바로가기 메뉴
메인메뉴 바로가기
본문 바로가기

단독

北 해킹에 속수무책인 정부… 청와대까지 사이버 공격

“北 해커들은 사이버 대한민국에 거주하며 활보 중”

글 : 정광성  월간조선 기자

  • 트위터
  • 페이스북
  • 기사목록
  • 프린트
  • 스크랩
  • 글자 크게
  • 글자 작게
⊙ 北, 정부 문서 관리하는 보안업체 A사 해킹 공격
⊙ “청와대뿐만 아니라 국방부까지 다 털렸다”
⊙ 北 해커 근거지는 ‘조선엑스포’
북한 해커들이 남한의 정부 및 기업들의 PC를 해킹하기 위해 하루에도 수만 번씩 다크사이트에 접속하고 있다. 사진=토르
  북한의 사이버 공격은 시간이 갈수록 더욱 기승을 부리고 있다. 유엔이 대북 제재를 강화하자 북한은 사이버 공격으로 돌파구를 찾는 듯하다. 2016년 유엔 안보리가 기본 제재에서 한층 더 강화된 수출 제재를 내놓았다. 북한은 지하자원 등의 수출로 김정은의 통치자금을 마련했었다. 유엔 제재로 통치자금이 마르기 시작한 북한이 해외 금융기관이나 암호화폐거래소 등을 사이버 공격하는 것이다.
 
  북한 해킹 능력은 ‘세계 톱5’에 꼽히는 것으로 알려졌다. 미국 재무부·법무부에 따르면 북한은 2014년 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 해킹의 배후였다.
 
  북한은 해외 기업이나 금융기관뿐만 아니라 대한민국을 상대로 수없이 사이버 공격을 했다. 최근에는 ‘청와대 행사 견적서’로 둔갑한 사이버 공격 시도가 있었다. 이 공격을 시도한 곳은 북한의 해킹 조직으로 알려진 ‘김수키(Kimsuky)’ 그룹으로 분석됐다. 2014년 한국수력원자력 해킹 사건과 2019년 통일부·경찰청·암호화폐거래소를 상대로 피싱 공격을 한 사이버 테러 단체다.
 
  북한과 연계된 것으로 알려진 사이버 해킹 조직은 두 곳이다. ‘김수키’와 ‘라자루스’ 그룹이다. 고위 탈북자들과 국내 사이버 전문가들에 따르면 김수키 그룹은 북한의 국가보위성이 운영하고, 라자루스 그룹은 북한 인민무력부 소속 정찰총국에서 운영한다고 한다.
 
 
  北 해킹 조직, ‘김수키’ ‘라자루스’
 
  최근 《월간조선》은 국내 문서보안업체가 해킹당해 해당 업체 프로그램을 이용하는 정부기관이 함께 공격당했다는 자료를 입수했다.
 
  2019년 8월경 국내 보안업체가 북한 사이버 조직에 해킹되어 해당 업체 문서보안(DRM) 프로그램을 이용하는 청와대 등 정부기관 사용처까지 감염, 이를 통해 정부기관 인트라넷 내부 시스템 공격 및 보안자료 유출을 시도했다는 내용이다.
 
  해당 보안업체는 A사 등이다. A사는 콘텐츠솔루션, 문서보안 전자문서 관련 사업을 기반으로 하고 있다. 청와대, 국회, 외교부, 국세청, 병무청, 방위사업청 등 국내 주요 기관에서 A사가 개발한 프로그램을 사용하고 있다.
 
  A사를 해킹한 단체는 라자루스 그룹이다. 북한 정찰총국에서 운영하는 것으로 알려진 라자루스 그룹은, 김수키 그룹과 달리 대한민국 정부나 공공기관을 상대로 해킹한다. 김수키 그룹은 탈북민이나 통일·안보와 관련한 시민단체를 대상으로 사진, 녹음 파일 등 다양한 개인정보들을 훔쳐 간다.
 
  라자루스 그룹의 해킹 목적은 A사가 아니었다. A사의 고객이 목적이었다. A사가 청와대 등 정부기관에 보안 프로그램을 공급하는 것을 알고 해킹을 시도한 것이다. 기자가 입수한 자료에 따르면, 라자루스 그룹은 A사 프로그램을 통해 청와대에 들어갔다. 이후 청와대 인트라넷 내부 시스템을 공격하고 다수의 보안 자료를 빼낸 것으로 파악됐다. 유출된 자료의 범위와 양에 대해선 아직 파악하지 못한 것으로 알려졌다.
 
  온라인 경제 매체 ‘조선비즈’는 2019년 6월 20일 단독으로 “북한 해커들이 청와대를 노리는 정황이 포착됐다”고 보도했다.
 
  해당 보도 내용이다.
 
