올해 들어 북한이 연초부터 7차례에 걸쳐서 미사일을 발사하며 무력시위를 하고 있는 가운데, 이 같은 무력시위보다 더 무서운 것이 바로 사이버 공간상의 북한 해킹이라는 지적이 나온다. 북한의 미사일 발사는 핵무기 과시용이란 정치적 측면이 크지만 북한의 사이버 해킹은 이미 국내외에 전방위적으로 퍼져 있어서 각종 국가 안보상의 기밀을 탈취하고, 심지어 가상화폐 거래소 탈취를 통한 금전적 이득까지 보고 있기 때문이다. 전문가들은 북한 해킹이 우리 사회에 이미 만연해 있으며 날이 갈수록 수법이 진화하고 있다고 말한다. 북한 해킹의 실태를 정확히 알고 이에 대한 경각심을 가져야 한다고도 조언한다.
▶해킹으로 지난해 5000억원 얻은 북한
미국의 블록체인 분석업체 체이널리시스는 최근 보고서를 통해 “북한이 지난해만 약 4억달러(약 5000억원)에 달하는 가상화폐를 해킹했다”고 밝혔다. 보고서에 따르면 북한이 연루된 해킹 건수는 2020년 4건에서 지난해 총 7건으로 늘었다. 북한은 주로 피싱 유인, 코드 공격, 멀웨어, 발전된 형태의 소셜 엔지니어링 등을 이용해 투자기업과 중앙화 거래소를 공격해 북한이 통제하는 주소로 자금을 빼돌렸다. 보고서는 북한이 가상화폐 거래소에서 알트코인과 이더리움, 비트코인 등 여러 코인을 섞어서 세탁을 하고 있으며, 사용자 정보를 추적하지 않는 ‘디파이 플랫폼’을 주로 이용하고 있다고 적시했다. 물론 북한 외무성은 이 같은 보고서에 대해서 거짓 사이버 공격설을 퍼뜨리고 있다고 미국을 맹비난했다.
북한의 부인에도 불구하고 북한의 해킹엔 유구한 역사가 있다. 전문가들은 북한의 사이버 해킹 시발점을 2009년 2월 정찰총국이 만들어졌을 때부터라고 본다. 김영철 통일전선부장이 국장을 맡았던 정찰총국은 대남·해외 공작을 총괄하는 부서다. 이전까지 북한의 정보 수집 및 외화 벌이의 주요 창구였던 마약과 성매매, 무기 밀매, 근로자 파견 등이 국제사회 제재로 연이어 막히면서 대남·해외 공작을 전담으로 하는 부서가 만들어졌고, 정찰총국 6개 가운데 하나인 ‘121국(사이버전지도국)’에서 해킹을 담당하게 됐다.
‘김수키’ ‘라자루스’ ‘블루노로프’ ‘안다리엘’ 등이 바로 정찰총국 내 북한 해커조직 별칭이다. 2020년 국방백서에서는 북한 정부에 소속된 사이버 해커가 약 6800명으로 2013년(3000명)에 비해 2배 이상 증가했다고 적시됐다. 보안업계에서는 핵심 인력인 ‘슈퍼브레인’ 수십 명이 일상적으로 해킹을 하고, 나머지 수천 명의 요원이 해커가 수집한 정보를 분석하는 형태로 움직이고 있다고 추정하고 있다. 정찰총국 소속 사이버 해커들은 그동안 국내외적으로 존재감을 과시해왔다. 국내에서는 2009년 7월 7일 이른바 ‘7·7 디도스 공격(대한민국·미국 주요 정부기관, 은행 등을 공격)’이 시발점이었다.
이후 2011년 4월 농협 전산망 마비, 2013년 발생한 6·25 사이버테러(당시 청와대 홈페이지에 ‘통일 대통령 김정은 장군님 만세!’ 문구 노출)가 대표적인 예다. 6·25 사이버테러는 국내 해커들도 북한 사이트에 대한 해킹을 시도해 ‘첫 사이버전’이란 평가를 받는다.
2019년 10월 태영호 전 영국 주재 북한공사(현 국민의힘 의원)가 스마트폰 해킹을 당해 카카오톡·문자 내용을 탈취당한 것도 유명한 해킹 사례다.
해외 공격 사례도 즐비하다. 2014년 북한 체제를 조롱한 영화 <인터뷰>를 제작한 미국 소니픽처스를 해킹한 것, 2016년 방글라데시 중앙은행 해킹(8100만달러 절취), 2017년 랜섬웨어 ‘워너크라이’ 유포, 2019년 인도 현금인출기 공격 등이 대표적이다.
이 중 방글라데시 중앙은행 해킹 사건이 가장 유명하다.
