사이버 상에서 유명한 조직이 하나 있다. ‘안다니엘’이라고 북한의 전문 해커부대다. 금융범죄에 특화된 악명 높은 조직이다. 그러나 이뿐만 아니다. 북한에는 ‘김수키’, ‘라자루스’, ‘블루노로프’ 등 악명을 떨치는 세계 최고 수준의 해커부대가 즐비하다. 지난해 초 안다니엘은 국내 방산업체 수십 곳을 해킹해 1.2TB의 주요 기술자료를 탈취하며 유명해졌다.
이처럼 북한이 핵 개발은 물론 대량살상무기(WMD) 개발자금 조달을 위한 해킹기술을 고도화하면서 수 조원대 가상자산을 절취한 것으로 드러났다.
미국 재무부가 지난 7일(현지시간) 발표한 ‘2024 자금세탁·테러 자금 조달·확산 금융에 대한 국가별 리스크 평가 보고서’는 “북한이 대량살상무기(WMD)에 필요한 자금을 조달하기 위해 가상자산을 교묘하게 절취하고 있다”며 “가상자산 및 가상자산사업자(VASPs)에 대한 해킹, 랜섬웨어(컴퓨터·네트워크에 침입해 데이터를 암호화하거나 접근 차단 후 대가를 요구하는 악성 소프트웨어) 공격 등을 비롯해 법정 통화 및 가상자산에서 도둑질 해서 막대한 수입을 올리고 있다”고 평가했다.
北 악탈적 사이버 활동…IT인력 해외 파견
그렇다면 북한이 가상자산을 절취하는 규모는 얼마나 될까.
미 재무부는 지난해 8월 유엔 안전보장이사회(안보리) 대북제재위원회 전문가 패널은 안보리에 제출한 보고서를 인용해 “북한 해커들은 2022년 사이버 절도를 통해 17억 달러(약 2조2000억 원)의 가상자산을 조달하는 것으로 추정된다”고 발표했다 이는 기존의 기록을 넘어선 최대 규모다. 지난해는 10억 달러, 2021년은 4억2900만 달러로 3년간 총 31억2900만 달러(약 4조1700억 원)를 탈취했다.
그러면서 미 재무부는 “약탈적 사이버 활동을 지속하기 위해 IT 인력을 해외에 파견까지 한다”며 “신원을 숨기고 디지털 플랫폼에서 계약을 맺기 위해 사기수단을 사용한다”며 국적 등 신분을 숨긴 채 원거리 위장취업 하는 있다고 지적했다. 북한이 전 세계를 대상으로 사이버 공격을 통한 외화 벌이에 나서고 있는 평가가 나오는 이유다.
또 별도 공개한 자금세탁 위험 평가보고서에선 “북한이 러시아와 연계해 피난처를 제공받는 사이버범죄 조직이 최근 랜섬웨어 사건의 상당 부분을 차지한다”며 북·러 간 협작 사이버범죄가 급증하고 있다고 경고했다.
북한이 훔친 가상자산을 핵무기와 미사일 등 WMD 개발을 위한 자금원으로 활용하고 있다는 건 잘 알려진 사실이지만, 최근에는 해킹 분야가 확대되면서 대책 마련이 시급한 실정이다.
IT 전문가들은 “북한 해커들은 국제적으로 가상자산 및 다른 금융거래 수단을 겨냥한 공격에 계속 성공하고 있지만 각국이 이를 차단하기가 쉽지 않다”며 “최근에는 외국의 가상화폐를 비롯해 국방, 에너지, 보건 분야 회사들 등으로 표적을 늘리고 있다”고 평가했다.
지난해 12월 앤 뉴버거 백악관 국가안보회의(NSC) 사이버·신기술 부문 부보좌관은 정치전문매체 폴리티코와의 인터뷰에서 “북한의 사이버 공격 대응에 있어 미국의 최우선 순위는 가상자산 탈취(근절)에 있다”고 밝혔다.
특히 급성장세에 비해 규제가 사실상 전무하다시피 하고 보안이 취약한 가상자산 분야의 특성탓에 가상자산이 북한 해커들의 손쉬운 먹잇감이 되는 것은 물론 최근에는 약탈적 사이버 공격 대상이 증가하고 있다고 뉴버거 부보좌관은 우려했다.