  〈북한 해커들이 청와대 등 국내 주요 공공기관 홈페이지 해킹을 여전히 노리고 있다는 정황이 포착됐다. 북한이 지난 2013년 청와대 홈페이지 해킹·대전정부청사 디도스 공격을 위해 사용했던 다크웹을 북한·러시아·중국 네트워크 등 우회로를 통해 꾸준히 사용하는 것이 확인되면서다. 보안업계에서는 청와대 등 국내를 노린 북한 해커의 공격이 언제든 발생할 수 있다는 우려가 나온다.〉
 
 
  A사 “피해 사례 전달받은 바 없고, 청와대 해킹 우리와 무관”
 
  A사의 해킹 피해 사실이 처음 포착된 것은 2019년 7월 30일이다. 국내에서 북한 해킹 그룹을 전문적으로 연구하는 한 보안전문가가 이를 발견했다. 해당 보안전문가 B씨는 북한의 해킹 공격 분석에 있어 최고로 꼽힌다. 그는 국내뿐만 아니라 미국의 보안업체, 연방수수사국(FBI) 등에 해커들의 존재를 파악하는 데 도움을 주기도 했다.
 
  B씨는 A사가 해킹당한 사실을 포착한 후 한국인터넷진흥원(이하 진흥원)에 신고했다. 해당 신고를 받은 진흥원은 과학기술정보통신부와 함께 현장 조사를 했다.
 
  문제는 2019년 7월 30일 보안전문가 B씨가 발견하기 전까지 A사는 물론 대한민국의 사이버 보안을 담당하는 어느 부처에서도 피해 사실을 몰랐다는 것이다. B씨가 A사의 해킹 피해 사실을 진흥원에 신고한 뒤에야 부랴부랴 조사에 나섰다. 현재 A사 해킹 사건은 경찰에 넘겨졌고, 수사 중인 것으로 알려졌다.
 
  A사는 “현재 우리 회사의 문서보안 프로그램을 청와대에서 사용하고 있긴 하나, 소수 부서에서만 사용한다”며 “우리 회사는 인터넷을 통해 업데이트나 자료를 주고받는 것이 아니라 직원이 직접 청와대 등을 방문해 일을 처리하기 때문에 청와대 해킹 사건과 우리는 무관하다”고 주장했다.
 
  이에 대해 B씨는 이렇게 말했다.
 
  “A사 같은 업체는 북한 해커들에게는 좋은 먹잇감이다. 내가 처음 발견한 시점은 7월 30일이지만, 해커들은 그 이전부터 A사 네트워크 어딘가에 잠입해 있었다. 그 예로 다른 프로그램을 분석해보니 그곳에 심어놓은 해킹 프로그램의 제조 일자가 7월이 아닌 5월로 나왔다. 이쯤 되면 해커들은 올해(2019년) 초부터 해당 업체에 대한 정찰을 시작했을 것이다.
 
  북한 해커들은 한국의 정부 기관이나 민간 기관의 시스템을 다 알고 있다. 내부에서 어떤 솔루션을 쓰고, 어떤 보안 체계가 되어 있는지 다 알고 있다. 회사의 취약점이 노출된 것이다. 취약점을 타고 들어가는 것을 ‘공급망 공격’이라 한다. 북한 해커 입장에서는 중요한 기관을 바로 공격하지 않는다. A사 같은 업체를 타고 들어간다. 옛날 ‘3호 땅굴’이 발견될 때 땅굴이 눈에 보이지 않았다. 누군가 발견해야 땅굴이 있다는 것을 안다. 이처럼 북한 해커들은 인터넷상 땅굴을 파서 해당 업체나 직원들 PC에 잠입한다. 만약 A사처럼 직원이 청와대에 들어가서 업데이트나 서버 점검을 한다고 하면 그 직원을 통해 충분히 청와대 내부에 잠입할 수 있다.”
 
 
  김대중 정부가 북한 사이버 해커들 거점 만들어줬다?
 
2002년 남북이 공동출자해 만든 회사 ‘조선복권합영사’의 사이트이다. 사진=인터넷 화면 캡처
  북한 해커들은 주로 중국에 거점이 있는 ‘조선엑스포합영회사’(이하 조선엑스포)라는 ‘유령회사’의 IP를 사용했다. 조선엑스포는 북한 군 정보기관과 연계된 위장회사로, 2002년부터 운영됐다. 조선엑스포의 전신은 2002년 한국의 남북경제협력사업자였던 ‘훈넷’과 북한의 장생무역총회사가 공동출자해 설립한 ‘조선복권합영회사’다. 조선복권합영회사는 인터넷복권 사업과 전자상거래 사업을 목적으로 출범했다. 그러나 2004년 통일부는 조선복권합영회사의 인터넷복권 사업을 문제 삼아 훈넷의 남북경제협력사업자 승인을 취소했다.
 