BBC 보도에 따르면, 방글라데시 중앙은행 해킹 사건은 1년 여간의 치밀한 준비 끝에 이뤄졌다. 북한 해킹그룹은 1년 전 이메일 공격을 통해서 이미 방글라데시 중앙은행 내부자 계정을 얻게 됐고, 1년간 내부자가 어떻게 일하는지를 파악했다. 해킹을 통해 얻은 돈을 필리핀 마닐라에 미리 마련해둔 계좌에 넘기기 위한 사전 준비도 했다. 이 같은 치밀한 준비 이후 방글라데시 연휴 기간을 앞둔 2016년 2월 4일 오후 8시(방글라데시 현지시간 기준·목요일 밤)에 방글라데시 중앙은행 컴퓨터에 접속해 연준(미국 중앙은행)에 있는 방글라데시 계좌 총 10억달러(약 1조2000억원)의 돈을 빼돌리려 했다.
다만 다행히도 이 같은 해킹을 통한 거래는 연준 단계에서 거의 막혔고, 해커들 손에 들어간 건은 8000만달러(약 1000억원) 정도였다. 미국 재무부 해외자산통제국(OFAC)은 지난 2019년 북한의 3대 사이버 해킹 그룹을 발표하며 “블루노르프(해킹조직)가 방글라데시 중앙은행에서 8000만달러를 빼낸 것을 비롯, 주로 외국 금융기관을 해킹해왔다”고 밝혔다. 북한의 주요 해킹 대상은 은행과 가상화폐 거래소 등 경제 관련 기관 혹은 청와대, 방위사업체 및 외교·안보·국방 정부 고위직 인사 등 국가안보와 관련된 곳이다.
▶북한이 단골로 쓰는 해킹 ‘5대 수법’ 있다
북한의 해킹 시도는 국내외에 전방위적으로 퍼져 있어서 그동안 드러난 사실은 ‘빙산의 일각’이란 게 보안업계의 시각이다. 공공부문·은행 등 주요 대상을 향한 해킹 시도만 드러날 뿐 민간에 얼마나 해킹을 시도했는지 파악조차 안 되기 때문이다. 북한발 해킹 전문가인 문종현 이스트시큐리티 ESRC 센터장은 이 같은 북한의 해킹 흐름에 대해 “5가지로 요약할 수 있다”고 설명했다. 가장 많이 사용되는 해킹 수법은 이메일 스피어피싱(Spear Phishing)이다.
주고받는 메일에 악성코드를 심어놔서 해당 메일을 열면 감염되게 하는 고전적 수법이다. 다만 이 수법도 최근에 진화했다. 워낙 이메일을 통한 해킹 시도가 많자 정부 고위당국자들이 ‘낚시성 이메일’을 거르는 사례가 많아졌다. 이에 북한 해커들은 고위 당국자와 교류하는 A라는 지인의 메일을 사전에 해킹해 A가 고위 당국자에게 보내는 메일을 ‘전송 취소’시키고 다시 똑같은 내용에다가 악성코드를 심은 ‘첨부파일’을 붙여 보내는 치밀함을 보이고 있다. 문 센터장은 “이 경우 고위 당국자가 지인에게 이메일 전송 여부를 사전에 확인하더라도 결국 악성코드에 감염될 수밖에 없는 것”이라고 설명했다.
두 번째 수법은 워터링홀(Watering Hole) 공격이다. 해킹 목표 대상자가 자주 방문하는 사이트에 악성코드를 심어놓아서 이들이 해당 사이트를 방문할 때 감염시키는 방식이다. 웹서핑을 한 번만 해도 자신이 모르는 사이에 악성코드에 감염되기 때문에 대응하기가 어렵다. 보안업계에서는 이 때문에 “웹사이트 보안 자체를 강화해야 한다”는 목소리가 커지고 있다.
세 번째 수법은 공급망 공격(Supply Chain Attack)이다. 소프트웨어의 여러 공급망 단계를 노리는 식이다. 이를테면 북한은 2020년 지자체와 지방교육청 등 공공기관에 주차요금 정산 서비스를 제공하는 B업체를 해킹한 바 있다. 공공부문과 접점에 있는 ‘얕은 단계’를 먼저 해킹해서 본체(공공부문)에 침투하는 전략이다.
네 번째 수법은 개인 사회관계망서비스(SNS) 공격이다. 고위 당국자의 페이스북, 트위터, 카카오톡 등 SNS가 해킹 타깃이다. 문 센터장은 “아름다은 여성 프로필로 위장해서 미인계를 쓴다든지 혹은 학생인 척 위장해 외교안보 쪽 공부를 하고 싶다고 하면서 국가안보를 담당하는 고위직 인사에게 접근하는 경우가 많다”고 설명했다.
마지막은 스마트폰 단말기 해킹이다. 주로 개방성을 무기로 한 안드로이드 기반 스마트폰이 해킹 타깃으로, 스마트폰 자체를 해킹해서 도청을 전개하는 식이다. 통화 녹취, GPS 위치 추적, 카메라 해킹 등이 가능하다. 고위급 탈북자인 태영호 의원이 북한 해커로부터 이 같은 방식의 스마트폰 해킹을 당한 바 있다.
