도 훨씬 더 지금보다 대규모 할 가능성이 높은 거예요. 자금 탈취 규모도 훨씬 더 커질 가능성이 있고, 통치 자금이 부족할수록 경제가 어려울수록 이런 사건도 훨씬 더 다발화할 가능성이 있는 거죠. 훨씬 빈번하게 발생할 가능성이 높은 상황이다. 그래서 미국도 계속 이런 식으로 경고를 하고 있는 그런 상황이 아닌가 생각합니다.


북한이 향후 한국에 대한 핵이나 장거리 미사일을 동원한 공격 가능성이 여전히 존재하지만 비용을 적게 들이면서도 외화를 충당하기 위해서는 사이버 도발이 훨씬 효과적이라는 사실을 부인하기 어렵습니다.

다른 형식의 공격이나 테러보다 사이버 해킹에 대해서 우리 국민의 보안 불감증이 높다는 지적이 큰 만큼 점점 더 교묘해지고 있는 북한의 해킹, 사이버테러에 대해 앞으로 경각심을 더욱 높일 필요가 있겠습니다.

최신뉴스