  이후 한국 정부와 사업자는 그 사업에 관여하지 않았고, 북한 정부가 여러 인물을 통해 조선복권합영회사를 관리하며 온라인 게임 및 도박 등 서비스를 내놨다. 즉 2002년 김대중 정부에서 조선복권합영회사를 설립할 수 있도록 승인한 것이다. (당시는 알 수 없었겠지만) 남한의 기업이 돈을 투자해서 만든 회사가 현재 북한 해커들의 거점으로 사용되고 있는 것이다.
 
  당시 ‘조선엑스포닷컴’은 조선복권합영회사가 개설한 사이트로, 북한에서 생산되는 각종 수출용 상품을 한글·영어·중국어 3개 국어로 소개하고, 북한의 무역회사 현황 및 투자 관련 법규 안내, 상담 게시판을 운영해 남한의 ‘코트라(KOTRA)’ 사이트에 비견될 만하다고 언론들은 보도했다.
 
  하지만 2018년 9월 미국 FBI는 북한 해커들을 기소하면서 조선엑스포는 북한 정부의 유령회사로 결론지었다. 이유는 ▲외국 수사기관이 FBI에 제공한 정보에 의하면 해킹 작전 계정은 피해자들을 공격하는 데 악의적으로 사용되었으며, 조선엑스포 계정과 연결돼 있었다. ▲같은 IP 주소에서 조선엑스포의 웹사이트와 계정이 특정 작전 계정들에 접속됐고, 조선엑스포 계정 및 관련 해킹 계정들 모두 북한 내부에서도 사용됐다는 점을 들었다.
 
  조선엑스포 해외 지사에서 근무하는 프로그래머들은, 합법적인 프로그래밍 프로젝트 목적으로 유료 고객을 위한 업무를 수행하기도 했다. FBI에서 기소한 북한 해커 ‘박진혁’도 조선엑스포의 중국 지사에서 일했다. 조선엑스포 고객 중 일부는 해당 기업이 북한 프로그래머를 고용한다는 사실을 알고 있었던 것으로 밝혀졌다.
 
 
  북한 해커들 어떻게 키워지나… 해커 전문학교 있다
 
북한은 10대 수재들을 뽑아 김일정치군사대학에서 해킹 기술을 가르친다. 사진=인터넷 화면 캡처
  각국 정부가 평가하는 북한의 사이버 공격 역량은 세계 최고 수준이다. 국방부의 《2018 국방백서》에 따르면 북한의 사이버전(戰) 인력은 6800여 명이다. 6년 전인 2013년 3000명에 비해 2배 이상 증가한 규모로, 북한이 사이버전에 얼마나 큰 비중을 두고 있는지 엿보인다. 사이버 부대의 운영 또한 체계적이다. 미국 의회 산하 연구단체인 의회조사국(CRS) 보고서에 따르면 북한 정찰총국의 3국, 즉 121부대는 ‘사이버 지도국’으로 불린다. 이 조직 내 하부 조직이 각각 다른 임무를 맡아 수행하는데, 110연구소에서는 ‘사이버 해킹’ 연구가 이뤄지며, 91부대에서는 세계 각국의 과학기술 정보 탈취 방법에 대한 연구 등이 진행된다.
 
  핵심부서 중 한 곳인 180부대는 국제금융시스템을 해킹해 돈을 훔치는, 이른바 ‘외화벌이’ 역할을 담당하고 있다. 북한 해커들은 10대 중반에 선발되어 교육을 받는다. 대표적으로 평양 제1중학교 수재들이다. 이들은 학교를 졸업하고 김일정치군사대학 등에서 교육을 받는다. 김일정치군사대학은 사이버 전문가를 양성하는 군사대학교다. 과거에는 미림대학으로도 불렸다.
 
  미림대학은 1986년 김정일 당시 국방위원장의 지시로 평양 미림동에 설립됐다. 첫 이름은 조선인민군 지휘자동화대학이었다. 이후 2000년에 김일정치군사대학으로 이름이 바뀐다. 공식 이름은 조선인민군 144 군사기지다. 첨단 비밀임무를 수행하는 기관답게 전국의 수재들을 뽑아 해커로 양성한다. 고등학교 최우수 졸업자, 김일성종합대학이나 평성이과대학 같은 북한 최고 학부의 성적우수자 등이 선발된다. 기본 과정 학부는 5년제이며 해마다 120명의 졸업생을 배출한다. 대학원에 해당하는 연구 과정은 3년제로 운영된다. 정규 과정은 전기공학·지휘자동화·프로그래밍·기술정찰·컴퓨터공학의 5개 전문 분과로 이뤄져 있다. 특히 지휘자동화 과정에서는 남한의 조기경보 시스템을 교란하는 해킹 기술을 집중적으로 가르친다.
 
