23억 달러, 우리 돈으로 3조84억 원. 블룸버그 비즈니스위크가 2021년 미국과 유엔안전보장이사회 자료를 인용해 보도한 북한 해커부대가 사이버공격으로 취득해 김정은 손으로 들어간 부정 수익의 규모다.
최근 유사한 보도가 나왔다. 월스트리트저널(WSJ)이 미 국방부와 정보당국 관계자를 인용해 북한의 해커부대가 지난 한해만 갈취한 가상화폐 규모가 약 2조1300억원에 달하고, 최근 5년 동안 약 4조 원에 달하는 가상자산(가상화폐)을 훔쳐 탄도미사일 및 핵무기 개발 자금으로 사용해 왔다고 전했다.
북한은 인터넷 사용층은 전체 인구의 1%밖에 안 된다.그런데도 세계 3~5위 수준의 막강 해커군단을 보유 중이다. 옛 동구 공산권 국가들이 올림픽 메달리스트를 키워내는 방식으로 해커를 양성한 덕분이다. 일찌감치 유소년 시절부터 재목을 발굴해 특별 관리하면서 엘리트로 육성하고 있다.
세계 해킹대회에서 북한의 젊은 해커 실력은 그대로 증명되고 있다. 얼마 전 세계 1700여 명이 참가한 미국 IT 기업인 해커어스(HackerEarth) 주최 해킹대회에서 북한 김책공대 재학생이 800점 만점으로 1위를 차지했다. 2위는 김일성대, 3~4위도 김책공대이 차지하며 1~4위를 북한 대학생이 휩쓸었다. 인도 소프트웨어 기업 디렉티 주최로 세계 80여 개국 2만 명이 참가해 매달 열리는 국제 대학생 프로그래밍 대회 코드셰프에서도 북한은 2013~2020년 18번이나 우승하기도 했다.
북한의 해킹 부대는 37년 전인 1986년 김일성군사종합대학에서 5년 과정으로 전산 요원을 배출해 군 관련 보직에 배치하기 시작한 게 시발점이다. 이들 요원 가운데 별도 선발 과정을 거쳐 가장 뛰어난 자원들을 군사전문 해킹 요원으로 구성해 해킹 부대를 운영한 것이 모태다.
북한의 해커 부대는 김정은 국무위원장이 직접 규정한 3대 전쟁수단의 하나다. 핵과 미사일 그리고 사이버전을 북한 인민국의 무자비한 타격 능력을 담보하는 ‘만능 보검’이라고 강조할 정도다. 이는 김정은 정권이 해커 부대를 가동해 사이버 범죄를 통한 핵과 미사일 개발 자금을 조달하는 것은 물론이고, 제재로 어려움에 빠진 북한 경제까지 뒷받침하는 기반이 되기 때문이다. 블룸버그 비즈니스위크는 미국과 유엔 안전보장이사회의 조사 결과를 인용해 북한의 해커 부대는 김 위원장의 행의 정권유지 수단으로 활용되고 있다고 보도했다. 그러면서 제재로 경제가 막힌 북한의 최고지도자의 돈 줄이 되는 ‘생명줄’과 같다고 평가했다.
주목해야 할 점은 해커 부대가 외화벌이를 위한 현금이나 금융기관 탈취에만 집중하던 사이버 공격의 흐름이 바뀌고 있다는 대목이다. 국가정정보원 산하 국가안보전략연구원(INSS)이 발간한 ‘김정은 시대 북한의 사이버 위협과 주요국 대응 보고서’에 따르면 사이버전에 대한 김 위원장의 애착이 강해지면서 사이버 공격의 특징이 북한의 국가전략과 연계되어 시기별로 차별성을 가지면서 변화하고 있다고 분석했다. 코로나19 시국을 기점으로 핵무기 고도화를 위한 신기술 탈취 및 외화벌이와 함께 민생경제 지원을 위한 의료정보수집 강화, 그리고 남북대화 탐색을 위한 전방적인 사이버 공격을 강화하고 있다고 평가했다.
이 같은 행보는 북한 스스로도 그렇고 국제적으로도 북한의 사이버 역량이 세계 최고 수준에 도달했다는 평가에서 비롯한다. 글로벌 보안업체 ‘크라우드 스트라이크(Crowd Strike)’ 북한을 러시아·중국·이란과 함께 사이버전 능력이 뛰어난 빅4로 지목하기도 했다. 미 국무부 대변인도 북한의 사이버 역량에 대한 논평 요청에 “북한은 파괴적인 사이버 활동을 수행할 수 있는 능력을 보유하고 있다”며 “북한의 악의적인 사이버 활동이 미국과 전 세계를 위협하고 있다”고 답했다.
사실 김정은 후계자 시절부터 노동당과 인민군이 관리하던 사이버 부대를 직속으로 두고 실적을 독려할 만큼 해커 부대에 대항 애정이 아주 높았다는 공공연히 알려진 사실이다.
