외교부-美·구글 협력 강화, 北 불법 외화벌이 차단한다

우리 정부가 북한의 불법 외화벌이를 차단하기 위해 미국 재무부 및 구글과 협력을 강화한다. 앞서 앤 뉴버거 백악관 국가안보회의(NSC) 사이버·신기술 담당 부보좌관은 “북한은 암호화폐 인프라에 대한 수많은 사이버 공격 등과 같은 해킹으로 미사일 개발 자금의 30%를 충당하고 있다”고 밝힌 바 있다. 그만큼 북한의 해킹 전력은 우리나라의 안보와 관련이 깊다.

외교부, 美와 北 해킹 차단 공조 강화한다

14일 외교부에 따르면 김건 외교부 한반도평화교섭본부장은 지난 13일(현지 시각) 미국 재무부에서 브라이언 넬슨 테러·금융정보 차관과 면담을 갖고 북한 불법 자금 유입을 차단하기 위한 협력을 더욱 강화하기로 했다. 양측은 북한이 심각한 경제난을 겪으면서도 핵·미사일 개발을 지속할 수 있는 배경에 북한의 가상자산 탈취, IT 분야를 포함한 해외 노동자의 외화벌이 활동이 있었다는 데 인식을 함께한 것으로 알려졌다.

한미 양국은 지난 4월과 5월 북한의 불법 사이버 활동을 통한 외화벌이에 관여한 개인 및 기관을 대북 독자제재 대상으로 함께 지정하는 등 긴밀한 공조를 이어온 바 있다. 이에 양측은 앞으로도 국제사회와 민간으로 대북제재 협력을 확장해 나갈 필요성에 공감했다.

앞서 우리 정부는 지난 2일 북한 해킹 조직으로 알려진 ‘김수키(Kimsuku)’를 세계 최초로 대북 독자제재 대상에 올렸다. 이 같은 조치는 북한이 지난달 31일 위성 명목의 장거리 탄도미사일을 발사한 데 이어 조만간 재발사에 나서겠다고 밝힌 지 이틀 만에 이뤄졌다. 이와 관련해 한기호 국민의힘 의원은 “이번 조치의 핵심은 북한을 향해 미사일 2차 발사 등의 허튼짓을 하지 말라는 경고”라고 밝혔다.

北 해킹 피해 커, ‘핵 잠수함 프로젝트’ 자료도 해킹당해

북한 정찰총국은 제3국인 기술정찰국과 그 산하의 110연구소 등을 통해 점조직 형태의 해킹그룹을 지휘하는 것으로 파악된다. 해킹 그룹 라자루스(Lazarus)가 대표적이며, 김수키 역시 정찰총국 소속인 것으로 파악되고 있다. 김수키는 10여 년 전부터 한국은 물론 미국 등 서방국을 대상으로 전방위 사이버 공격을 시도해 왔다. 김수키는 유명인을 사칭해 우리나라 공공기관은 물론 가상화폐나 외교·안보 분야 전문가 정보 등을 노린 해킹 시도를 수차례 자행하기도 했다.

UN 보고서에 따르면 지난 2015년~2019년까지 북한이 35건 해킹으로 훔친 금액은 20억 달러(한화 약 2조4,400억원)에 달한다. 이와 관련해 임종인 고려대 정보보호대학원장은 “북한은 지난 2019년 가상화폐 거래소 ‘업비트’를 공격해 ‘이더리움’ 570억원어치를 빼돌렸다”며 “정황은 충분한 상황”이라고 목소리를 높이기도 했다.

북한 해커들에 의한 피해 정황은 이뿐만이 아니다. 우리나라 원자력연구원과 대우조선해양의 ‘핵 잠수함 프로젝트’ 자료 또한 북한 해커들에게 해킹당했다는 복수의 제보가 하태경 국민의힘 의원실로 들어온 것이다. 핵 잠수함은 6개월 이상 잠항해 미국 앞바다까지 갈 수 있는 만큼 미국 입장에선 제일 강력한 공격 수단이 될 수 있다. 즉 북한이 미국 본토를 직접 위협할 수 있는 핵심 기술을 노렸다는 의미다.

북한의 사이버 공격은 현재진행형이다. 보안 업체 ‘이스트시큐리티’에 따르면 북한 연계 해킹 조직의 소행으로 추정되는 사이버 공격은 최근에도 꾸준히 발견되고 있다. 지난달 22일엔 통일부를 사칭한 이메일 공격이, 24일에는 통일연구원을 사칭한 이메일 해킹 공격이 각각 발견됐는데 이는 ‘탈륨’ 또는 김수키 등 해킹 조직의 소행으로 추정됐다.

