특종.심층취재

Home>월간중앙>특종.심층취재

[심층취재] 진화하는 북한의 외화벌이, 가상자산 절취 대책 없나 

북한 금융 해킹 기술 세계 최고 수준… 가상화폐는 물론 NFT·메타버스도 노린다 

이승훈 월간중앙 기자
국내 사이버 테러 하루 평균 118만여 건 추산, 북한 연계 조직 55.6%, 중국 4.7% 달해
북한, 다크웹·방탄호스팅 서버 활용해 추적 회피… 악성코드 모방하고 인공지능까지 활용


▎2022년 북한의 해외 가상자산 탈취 피해액이 8000억원에 이르는 가운데 국내 공공·금융기관 해킹 및 정보 절취 시도가 밤낮으로 이어지고 있다. / 사진:getty images bank
사이버전(戰)은 전쟁이나 물리적 충돌과 달리 공공·금융·의료·기술 등 다양한 방면에서 시공간을 가리지 않고 전방위적으로 행해지기 때문에 대응하기가 까다롭다. 갈수록 고도화하는 해킹 수법에 대응하기 위해서는 자국을 지킬 사이버 역량을 키우는 수밖에 없다. 정보기관에 따르면, 2005년 이후로 전 세계 총 34개국이 사이버 공격을 후원한 것으로 추정된다. 이들 가운데 중국·러시아·이란·북한 이 네 나라가 의심되는 모든 공격의 77%를 후원한 것으로 알려진다. 그야말로 전 지구적으로 총성 없는 전쟁이 벌어지고 있는 셈이다.

최근에 북한이 가장 열을 올리는 분야는 비트코인 등 가상자산의 절취다. 2022년 해외에서 북한의 사이버 공격으로 인한 가상자산 피해액만 8000억 규모에 달하는 것으로 알려진다. 한국도 결코 안전하지 않다. 정보기관에 따르면 국내 대표적 플랫폼 기업인 카카오를 비롯해 외교·안보 담당 관료나 교수들의 PC가 해킹의 타깃이 되고 있다. 국내에서만 하루 평균 118만여 건씩 사이버 공격이 자행되고 있는데, 북한과 연계 조직이 55.6%, 중국에서의 공격이 4.7%에 달한다고 한다. 국가정보원이 적극적 대응에 나서는 것도 그 때문이다. 백종옥 국정원 3차장은 최근 “민·관·군의 사이버 대응 역량을 결집하고 국제 공조를 강화해 대한민국 사이버 안전을 지켜내야 한다”며 수세적인 대응 체계에서 벗어나 적극적으로 사이버 테러에 대처해나갈 것이라고 밝혔다.

“북한, 가상자산 탈취해 핵 개발 자금으로 사용”


▎가상자산 탈취를 비롯한 북한의 사이버 공격에 대응하기 위해 나라마다 국제적인 공세를 강화하는 추세다. 사진은 ‘북한 암호화폐 탈취 대응 한미 공동 민관 심포지엄’에서 인사말하는 김건 한반도평화 교섭본부장. / 사진:연합뉴스
북한이 사이버전에 몰두하는 데는 이유가 다 있다. 북한은 2015~2016년 자행한 제4차 핵실험으로 인해 국제사회에서 강도 높은 수준의 경제제재를 받았다. 2020년 이후 신종 코로나바이러스 감염증(코로나19)이 창궐해 국경봉쇄까지 이뤄지자 북한 경제는 심각한 타격을 입는다. 이러한 상황에서 기존 북한의 외화벌이 수단의 대체재로 떠오른 것이 바로 가상자산 절취다. 기존 금융체계에 대한 해킹의 경우 시스템 침투 이후에도 돈세탁 과정을 비롯해 매우 복잡한 작업이 필요하지만, 가상화폐 시장은 이에 비해 훨씬 용이한 것으로 알려진다. 2022년 개최된 ‘사이버안보 국제학술회의(GCPR)’ 자료에 따르면, 북한은 해외에서 훔친 가상화폐를 중국 소재 비상장 가상화폐 거래소들을 통해 실물 화폐로 바꾸고, 이 자금을 핵무기 및 미사일 프로그램 개발 비용으로 사용하는 것으로 추정된다. 이와 관련해 앤 뉴버거 미국 백악관 사이버신기술 담당 부보좌관은 “북한이 탈취한 금액의 3분의 1 이상을 미사일 프로그램 지원에 사용하는 것으로 추정하고 있다"고 말한 바 있다.

북한은 가상자산을 해킹하면서 해커들 간 거래를 통해 익명성을 강화하는 ‘믹서 서비스’를 적극 활용하고 있는 것으로 파악된다. 집행기관들이 콜로니얼 파이프라인 사태(미국 최대 송유관 관리업체가 랜섬웨어 공격을 받아 가스 공급이 중단된 사례) 당시 암호화폐를 추적해 탈취 자산을 회수하자, 해커들은 서로 다른 암호화폐로 변환하고 추가 거래함으로써 추적을 힘들게 한 바 있다.

