국정원, "북한발 테러 위험 ↑…경보 단계 상향"

재외공관 5곳에 ‘경계’로 2단계 상향

코로나19 이후 체제 이탈 속출에

책임 회피 위한 특수기관 보복위험↑

기전략 수집·암호화폐 탈취 위해

북한 해커의 사이버공격도 기승

외화수입 절반이 암호화폐서 나와

25일 오후 서울 광진구 구의아리수정수센터에서 민관군 전시 대비 동원훈련인 '2024년 충무훈련' 국가중요시설 드론테러 대응훈련이 진행되고 있다. 연합뉴스

국가정보원이 해외 우리 대사관 소속 관계자들이나 국민에 대한 북한의 테러 첩보가 있어 대응 중이라고 밝혔다. 정부는 주캄보디아 대사관 등 5개 재외공관에 대한 테러 경보를 관심에서 경계로 두 단계 상향했다. 해외공관에 대한 테러 경보를 상향 발령한 것은 2010년 천안함 폭침 사건 이후 14년 만이다.

3일 국정원 등에 따르면 정부는 2일 대테러센터 주관으로 ‘테러대책실무위원회’를 개최해 이같이 결정했다. 대상 재외공관은 주캄보디아 대사관을 비롯해 주라오스 대사관, 주베트남 대사관, 주블라디보스토크 총영사관, 주선양 총영사관이다. 테러 경보는 관심·주의·경계·심각의 4단계로 구분된다. 이 중 경계는 테러 발생 가능성이 농후한 상태에 발령된다.

이에 대해 국정원은 “최근 북한이 중국과 동남아·중동 등 여러 국가에서 우리 공관원이나 국민 대상으로 테러를 준비 중인 징후가 다수 입수됨에 따라 유관기관에 지원한 바 있다”며 “북한은 해당 국가들에 요원들을 파견하여 대한민국 공관 감시를 확대하고, 테러 목표로 삼을 우리 국민을 물색하는 등 구체적인 활동도 전개하고 있다”고 설명했다.

국가정보원이 지난 1월 8일 공개한 하마스에 공급된 북한제 무기부품 사진. 사진=국가정보원

국정원은 북한이 테러를 기획하는 이유와 관련해 “코로나19 종식 이후 지난해 하반기부터 장기체류 해외파견자들의 탈북이 시작되면서, 북한 체제에 회의를 느낀 공관원·무역일꾼·유학생 등 엘리트들의 이탈이 속출하고 있는 가운데 해외 파견 북한인들을 관리·감시하는 공관 간부 및 보위성 등 특수기관원들이 ‘자발적인 이탈 사고’ 책임을 회피하기 위해 외부 소행으로 김정은에게 허위 보고하고, 우리 공관원 대상 보복을 기도하는 것으로 판단하고 있다”고도 덧붙였다.

국정원은 북한이 중국과 동남아·중동 등지에 요원들을 파견해 한국 공관 감시를 확대하고 테러 목표를 물색하는 등 구체적 활동을 전개 중이라고 보고 있다. 블라디보스토크와 선양에는 북한 노동자가 파견돼 있고 캄보디아, 라오스, 베트남 등 동남아 3국에는 북한 식당들이 성업 중이다. 이들 식당 역시 북한의 공작 거점으로 알려져 있다.

북한의 사이버공격도 더욱 기승을 부리고 있다. 국정원은 사이버 안보 위해(危害) 가능성이 높아지자 선제적 대응을 위해 공공 분야 사이버 위기 경보를 ‘관심’에서 ‘주의’ 단계로 상향한 후 2년째 유지하고 있다.

특히 미국 국무부와 국가안보국(NSA), 연방수사국(FBI)은 2일(현지시간) 북한 해커조직인 '김수키'가 언론인, 학자, 동아시아 전문가 등 대북 정책과 관련된 이들을 사칭한 이메일을 보내고 있다면서 사이버보안 주의보를 발령했다. 김수키는 북한 정찰총국 산하 해커조직으로, 작년 12월 미국 재무부의 제재 대상에 추가됐다.

이들은 미국 정부 당국자와 싱크탱크 관계자, 기자 등의 이메일과 문서, 기기를 해킹해 지정학적 사건이나 외교정책 전략 등 북한과 관련된 정보를 수집하려고 한다고 국무부는 설명했다.

주의보에 포함된 사례를 보면 김수키는 2023년 후반부와 2024년 초에 미국 정부와 국제기구 당국자들에게 '미국의 대북 정책'을 주제로 열리는 싱크탱크 행사에서 기조연설을 해달라고 초청하는 이메일을 보냈다. 실제 존재하는 싱크탱크 관계자를 사칭해 보낸 이메일에는 주최 측이 콘퍼런스 참석 관련 여행과 숙박 경비를 부담하고 500달러의 연설 비용을 주겠다는 내용이 포함됐다.

북한 IT 조직원이 유출한 도박 사이트 이용자 개인 정보. 사진 제공=국가정보원

국무부 고위당국자는 이날 브리핑에서 김수키가 이메일 인증 방식의 일종인 DMARC가 제대로 설정되지 않은 경우 이 허점을 이용해 북한이 아닌 다른 단체나 기관에서 이메일을 보낸 것으로 도메인을 위장한다고 설명했다. 이 당국자는 "김수키의 공격이 갈수록 뻔뻔해지고, 적극적이며, 정교해지고 있다"면서 "우리는 김수키가 주로 북한 정권의 외교정책에 필요한 정보를 확보하려고 시도하는 것으로 평가한다"고 말했다. 그는 이어 북한이 코로나19 때문에 지난 4년간 외부와 단절했고, 외교 대화를 거부하는 등 정부가 다른 나라에 대한 정보를 수집할 때 통상적인 수단을 활용하지 않아 해킹에 의존하는 것 같다고 설명했다.

같은 날 애브릴 헤인스 미 국가정보국장은 북한 외화 수입의 절반 이상이 암호화폐 탈취로 벌어들인 것이라고 밝혔다. 헤인스 국장은 "우리는 북한의 외화 수입 50% 이상이 암호화폐에서 나오고 있다는 통계를 계속 내고 있다"며 북한이 제재를 회피해 체제를 유지하기 위한 방법으로 암호화폐를 탈취하고 있다고 지적했다. 지난 3월 가상자산 분석업체인 체이널리시스는 북한이 지난 한 해 동안 탈취한 암호화폐 액수가 10억 달러로 파악됐다고 밝혔다. 2022년에는 탈취 액수가 17억 달러에 달했다.