북한의 사이버 위협을 두고 사실상 ‘미사일 위협과 동일한 수준’이라는 평가도 나온다. 현재 북한의 사이버 공격은 정보 및 자금 갈취에 머물고 있다. 그러나 차후 삼성전자 반도체 공장이나 현대자동차 공장 등을 사이버 공격할 경우 우리나라는 속수무책으로 당할 수밖에 없다. 일각에선 “북한의 해킹 공격에 정부는 이상할 정도로 무능한 상황”이라며 “해킹을 당해도 당한 줄도 모르고 넘어가는 경우가 허다할 것”이라는 강도 높은 비판의 목소리가 나오기도 한다.

北, 이메일·피싱사이트로 ‘일반 국민’ 해킹 시도

국정원이 공개한 ‘2020~2022 발생한 북한 해킹조직으로부터의 사이버 공격 및 피해 통계’에 따르면 북한은 △보안프로그램의 약점을 뚫는 ‘취약점 악용’ 20% △특정사이트 접속 시 악성코드가 설치되는 ‘워터링 홀’ 3% △공급망 2% 등도 활용했지만 △이메일을 악용한 해킹 공격을 가장 많이(74%) 활용했다. 우리 국민 대부분이 사용하는 상용 메일을 공격한다는 것은 결국 북한이 우리 국민 전체를 대상으로 해킹 공격을 자행하고 있다는 의미다. 또한 외교안보 관계자 이외 ‘일반인’도 북한의 해킹 피해로부터 자유로울 수 없다는 의미기도 하다.

북한은 메일 수신자가 해당 메일을 별 의심 없이 열람할 수 있도록 유도하기 위해 ‘발신자명’과 ‘메일 제목’을 교묘하게 변형하고 있다. 북한은 메일 사용자들이 메일 발송자를 확인할 때 주로 ‘발신자명’을 보는 점에 착안해 해킹메일 유포 시 네이버·카카오(다음) 등 국내 포털사이트를 주로 사칭한 것으로 알려졌다. 실제 국내 포털사이트를 사칭하는 비율은 전체 사칭 해킹메일의 68%를 차지했다. 북한은 메일 발송자명을 ‘네이버’, ‘NAVER고객센터’, ‘Daum게임담당자’ 등 ‘포털사이트 관리자’인 것처럼 위장했다. 발신자 메일주소도 ‘naver’를 ‘navor’로, ‘daum’을 ‘daurn’로 표기하는 등 오인을 유도했다.

최근엔 우리 국민들이 폭넓게 이용하는 포털사이트 네이버를 실시간으로 복제한 ‘피싱사이트’를 개설해 해킹 시도를 벌인 정황이 포착되기도 했다. 국정원에 따르면 그간 북한은 단순히 네이버 로그인 페이지만 복제해 국내 사용자들의 로그인을 유도하고 ID와 비밀번호 등 개인정보를 탈취해 왔다. 그러나 이번에 국정원이 포착한 북한의 가짜 네이버 포털사이트는 실제 네이버 메인화면의 실시간 뉴스와 광고 배너 등을 완전히 복제한 모습이었다. 증권·부동산·뉴스 등 국민들이 자주 이용하는 세부 메뉴까지 동일했다. 북한의 공격 수법이 점차 진화하고 있다는 방증이다.

북한의 초국가적 사이버 공격은 기술과 규모의 양 차원에서 세계적 수준의 위협을 구사하고 있다. 실제 미국은 유럽과 공조해 북한의 사이버 위협에 대한 합동작전을 전개, 일정한 성과를 거둔 바 있다. 아울러 지난 2월 노르웨이 경찰의 경제·환경 범죄 수사기구인 ‘외코크림(Okokrim)’은 북한 해커 조직 라자루스와 연계된 가상자산 중 약 6,000만 노르웨이크로네(한화 약 76억원)를 압수했다. 미 FBI와의 합동 추적을 통해 큰 성과를 거둬낸 것이다. 우리나라 역시 국제적 사이버 범죄 대응의 강력한 기여국이 될 만한 역량을 이미 갖추고 있다.

북한의 사이버 공격 활성화는 곧 우리나라의 안보와 관련이 깊은 만큼 보다 적극적인 협력을 해나가야 할 때다. 초국가적 사이버 위협에 대응하는 일은 개별국 차원이 아닌 국가 간 신속하고 긴밀하고도 광범위한 공조를 통해서만 가능하다. 특히 현재까지 이어지고 있는 러시아-우크라이나 전쟁의 사이버전이 여실히 보여주고 있듯 전시 국가 간 연합 전투력은 기술적 협력 외에도 정보 공유 등 긴밀하게 결합되고 통합된 능력을 요구한다. 우리나라는 과거 인터폴 금융범죄 및 반부패센터(IFCACC)가 주도한 ‘해치3 작전(Operation HAECHIIII)’에서 총 30개국과 함께 긴밀한 협력 공조를 해본 경험이 있다. 이를 바탕으로 우리나라는 앞으로도 국가 간 긴밀한 공조를 통해 북한의 해킹 전력을 철저히 배제해 나갈 필요가 있다.