일각에서는 김정은 위원장의 최애 비밀 병기는 북한 해커부대라고 지목하기도 한다. 경제제재 속에서도 해킹부대가 확실한 ‘돈줄’이 되어 통치자금을 확보해 주기 때문이라는 분석이다. 그 반증으로 김정은 위원장이 최근 “해커를 양성할 때 출신 성분을 따지지 말고 실력 좋은 인재는 무조건 뽑으라”고 지시했다는 대목이다.
대북 제재에 대응하기 위해 막대한 핵·미사일 개발 자금을 투입하는 상황에서 통치자금 등 돈줄이 마른 김 위원장이 정권 유지의 버팀목으로 가상자산 등 해외 해킹에 총력을 기울일 수 밖에 없기 때문이다. 심지어 김 위원장이 해커 직접 선발에 관여할 정도로,‘돈이 되는’ 정예 해커 확보에 각별한 공을 들이는 있는 것으로 전해졌다.
정보 당국은 이 같은 발언에 주목하고 있다. 김 위원장이 정권의 주요 지도부에게 정보기술(IT) 인력 양성의 중요성을 강조한 것 ‘혈통’에 따라 거주지, 직업 등 사회적 신분이 결정되는 북한에서 혈통과 무관하게 ‘실력’에 따른 인재 기용은 매우 이례적이라는 것이다. 정권 존망을 좌우할 수 있는 영역인 정예 해커를 뽑는 데 출신 성분을 따지지 말라고 지시한 건 매우 상징적으로, 자신의 통치자금과 정권 유지를 위한 현실적 보따리를 발굴은 물론 국제사회의 대북 제재에 무력 동원 없이 수지타산이 맞은 해답을 내놓고 있는 만큼 해커 양성에 총력을 기울이겠다는 통치철학을 지시하는 의미가 담긴 것으로 해석하고 있다.
북한은 1986년 김일군사대학을 설립해 해커를 양성한 이후에는 총참모부 아래 전자정찰국 사이버전지도국(기술정찰국·121국) 등을 만들어 전략부대로 키우고 있다.
전문가들은 해커부대 요원의 선발도 과거에는 출신 성분이 반영됐지만 경제 상황이 나빠지면서 상황이 달라졌다고 보고 있다. 북한이 ‘A급 해커’ 확보에 목매는 건 대북제재에 남북 경협마저 중단돼 극심한 통치자금 부족에 시달리면서 상황이 절박해졌기 때문이라는 분석이다. 임종인 고려대 정보보호대학원 석좌교수는 “사이버전에서 가장 중요한 건 요원의 수가 아닌 질이 아니라”라며 “인재풀이 넓어야 능력 있는 해커를 뽑을 수 있다”고 했다. 실제 라자루스와 킴수키 등 악명 높은 북한 해킹 조직은 소수의 엘리트 해커들이 이끄는 것으로 알려졌다.
북한의 해커 부대 규모는 얼마나 될까. 국방부가 2020년 12월 발행한 국방백서에 따르면 북한은 6800여 명의 사이버전 인력을 운영하며, 최신 기술에 대한 연구 개발을 지속하는 등 사이버 전력 증강을 위해 계속 노력 중이다. 미국과 중국, 러시아, 이스라엘에 이어 세계 5위 수준이다. 그러나 전문가들은 정예 요원을 보좌하는 차세대 핵심 인력까지 포함하면 1만 2000명에 달하는 것으로 관측하고 있다.
해커 부대의 핵심은 북한 정찰총국이다. 김수키·라자루스·안다리엘 같은 악명 높은 해커 그룹을 점조직으로 운영하고 있다. 이들이 세계 금융회사와 암호화폐거래소에서 수조원의 돈을 털고, 한국의 원전 기술도 빼가고 있다는 것은 공공연한 사실이다. 안타깝게도 이에 맞설 국방부 사이버작전사령부 인원은 1000여 명에 불과하다.
북한의 정찰총국 산하에는 라자루스 외에도 블루노로프, 안다리엘, 김수키 등 세계 최고 수준의 해킹 능력을 갖춘 해커조직들이 있다. 이들은 중국, 러시아, 인도, 말레이시아 등지에서 활동 중이다. 북한 해커조직의 주된 임무는 군사외교 기밀 수집, 대남공작 활동, 가상화폐 탈취로 외화벌이 등 다양하다.
최근에는 안보 분야가 아닌 한국원자력연구원과 대우조선해양, 한국항공우주산업(KAI) 등의 전산망까지 북한 해커조직들에 해킹당하고 있는 실정이다. 사실 북한 해킹에 무방비로 당한 것은 어제오늘의 일도 아니다. 2014년에는 국방과학연구소의 첨단기술이 대량으로 유출됐고, 2016년에도 국방부 전산망이 뚫리기도 했다.
