“북 해킹 유형, 제재 이후 ‘외화탈취’로 변화돼”

서울-목용재, 고영환 moky@rfa.org
2019.04.19
fireeye_ppt-620.png 미국 서부 캘리포니아주에서 지난달 열린 사이버보안 회의에서 맥나마라 분석가가 북한 해킹그룹 APT37에 대해 설명하고 있다.
사진 제공: 파이어아이

여러분 안녕하세요. ‘시사진단 한반도’ 시간입니다. 저는 진행을 맡은 목용재입니다. 전세계적으로 인터넷이 발달하면서 이에 대한 해킹 시도와 피해 사례도 늘어나고 있습니다. 특히 한국 내에서는 북한의 소행으로 추정되는 해킹 사례가 지속적으로 포착되고 있는데요. 그 심각성이 점차 증대하고 있다는 지적이 나옵니다. 오늘도 고영환 국가안보전략연구원 객원연구위원과 함께합니다.

목용재: 위원님 안녕하세요. 지난 한주 잘 보내셨습니까?

고영환: 잘 보냈습니다.

목용재: 북한의 소행으로 추정되는 해킹, 그러니까 타인의 전산망에 들어가 해를 입힌 사례는 지금까지 꾸준히 포착돼 왔습니다. 북한의 소행으로 추정되는 해킹의 최근 실태에 대해서 어떻게 파악하고 계십니까?

고영환: 북한의 사이버 공격, 즉 타인의 전산망에 들어가 해를 입히는 공격은 초기에는 한국이나 외국의 군사기밀, 산업기술, 과학기술을 훔치는 경우가 대부분이었습니다. 해킹으로 한국군과 한국 정부기관들의 비밀 자료들을 빼가는 공격들을 감행한 겁니다. 북한이 핵실험과 미사일 발사 등 군사적 도발을 끊임없이 강행하면서 국제사회의 대북 제재가 강화됐고 그러면서 북한의 경제적 위기가 심화됐습니다. 그러자 북한 당국은 한국, 미국, 유럽 등 전 세계를 대상으로 외화를 탈취하는 방향으로 해킹 유형을 변화시키고 있습니다. 2018년 10월 미국의 한 보안 업체는 북한이 지난 4년간 외국의 은행 등 금융기관들의 대규모 외화를 탈취하기 위해 전문 해커 조직들을 운영해왔다고 밝혔습니다. 미국의 보안 업체 ‘파이어아이’가 지목한 북한이 배후에 있을 것으로 추정되는 해킹 조직 ‘APT38’은 미국, 멕시코 즉 메히꼬, 브라질, 러시아 즉 로씨야, 베트남 즉 윁남 등 최소 11국의 주요 금융기관과 비정부기구들을 해킹해 11억 달러 규모의 외화 탈취를 시도했습니다. 북한이 이 가운데 적어도 수억 달러를 빼돌린 것으로 보인다고 파이어아이 측은 밝혔습니다. 파이어아이는 미국의 소니픽처스 해킹이 북한의 소행이라는 사실을 밝혀내기도 한 보안업체입니다. 외국의 정보기관들과 보안업체들은 APT38이라는 조직이 금융기관을 해킹해 외화를 탈취할 목적으로 북한이 만든 새로운 해커 조직으로 보고 있습니다. 이 조직은 북한군 정찰총국 산하 사이버 전담 부서인 기술정찰국이 운용하는 것으로 알려져 있습니다. 북한은 기술정찰국에 작전 인력 1700여 명과 지원, 기술 인력 5100여 명 등 모두 6800여 명의 사이버전 요원들을 운용 중인 것으로 외국 정보 당국들은 분석하고 있습니다.

목용재: 북한 당국이 외화벌이 수단의 하나로 해킹을 지속적으로 시도하고 있는 것 같은데요. 북한이 해킹 등을 통해 벌어들이고 있는 자금 규모가 어느 정도 된다고 추정하십니까? 해킹을 통해 벌어들인 자금이 북한 경제에 얼마나 도움이 된다고 보십니까?

고영환: 일본의 니혼게이자이 신문은 지난달 8일 유엔 안전보장이사회의 대북제재 이행상황을 조사한 전문가들의 보고서를 인용해 북한이 지난 2017년 1월부터 2018년 9월 사이 한국, 일본 등 아시아 국가들의 암호화폐 거래소에 대한 해킹을 최소 5회 이상 감행해 5억 7100만 달러에 달하는 외화를 탈취했다고 밝혔습니다. 동 신문은 구체적인 사례도 밝혔습니다. 이에 따르면 북한은 지난해 1월 일본 암호화폐 거래소 ‘코인체크’를 해킹해 약 5억 2000만 달러(580억 엔) 상당의 암호화폐를 강탈했습니다. 2016년에는 방글라데시 중앙은행의 송금 시스템을 해킹해 8100만 달러를 절취했고 2017년에도 한국 가상화폐 거래소들을 해킹해 가상화폐 약 2500만 달러를 절도했습니다. 같은 해 8월 북한은 인도 은행을 해킹하여 1350만 달러를 강탈했습니다. 방글라데시는 아시아에서 가난한 나라 중 하나입니다. 다른 나라들은 방글라데시 같은 나라들에 원조를 해주는데 북한은 이 가난한 나라 중앙은행의 돈을 해킹해 훔쳐갔습니다. 외부에서 추정된 금액만 2016년부터 2018년 말까지 6억 7500만 달러가 넘습니다. 중국 해관총서는 2017년 북한의 대중 수출액이 2억1000만 달러라고 밝혔습니다. 북한은 해킹으로 6억 달러 이상을 벌었으니 이는 북한이 중국에 1년 동안 수출한 무역 총액의 3배 이상에 달한다는 계산이 나옵니다. 북한의 불법적인 외화벌이 규모가 어느 정도인지 가늠할 수 있습니다. 북한 경제가 해킹으로 탈취한 자금으로 운용된다고 해도 과언이 아닙니다.