북한이 사이버전에서 뛰어난 역량을 보이는 것은 북한 정찰총국 산하 모란봉대학 등 국가적 차원에서 사이버 인재를 육성하고 있기 때문이다. 실제 국가사이버파워지수(National Cyber Power Index) 2022 외부 평가에서는 북한의 금융 해킹 기술을 두고 세계 최고라 평가하고 있다. 때문에 북한 대학에서 해킹 관련 학과는 인기가 높다. 국내에서는 공부를 잘하면 의과대학으로 진학하지만 북한에서는 해커 육성 관련 학과로 진학할 정도다. 그만큼 해외 출입도 자유롭고 경제적인 보상이나 사회적 지위가 보장된다.

국정원에 따르면, 북한의 해킹 수법은 암호화폐를 비롯한 탈중앙화 가상자산(DeFi) 등 신금융서비스를 집중 공략하는 한편, 플랫폼 기업·중소 의료기관을 노린 랜섬웨어 유포와 데이터 공개 협박 등 다양하다. 북한은 이미 2009년부터 원격작업 프로그램이나 PDF 리더와 같은 문서 변환 소프트웨어 프로그램 설치 유도 등으로 적성국의 정치, 경제, 군사 정보를 수집해왔다. 국내 안보부처·연구기관을 사칭해 해킹 메일을 유포하는 식으로 해킹을 시도한 사례도 다수 발견됐는데, IT솔루션의 보안 취약점을 악용하는 사례도 빈번했다. 국정원 관계자는 “북한이 일대일로(一带一路) 정책 등 관련국 외교 안보와 정보 절취를 목적으로 하는 공급망 서버 공격 외에도, 생명·우주 등 최첨단 기술 절취를 시도해 긴급 차단한 바 있다”라고 밝혔다.

북한의 해킹 방식도 진화하고 있다. 초기인 2017~2018년에는 해외의 가상화폐 거래소를 직접 해킹하는 식이었다. 인터넷에 취약점이 노출된 운영 서버를 해킹해 거래 서버에 직접 접근하거나, 거래소 임직원에게 해킹 메일을 보내 내부 PC를 점거한 후 내부망 메인 서버에 접근했다. 그러고는 점거한 PC에서 추출한 다량의 개인정보를 외부로 공개하겠다고 협박해 몸값을 요구했다. 다량의 가상자산을 보유한 회원을 선별해 추가 공격에 활용하기도 했다. 실제 국정원은 2018년 2월경 북한이 이 같은 방식으로 일부 국내 거래소에서 수백억원 상당의 가상화폐를 탈취했다고 밝힌 바 있다.

국내 대기업 S사도 2TB가량 내부 문서 탈취당해


▎한국도 다양한 대회를 개최해 화이트해커를 육성하는 등 사이버 공격에 대응하기 위한 준비를 하고 있다. 사진은 2022년 10월 13일 UAE 두바이에서 열린 세계 해킹방어대회 시상식. 선린인터넷고 이서준 학생(앞 왼쪽에서 두 번째)이 대상을 받았다.
이러한 고전적 수법은 2022년에도 이어지고 있다. 지난해 3월 23일 유명 게임 ‘엑시 인피니티’를 출시한 베트남의 비디오 게임사 스카이마비스에서 7700억원 규모의 가상자산이 도난당하는 사건이 발생했다. 엑시 인피니티는 가상화폐 이더리움(국내 4대 거래소 상장) 기반 수집형 게임으로, 게임을 진행하면서 보상으로 코인을 받도록 설계된 ‘돈 버는 게임’의 시초 격이다. 이 스카이마비스의 사내 탈중앙화 금융시스템 ‘로닌네트워크’가 해킹당한 것이다. 탈취당한 7700억원 중 1100억원가량이 북한 해커그룹 ‘라자루스(Lazarus)’ 가상자산 지갑으로 이동한 것이 확인됐다. 2022년 5월경에는 미국의 블록체인기업 ‘Harmony’가 암호화폐 1억 달러(약 1300억원)를 도난당했다. 조사 결과 북한이 피해액 중 41%를 거래 추적 은폐 서비스 ‘토네이도 캐시 믹서’로 보낸 것이 확인됐다. 북한은 이후 8월에 가상화폐기업 ‘노마드’를 탈취해 자금세탁까지 완료했다.