  학생들은 졸업 후 조선인민군 총참모부 정찰총국 산하 해킹 전문부대인 ‘121소’로 배치된다. 이 부대는 1990년대 초부터 평양 고사포사령부의 컴퓨터 명령 체계와 적군 전파 교란 등의 연구를 수행했다. 1998년부터는 해킹과 사이버전을 전담하고 있다. 또 1000여 명의 해커가 있는 것으로 알려진 2개 전자전 여단에 소속돼 해킹 프로그램 개발과 연구를 담당하게 된다.
 
 
  “우리는 사이버상에서 적(北)과 동침을 하고 있다”
 
북한 해커들이 어떻게 사이버 폭탄을 만드는지에 대한 설명이다. 사진=인터넷 화면 캡처
  2009년부터 지금까지 북한 해킹에 대해 수사를 진행해 공식적으로 발표한 것은 12건 정도로 알려졌다. 2009년 7월 7일 61개국 435개 서버를 활용, 좀비 PC 27만여 대를 동원해 한·미 주요 기관(35개) 사이트를 해킹했다. 2011년 3월 4일에는 70여 개국 746대 서버를 활용, 좀비 PC 10만여 대를 동원해 청와대와 국회, 언론사 등 주요 기관 40여 개를 쑥대밭으로 만들었다.
 
  이 밖에 2012년 《중앙일보》 해킹, 2013년 3월 20일, 6월 25일 사이버 테러, 2014년 한수원 테러로 문서 유출 등이 대표적이다. 외교부·통일부 등 여러 공공기관도 북한 사이버 테러를 당했다.
 
  기자는 이번 취재 중에 참으로 충격적인 말을 들었다. 보안전문가 B씨와 나눈 대화다.
 
  기자: 북한 해커들이 얼마나 자주 해킹 시도를 합니까?
 
  B 씨: 자주 하는 것이 아닙니다. 그냥 사이버 공간에서 우리와 함께 산다고 보면 됩니다. 북한은 임진강 쪽에 땅굴을 뚫어놓은 것처럼 사이버 공간에도 땅굴을 뚫어놓고 자유자재로 들락거립니다. 하지만 이런 사실을 우리는 모르고 있습니다. 알 수가 없죠.
 
  기자: 그럼 언제부터 북한 해커들에 대해 관심을 갖고 연구하셨습니까?
 
  B 씨: 2000년 초반일 겁니다. 그때 재미 삼아 혼자 인터넷 바이러스를 연구하고, 그런 모임에도 참가했습니다. 그러던 어느 날 회사에서 일하고 있는데 메신저로 어떤 사람에게서 연락이 왔습니다. 이 사람은 자신을 북한 미림대학에서 컴퓨터 바이러스를 연구하고 있다고 소개했습니다. 그러면서 나한테 돈을 주겠으니 컴퓨터 바이러스를 팔라는 것이었습니다. 그때 뭔가 이상하다는 생각에 팔지는 않았습니다.
 
  그런데 그 사람의 마지막 말이 지금도 생생하게 기억납니다. 그 사람은 이렇게 말했습니다. “남한은 미래가 걱정되는군요.” 당시 북한이 식량난으로 힘들 때인데 그 사람은 오히려 우리를 걱정하고 있다는 게 이상했습니다. 근데 지금 생각해보면 해킹과 관련된 얘기 같습니다. 그때부터 북한에 조금씩 관심 갖고 공부하면서 이쪽 일을 하게 됐습니다.
 
  B씨는 마지막으로 한마디 덧붙였다.
 
  “우리는 현재 북한의 사이버 공격에 완전히 노출되어 있습니다. 예를 들어 현금과 금괴 등 많은 보석이 있는 좋은 집을 쓰고 살면서 울타리를 만들지 않아 누구나 들어올 수 있는 그런 집에서 삽니다. 그리고 99.9% 북한 해커들의 소행이 분명한데 우리 국민은 믿지 않습니다. 북한 해킹 소행이라는 얘기만 나오면 ‘북풍’ 얘기라며 거부합니다. 우리는 지금 거의 북한 해커들 손에 목숨을 맡겨놓는 것과 같은 상태입니다.”⊙
Copyright ⓒ 조선뉴스프레스 - 월간조선. 무단전재 및 재배포 금지
NewsRoom 인기기사
Magazine 인기기사
댓글달기 0건
댓글달기는 로그인 하신 후 남기실 수 있습니다.

202007

지난호
전자북
별책부록
프리미엄결제
2020년4월부록
정기구독 이벤트
  • 지난호
  • 전자북
  • 별책부록
  • 정기구독
도서출간 배너
  • 월간조선 2018년 4월호 부록
내가 본 뉴스 맨 위로

내가 본 뉴스 닫기