목용재: 정보 탈취를 목적으로 하는 북한의 해킹에 더 주의를 기울여야 한다는 지적도 있습니다. 북한이 한국 정부나 외교안보 분야의 종사자들로부터 정보를 빼내는 것은 어떤 목적이 있다고 보십니까?

고영환: 한국의 컴퓨터 보안업체인 이스트시큐리티는 지난 2월 21일 한국 민간단체 ‘한미우호협회’의 ‘미북 정상회담 결과에 대한 특별좌담회 초청장’을 사칭한 지능형지속위협 공격이 발견됐다고 밝혔습니다. 이스트시큐리티는 이번 해킹의 주범이 지난 2014년 한국수력원자력을 해킹한 북한 해킹 조직인 킴수키로 추정된다고 언급했습니다. 지난 2014년 한국의 정부합동수사단은 한국수력원자력 해킹 공격에 사용된 악성코드와 인터넷 계정 주소 등을 조사한 결과 킴수키의 접속 인터넷 계정 중 5개가 북한 체신성으로부터 할당된 것이라고 발표한 바 있습니다. 북한의 해킹을 전문적으로 추적, 연구하는 한국 내 민간단체인 이슈메이커스랩에 따르면 킴수키가 만든 것으로 추정되는 악성코드는 2016년 10개를 밑돌다가 2017년 하반기에 20개 이상, 2018년에는 30개 이상이 발견됐습니다. 지난 1월에 새롭게 발견된 악성코드의 수는 50개였습니다. 킴수키의 악성코드 수가 이전과 비교해 급증한 시기는 평창 동계올림픽, 남북·미북 정상회담들을 전후한 시기들입니다. 이는 북한이 해킹이라는 세계가 경악하는 불법적인 방법으로 한국 정부와 미국 정부의 대북전략을 알아내기 위해 얼마나 집요한 노력을 하고 있는지 짐작케 합니다.

목용재: 북한은 한국 정부뿐만 아니라 탈북자들을 대상으로도 지속적으로 해킹을 벌이고 있는 것으로 보입니다. 위원님도 수상한 전자우편을 받으셨거나, 북한의 소행으로 추정되는 해킹을 당한 경험이 있으신지요?

고영환: 저 역시 수상한 전자우편들을 받아 본 적이 있고 한국 수사 당국으로부터 이것이 북한이 했을 가능성이 높다는 답변을 받기도 했습니다. 북한은 저 뿐만 아니라 탈북자들의 지능형손전화기에 있는 개인 정보들을 탈취하기 위해 카카오톡이라는 문자 전달 프로그램을 통한 해킹을 시도합니다. 가장 흔한 방법은 어떤 여성의 신분으로 위장해 카카오톡 문자를 보내고 해킹 프로그램을 설치하게 하여 지능형손전화기 안에 있는 탈북자들의 정보를 빼내가는 수법입니다. 지난해 말에는 탈북자들의 지역 정착 지원기관인 경북 하나센터의 탈북자 정보가 유출되는 해킹 사건이 발생하기도 했습니다. 한국 통일부는 이 사실을 해당 탈북자들에게 알리고 주의를 당부했습니다. 가상공간을 통해 다른 나라들의 돈을 탈취하고 비밀자료들도 빼내 가고 심지어 탈북자들의 정보까지 절취하는 행위들은 정말 용납하기 어려운 행위입니다.

목용재: 한국 내 보안 전문가들은 북한의 소행으로 추정되는 해킹이 점차 늘어나고 있다고 지적하고 있습니다. 한국과 미국, 국제사회 등이 북한의 해킹에 대해 어떻게 대응해야 한다고 보십니까?

고영환: 북한의 사이버위협을 적시한 ‘사이버외교 법안’이 지난달 7일 미국 하원 외교위원회를 통과했습니다. 법안은 ‘의회의 인식’ 조항에서 “미국 대통령은 법에 따라 북한 정부를 대신해 컴퓨터 네트워크 시스템을 이용해 해외의 개인, 정부, 단체, 기관 등을 상대로 사이버안보를 훼손하는 심각한 행위에 고의로 관여하는 모든 단체, 기관을 제재 대상으로 지정해야 한다”고 명시했습니다. 북한 정부를 대신해 사이버범죄를 벌이는 모든 개인과 기관을 제재해야 한다는 원칙을 재확인한 겁니다. 한국, 미국, 그리고 국제사회는 함께 북한의 해킹, 사이버전 능력을 평가하고 그들의 범죄가 명백히 드러나는 경우 해당 해커, 관련 조직, 그 상부기관들을 제재해야 합니다. 큰 테두리 안에서는 북한의 비핵화와 변화를 위해 북한의 ‘사이버 금융 범죄’를 막아야 할 것이다

목용재: 위원님의 말씀을 들어보니 북한이 세계 각국의 금융 기관을 해킹해 고강도의 대북제재를 견디고 있는 것 아닌가라는 생각도 듭니다. 특히 북한이 한국 정부를 해킹해 정보를 탈취하려고 지속적으로 시도하고 있는 것 같은데요. 남북이 모든 공간에서의 적대행위를 중단하자고 합의한 만큼 한국 정부가 북한의 해킹에 대해 명확하게 짚고 넘어갈 필요가 있어 보입니다. 오늘도 고영환 국가안보전략연구원 객원연구위원과 함께했습니다. 감사합니다.

고영환: 감사합니다.

댓글 달기

아래 양식으로 댓글을 작성해 주십시오. Comments are moderated.