더 큰 문제는 사물인터넷(IoT) 등으로 전자기기, 자율주행차 등 사물이 연결되면서 해커들의 공격 대상이 광범위하게 넓어지고 있다는 점에 있다. 국정원 역시 지난해 사이버 위협 현황을 서술하며 “IT 제품의 취약점을 악용해 기관 내부에 침투하는 공급망 공격이 증가했다”고 평했다. 아직까지 북한과의 접점은 없지만 최근 연이어 발생한 아파트 월패드 해킹, CCTV·무선공유기 등 IoT 기기를 통한 공공기관 해킹 시도 등에 북한이 적극 나설 수 있다는 것이다. 보안업계에선 “일반인의 개인 비밀정보를 탈취해 약점을 잡은 뒤 이를 이용해 일반인을 간첩으로 활용할 수 있다”는 가능성도 제시된다.
실제로 국정원은 지난 1월 19일 보도자료를 배포하며 IoT 기기를 통한 해킹 가능성을 언급했다. 국정원에 따르면, 국내외 IoT 장비 1만1700여 대(국내 100여 대·해외 1만1600여 대)가 악성코드 ‘Mozi봇넷’에 감염돼 국내 공공기관에 대한 해킹 혹은 접속을 시도했다. 감염된 일부 장비는 가상화폐 채굴용 악성코드 유포를 위한 경유지로 활용됐다. 이번에 Mozi봇넷에 감염된 IoT 장비는 유·무선 공유기, CCTV, 영상녹화장비, PC 일체형 광고 모니터 등이다. 국정원이 지난해 12월 러시아 침해사고대응팀에서 “한국 IP 주소를 경유한 해킹 시도가 있다”는 정보를 넘겨받아 현장 조사를 실시한 결과 이를 발견했다.
국정원 측은 “감염된 일부 장비는 가상화폐 채굴용 악성코드 유포를 위한 경유지로 활용되고 있다”고 설명했다. 이영학 파이오링크 침해대응센터 과장은 “HTTP 하이재킹(정상 인증된 세션을 가로채는 행위), MITM(네트워크 통신을 중간에서 조작해 통신 내용을 도청하는 기법) 등으로 Mozi봇넷이 IoT 장비에 침투한다”며 “디지털 광고판 서버에 악성코드가 침투한 행위가 최근 발견되기도 했다”고 설명했다.
▶국가사이버안보청 신설 시급
국정원은 북한 등에서 비롯된 사이버 위협에 대응하기 위해 공공부문 및 주요 IT 기업 전산망의 보안진단을 실시하고 IT 제품에 대한 보안 인증, 사이버 안보 교육 등에 나서고 있다. SK텔레콤·KT·LG유플러스 등 통신 3사는 양자암호 등 신암호 체계를 개발하며 보안 요구에 부응하고 있다.
안랩·파수·이스트시큐리티·라온시큐어 등 민간 분야 보안업체들도 해킹 시도들을 일상적으로 모니터링하고 보안 패키지를 주기적으로 업데이트하며 대응하고 있다. 하지만 갈수록 고도화되는 북한 해커들의 조직적 움직임을 파악하기엔 아직 역부족이란 평이다. 이 분야 권위자로 꼽히는 문 센터장은 “국정원 국가사이버안보센터는 공공기관을 잘 대응해 주고 있어서 큰 문제는 없지만, 북한이 민간 대상 공격을 집중적으로 하고 있어 민간 분야의 별도 조직인 국가사이버안보청 설립이 필요하다”고 밝혔다.
국정원은 올해 북한의 주요 해킹 대상으로 4가지를 꼽았다. 국정원은 최근 ‘2021 사이버안보센터 연례보고서’를 발간하며 ▲대선 관련 안보현안·정부정책 정보 ▲주요 사회기반시설·정보기술(IT) 인프라 ▲민간·공공 클라우드 ▲바이오·방산 등 첨단산업 및 신기술정보 등이 올해 국가 배후 해킹조직의 주요 공격 대상이 될 것으로 내다봤다.
결국 북한 해킹을 방비하기 위해서는 기관과 개인 모두 노력을 해야 한다는 의견이 나온다. 기관의 경우 보안 소프트웨어 업데이트를 주기적으로 하고, 특히 국가기밀을 관장하는 사람은 이메일 공격 등을 당하지 않도록 노력해야 한다. 각 기관별로 북한 해킹 피해를 실시간으로 공유하며 진화하는 수법에 대해 대응해야 한다.
아울러 개인은 스마트폰이나 월패드 등서 해킹에 노출될 수 있다. 따라서 스마트폰용 백신 프로그램을 설치하고 주기적으로 업데이트하는 것이 중요하다. 특히 보이스피싱이 의심되는 문자 등은 아예 안 열어보는 것이 좋다. 아울러 자신이 사용하는 스마트폰 IoT 기기를 처음 사면 꼭 추측 가능하지 않은 비밀번호를 설정하는 것이 좋다. 비밀번호를 설정하지 않거나, 1234와 같은 단순한 비밀번호를 설정할 경우 해커들의 타깃이 될 수 있기 때문이다.
스미싱 의심 문자를 수신했거나 악성코드 감염 등이 의심되는 경우 불법스팸대응센터(국번 없이 118·한국인터넷진흥원)에 신고하면 다른 사람에게 유사한 내용의 스미싱을 발송하는 등의 2차 피해를 예방할 수 있다. 또 악성코드 제거 방법 등을 24시간 무료로 상담받을 수 있다.