국내 굴지의 대기업도 북한 해커들의 타깃이 됐다. 2022년 9월 대기업 S사에서 탈취한 것으로 파악된 2TB가량의 자료를 서비스형 랜섬웨어인 ‘Lo ckBit 3.0’이 자신들의 홈페이지에 업로드하는 사건이 발생했다. 탈취한 데이터에는 S사 임직원 PC의 폴더 캡처, 품의문 등 내부 문서 등이 포함돼 있었고, 이 파일들은 다운로드도 가능했다. LockBit 3.0은 북한과 관련 있는 것으로 알려진 비너스락커(VenusLocker) 랜섬웨어 그룹이 사용하는 것으로 알려져 있다. 이와 관련해 사이버 보안 업체 Trellix는 “북한은 신종 랜섬웨어 4종을 유포하며 전 세계를 대상으로 가상자산 탈취를 꾸준히 이어오고 있다”고 발표한 바 있다. 국정원에 따르면, 최근에는 입사지원서를 위장한 한글(HWP) 파일 형태로도 유포되고 있어 개인과 기업의 각별한 주의가 요구된다.

피해 사례가 수집되고 디지털 추적을 당하게 되자, 북한은 이를 회피하기 위해 다크웹·방탄호스팅 서버를 활용하기 시작했다. 타 해커조직의 악성코드를 모방하거나 인공지능 기술을 적용한 해킹 도구까지 등장했다. 다크웹에서는 범용 템플릿 툴을 만들어 파는 경우가 많은데, 해커들은 신상을 숨기기 위해 이를 구입해 변형시켜 활용하는 방법으로 공격 주체를 흐리게 만든다. 링크드인(Linkedin)과 같은 전문가 네트워크에 채용 모집 정보를 게시해 해당 사이트의 유저와 일종의 신뢰 관계를 구축하고, 이후 왓츠앱(WhatsApp) 등의 소셜네트워크서비스(SNS)를 활용해 백도어가 숨겨진 문서를 공유하는 수법을 활용하기도 한다. 국정원 관계자는 “경제 제재로 북한 사람은 해외에서 거래가 되지 않기 때문에 대부분이 중국인 등으로 신분을 위장한다”며 국정원에서 유사한 활동 방식과 위협을 국내에서도 감지해 차단한 바 있다고 말했다. 그는 “북한의 최근 해킹 사례로 미뤄봤을 때 가상화폐를 탈취할 수 있는 플랫폼인 NFT·메타버스에도 충분히 관심을 기울이고 있을 것”이라고 바라봤다.

북한의 가장자산 해킹은 지금까지는 주로 해외에서 행해지고 있다. 국정원 관계자는 2022년에 국내에서 가상자산을 절취당한 사례는 없는 것으로 파악하고 있다고 말했다. 그 이유로 “국내에서는 특정 금융거래법에 따라 가상자산 거래가 실명제로 바뀌어 보안이 강화됐기 때문”이라고 답했다. 그럼에도 국내의 공공 및 금융보안은 사이버 공격에 취약한 상황인 것으로 파악된다. 블록체인 전문가들이 북한을 ‘크립토 슈퍼강자(crypto superpower)’라고 묘사할 정도로 해킹 기술이 정밀화되고 고도화된 반면, 한국의 사이버 위기대응 체계는 민·관·군이 각각 분절적으로 대처해온 데다 수세적 차원의 대응 체계를 유지해왔기 때문이다. 국내 가상자산 시장 규모가 커지면서 북한의 국내 해킹도 현실화할 가능성이 커졌다.

국정원, 사이버 위협에 국정원법 개정 추진


국정원도 발빠르게 움직이고 있다. 국정원은 북한의 해킹 위협에 선제적으로 대응하기 위해 2022년 11월 30일 경기도 판교에 ‘국가사이버안보협력센터’를 개소했다. 여러 기관과 공조해 공격정보를 공유·분석하고 범국가적 공동 대응체계를 갖춰나갈 요량이다. 안랩(AhnLab), SK쉴더스(전 ADT캡스) 등 협력업체가 상시 입주해 있으며, 국군방첩사령부 등에서 파견된 사이버 인력들도 참여할 계획이다.

국정원은 이와 관련해 국정원법 개정도 재추진한다는 계획을 세워두고 있다. 현재 국회에 계류 중인 김병기안(국가사이버안보법)과 조태용안(사이버안보기본법)은 국제적 위협에 대응하기 위해 국정원의 권한을 강화하는 것을 골자로 한다. 국정원 관계자는 “현재 내부에서 초안을 만들고 각 부처 의견 수렴 과정에 있다”며 “정부 입법안으로 추진하는 것을 고려 중”이라고 답했다. 이어 “국회 계류 중인 두 법안에서도 필요한 부분만 추려서 입법 추진할 계획”이라고 말했다.

- 이승훈 월간중앙 기자 lee.seunghoon1@joongang.co.kr

202302호 (2023.01.17)
목차보기
  • 금주의 베스트 기사
이전 1 / 2 다음