이처럼 고도화되는 북한의 악의적 사이버 활동에 대한 미국 사이버 최고 지휘부의 인식은 위기감으로 상당히 격양된 모습이다.
북한은 지난 2006년부터 핵과 미사일 개발과 관련해 유엔 안보리 제재를 받고 있다. 또 한국과 미국, 일본 3국은 북한의 가상자산 해킹 등을 막기위해 3자협력체를 가동하고 있다. 이런 탓에 북한의 해커부대 소속 IT 인력은 신분을 숨긴 채 해외로 나가 활동하는 변형된 활동을 펼치고 있다.
北 최근 6년간 58건 해킹…4조원 도둑질
미국 정부도 북한의 IT 기술자들이 국적 등 신분을 숨긴 채 원거리 위장 취업을 하고 있다며 국제사회의 주의를 당부한 바 있다. 그 연장선으로 북한의 사이버 해킹 행위에 대한 제재도 꾸준히 단행해 왔다. 대표적으로 북한의 정찰위성 발사에 대응해 해킹조직 ‘김수키’를 비롯한 북한 국적자 8명을 제재 대상에 추가했다.
최근엔 미 FBI가 수배 전단을 공개했다. 북한인 심현섭이 주인공이다. 현상금이 무려 5백만 달러다. 우리 돈 66억 여 원에 이른다. 북한 해커들이 벌어들인 외화를 북한으로 송금한 혐의다. 북한 무역은행인 광선은행에 소속된 심현섭은 중국에서 5년 근무한 뒤 두바이로 근거지를 옮겨 자금 세탁 업무를 담당한 것으로 알려졌다.
그는 해킹을 통해 탈취한 가상화폐를 중동과 중국에서 두 차례 세탁한 뒤 북한으로 보냈다고 한다. 이런 배경에는 국제 사회의 제재로 북한이 국제 은행 간 통신협회의 금융거래망, 이른바 ‘스위프트’를 쓰지 못하게 되자 해킹한 돈을 비밀리에 현금화해 북한에 직접 전달할 수 밖에 없기 때문이다.
미 재무부는 이 같은 방식으로 북한은 최근 6년간 58건의 해킹을 통해 무려 30억 달러 이상, 우리 돈 4조 원 넘게 챙겨 북한으로 송금했다고 보고 있다. 무엇보다 이 자금은 고스란히 북한의 핵, 미사일 개발 자금으로 흘러간 것으로 추정된다는 점에서 심각한 문제라는 게 미 재무부의 판단이다.
국내에서도 북한의 해커 부대의 사이버 테러는 끊이지 않고 있다. 지난 1월말 국가정보원은 국내 공공기관에 대한 해킹의 80%가 북한 소행이라고 밝혔다. 국정원에 따르면 작년 한 해 국내 공공분야를 대상으로 하루 평균 162만여 건에 달하는 해킹 시도가 있었다.
해킹 대상도 국내 공공기관을 비롯해 농업 기술과 방산업체 무기 제조기술 탈취에 이르기까지 그 범위가 넓고, 뚫려선 안 될 곳들까지 무방비로 당하고 있어 심각하다고 지적했다.
특히 북한의 해킹 범죄는 공격 대상과 목표를 김정은 국무위원장이 직접 찍어 주는 주범으로 진두지휘하고 있다는 게 국정원의 설명이다.
실제 공격 목표가 김정은 지시에 따라 그때그때 변경한 것으로 파악됐다. 지난해 초 북한이 식량난에 처했을 때는 국내 농수산 연구기관에 집중했다가 해군력 강화를 언급한 작년 8∼9월 이후에는 국내 조선업체를 해킹해 도면과 설계 자료를 빼내 간 것으로 파악됐다.
방위산업 공격, 항공 분야 25% 가장 많아
또 10월에 김정은이 드론과 무인기 생산 강화를 지시한 뒤에는 국내·외 기업과 관련 사이트들에서 무인기 엔진 자료를 해킹했다.
뿐만 아니라 국내 행정시스템을 마비시키고 은행 등 금융기관에 해킹 공격을 극대화하여 시스템 파괴와 접속을 통해 남한 사회 혼란을 야기하는 식으로 극렬한 사이버 공격도 감행하고 있다고 국정원은 지적했다.