심지어 북한 해커들의 수법이 진화하면서 현역 군인을 포섭해 군사기밀을 빼낼 정도. 북한 해커에게서 비트코인 4800만원을 받은 현역 대위가 2급 군사기밀에 해당하는 '한국군 합동지휘통제체계(KJCCS)' 로그인 자료 등을 유출하다가 적발된 사건이 발생했다. KJCCS는 군사훈련 때 육·해·공군 간에 비밀 문서를 실시간으로 공유하며 지도 등 각종 시각적인 정보도 제공하는 일종의 통신시스템이다. 군 수사당국이 관련 자료가 북한에 유출되기 전에 적발했지만 우리 군 지휘망이 통째로 뚫릴 뻔한 경종을 올린 사건이다.
북한 해커들은 대부분 정찰총국 제3·5국, 인민무력부 총참모부, 국가보위성 제4·6국에 소속돼 6~7개 조직이 활동하고 있는 것으로 전문가들은 추정하고 있다. 공격 대상과 목적에 따라 해킹조직을 세분화한 구조라는 평가다. 예컨대 국가보위성 소속 해커들은 탈북자를 겨냥한 악성코드를 제작해 이들의 정보를 수집한다.
가장 위협적인 해킹조직은 ‘라자루스’와 ‘킴수키’, ‘안다니엘’ 조직이 꼽힌다. 이들은 모두 정찰총국 산하 단체로 라자루스는 금융 분야 공격을 주도하며, 킴수키는 정보 수집을 담당한다. 특히 라자루스 하위 그룹으로 알려진 안다니엘은 가상자산 탈취 등 금융범죄에 특화된 조직이다. 라자루스는 소니픽쳐스 해킹 사건에 이어 2016년 방글라데시 중앙은행 해킹 사건, 2017년 '워너크라이(WannaCry)' 랜섬웨어 사태의 주범으로 알려졌다.
그렇다면 북한 해커부대의 사이버전 능력은 어느 정도일까. 규모 면에서 살펴보면, 북한 해커들의 수가 확실하게 밝혀진 것이 없지만, 미국 폭스뉴스 보도에 따르면 북한의 사이버전사가 3만명에 달하며 수준이 CIA를 능가한 것으로 전해졌다. 전문가들은 3만 명이라는 숫자는 과장된 측면이 있어 실제로는 대략 3000~4000명 사이로 정예 요원이 모든 사이버 범죄를 주도할 것으로 분석했다.
북한군 해커 부대의 정예 요원 선발 방식과 훈련 과정, 침투 수법도 빠르게 진화하고 있다. 북한군은 청소년기부터 컴퓨터에 소질을 보이는 영재들을 뽑아 금성 1,2고, 김책공대 미림공대 함흥컴퓨터기술대학 등 IT전문대학에 집중 투입해 특수교육을 시킨다.
사실 북한 주민들이 대부분이 인터넷 등 컴퓨터 사용에 미숙하고 접할 기회가 없지만 선발된 영재는 예외다. 이들의 교육을 위해 북한 전역에는 내부적으로 통신이 가능한 인트라넷이 구축돼 체계적인 훈련망이 갖춰져 있다. 이들에 대한 북한당국의 대우는 파격적으로 능력만 발휘하면 자신이 원하는 부와 명예를 주면 모두 제공하는 것으로 알려졌다.
탈북한 북한 해커부대 출신의 한 관계자는 “북한은 전국의 수재를 컴퓨터 영재반에 모아 최고의 환경을 제공하며 뛰어난 해커로 양성하고 있다”며 “이들이 최우수 성적으로 졸업하면 지방에 있는 부모를 평양으로 모셔 살게 있게 해주고 대학 졸업 후 전원 외국유학을 보내는 특혜까지 준다”고 했다. 이 같은 당근을 통해 북한 사이버 부대는 지속적으로 우수 인력을 공급받고 강한 전력을 유지할 수 있는 셈이다.
게다가 이들 해커 부대는 김정은 휘하 직속부대로 관리된다는 점에서 상당한 자존감 부여로 충성 경쟁을 유도하고 있는 게 전문가들의 해석이다. 북한 당국은 2~3년 전부터 사이버부대의 규모를 확장해오고 있는데 이는 북한의 경제사정과도 관련 있다. 사이버 전력 구축 비용이 육해공군 유지에 드는 비용보다 훨씬 저렴한데다 공격 효과도 크다고 판단해 집중 육성하는 것이다.
일각에서는 북한군이 정찰총국 산하 사이버부대를 3만~3만5,000명 규모로 확대 개편한다는 방침 아래 전국 상위권 학생들을 전문인력 양성기관에 집중 배치하고 있다는 주장도 내놓고 있다.
정보당국 소식통은 “최근 국내 범죄조직과 짜고 유명 온라인게임을 해킹한 해커들이 북한 정찰총국 소속 부대원이 아닌 별도의 조직일 가능성이 있다”고 전했다. 노동당 중앙당 작전부 소속 ‘기초자료조사실’도 사이버전에 활용할 또 다른 비밀 병기 집단이다. 이 조직은 대남 자료 수집이 주 임무로, 전산망 마비 같은 사이버 공격은 잘 알려진 것처럼 정찰총국 소속 ‘121국’의 역할이라는 게 정보당국의 판단이다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
hhlee@sedaily.com