북한은 우방국인 러시아 방산업체를 대상으로도 수차례 해킹을 시도했다. 국정원은 북한이 최근 4년간(2020~2023년) 우리나라 및 러시아를 포함한 최소 25개국 대상 방산 분야를 공격한 사실을 확인했다. 국정원 관계자는 “북한이 개발한 전차 및 지대공 미사일 등이 러시아산과 매우 유사하다”며 “절취한 설계도면 등의 자료를 무기 개발에 활용한 것으로 보인다. 피아 구분이 없는 모습을 보인다”고 말했다. 북한의 방산 산업 공격 시도 중 항공 분야가 25%로 가장 큰 비중을 차지했다. 전차(17%)·위성(16%)·함정(11%) 분야가 그 뒤를 이었다.
그렇다면 북한의 해커 부대 규모는 얼마나 될까. 국방부가 2020년 12월 발행한 국방백서에 따르면 북한은 6800여 명의 사이버전 인력을 운영하고 있다. 미국과 중국, 러시아, 이스라엘에 이어 세계 5위 수준이다. 전문가들은 정예 요원을 보좌하는 차세대 핵심 인력까지 포함하면 1만 2000명에 달하는 것으로 관측하고 있다. 북한 해커들은 대부분 정찰총국 제3·5국, 인민무력부 총참모부, 국가보위성 제4·6국에 소속돼 6~7개 조직이 활동하고 있다.
무엇보다 최신 기술에 대한 연구 개발을 지속하는 등 사이버 전력 증강을 위해 계속 노력도 지속하고 있다는 점이다. 이와 관련 미국 백악관 고위당국자는 북한이 약탈적 사이버 공격, 즉 해킹에 나서는데 있어 최근에 신기술을 적극적으로 적용하고 있어 대책 마련이 필요하다고 지적했다.
이 당국자는 워싱턴포스트(WP) 주최로 열린 ‘인공지능(AI)의 부상’ 주제의 대담에서 “역설적이게도 북한은 신흥 기술을 이용하는 데 있어 가장 창의적이고 혁신적인 무리 가운데 하나”라고 밝히기도 했다.
북한의 해커 부대는 김정은 국무위원장이 직접 규정한 3대 전쟁수단의 하나다. 핵과 미사일 그리고 사이버전을 북한 인민국의 무자비한 타격 능력을 담보하는 ‘만능 보검’이라고 강조한 바 있다.
해커 부대의 핵심은 북한 정찰총국이다. 김수키·라자루스·안다리엘 같은 악명 높은 해커 그룹을 점조직으로 운영하고 있다. 이들이 세계 금융회사와 암호화폐거래소에서 수조원의 돈을 털고, 한국의 원전 기술도 빼가고 있다는 것은 공공연한 사실이다. 반면 이에 맞설 우리 국방부 사이버작전사령부 인원은 1000여 명에 그치고 있다.
북한의 정찰총국 산하에는 라자루스 외에도 블루노로프, 안다리엘, 김수키 등 세계 최고 수준의 해킹 능력을 갖춘 해커조직들도 있다. 이들은 중국, 러시아, 인도, 말레이시아 등지에서 활동 중이다. 북한 해커조직의 주된 임무는 가상화폐 탈취 통한 외화벌이를 비롯해 군사외교 기밀 수집, 대남공작 활동, 가짜뉴스로 사회 혼란 초래 등 다양하다.
폭스뉴스 “北 사이버전사 3만명 CIA 능가”
북한 해커들은 대부분 정찰총국 제3·5국, 인민무력부 총참모부, 국가보위성 제4·6국에 소속돼 6~7개 조직이 활동하고 있는 것으로 전문가들은 추정하고 있다. 공격 대상과 목적에 따라 해킹조직을 세분화한 구조라는 평가다. 예컨대 국가보위성 소속 해커들은 탈북자를 겨냥한 악성코드를 제작해 이들의 정보를 수집한다.
북한 해커부대의 사이버전 능력은 어느 정도일까. 규모 면에서 살펴보면 북한 해커들의 수가 확실하게 밝혀진 것이 없지만, 미국 폭스뉴스 보도에 따르면 북한의 사이버전사가 3만명에 달하며 수준이 CIA를 능가한 것으로 전해졌다. 전문가들은 3만 명은 다소 과장됐고 실제로는 대략 3000~4000명 사이로 정예 요원이 모든 사이버 범죄를 주도할 것으로 추정하고 있다.