⊙ “대한민국, 전쟁이 아니라 北 사이버 공격으로 무너질 수도”
⊙ “北 외교안보·국방·통일 분야 교수들 온라인 약점 잡아 포섭 시도할 것”
⊙ “2010년 이후 항공우주 관련 해킹, 대북제재 이후에는 금융·비트코인 관련 해킹 늘어”
⊙ “여행사 해킹… 해외에서 우리 국민 납치·살해·위협할 수도”
⊙ “2001년 北 해커 양성소 미림대 학생이 10만 달러 주겠다며 온라인 접근”
⊙ “북한의 사이버 위협은 온라인과 오프라인이 이미 완전체로 결합”
文鍾顯
1977년생. 가천대학교 전기전자공학전공 수료 / 前 미 연방수사국(FBI) 보안 자문, 국정원 NCSC 자문위원, 국방부 사이버작전사령부 자문위원, 이스트시큐리티 시큐리티대응센터 이사, 現 과학기술정보통신부 사이버보안대연합 탐지공유분과 위원장, 지상작전사령부 사이버방호 자문위원, 국군방첩사령부 정보보호부대 자문위원, 경찰청 안보수사국 해킹조직연구회 전문위원 / 정보보호유공 국무총리 표창(2015년), 원희룡 제주도지사 표창(2016년), 행정안전부장관 표창(2019년) 수상 외 다수
⊙ “北 외교안보·국방·통일 분야 교수들 온라인 약점 잡아 포섭 시도할 것”
⊙ “2010년 이후 항공우주 관련 해킹, 대북제재 이후에는 금융·비트코인 관련 해킹 늘어”
⊙ “여행사 해킹… 해외에서 우리 국민 납치·살해·위협할 수도”
⊙ “2001년 北 해커 양성소 미림대 학생이 10만 달러 주겠다며 온라인 접근”
⊙ “북한의 사이버 위협은 온라인과 오프라인이 이미 완전체로 결합”
文鍾顯
1977년생. 가천대학교 전기전자공학전공 수료 / 前 미 연방수사국(FBI) 보안 자문, 국정원 NCSC 자문위원, 국방부 사이버작전사령부 자문위원, 이스트시큐리티 시큐리티대응센터 이사, 現 과학기술정보통신부 사이버보안대연합 탐지공유분과 위원장, 지상작전사령부 사이버방호 자문위원, 국군방첩사령부 정보보호부대 자문위원, 경찰청 안보수사국 해킹조직연구회 전문위원 / 정보보호유공 국무총리 표창(2015년), 원희룡 제주도지사 표창(2016년), 행정안전부장관 표창(2019년) 수상 외 다수
- 사진=문종현 이사
북한의 사이버 공격은 날이 갈수록 그 대상과 방법이 발전하고 있다. 북한은 2009년 7월, 7·7 디도스(DDoS·Distributed Denial of Service Attack)를 시작으로 지금까지 해킹 공격을 해오고 있다. 7·7 디도스 공격 사태는 정부기관, 기업, 은행 등을 망라해 이루어진 사이버 테러로 사회적 혼란을 일으켰다.
북한은 이후에도 계속해서 대한민국을 상대로 해킹 공격을 해오고 있다. 전문가들에 따르면 북한의 사이버 공격은 우리가 예상하는 그 이상으로 진행됐으며, 북한은 곧 사이버를 이용해 오프라인까지 공격해 올 것이라고 예측하고 있다.
최근에는 북한의 공격 목표가 바뀌었다. 북한은 단순히 우리 사이버망에 침입해 정보를 빼내거나 파괴하는 것에서 그치지 않고, 사이버망에 들어와 잠복해 함께 사는 것이 목표가 되었다. 이러한 고도화된 사이버 범죄는 전통적인 보안 체계로는 막는 데 한계가 있다.
사이버 보안 분야의 최고 전문가
현재 북한의 사이버 테러가 우리에게 얼마나 위협적이며, 이를 해결하기 위해 어떤 대책이 필요한지를 알아보기 위해 22년째 북한의 사이버 공격을 집중 연구해 온 위협분석 전문가 문종현 지니언스 이사를 지난 5월 3일 경기도 안양에서 만났다.
지니언스는 해킹·랜섬웨어 등 사이버 위협을 선제로 예방하고 대응하는 보안 소프트웨어를 개발하는 기업이다. 2005년 설립 이래 18년간 연속 흑자를 기록하고 있으며 2016년에 미국 법인 설립, 2017년에는 코스닥에 상장했다.
국내 NAC 및 EDR 솔루션 1위 기업으로 외형 성장과 이익 창출을 동시에 시현하는 기업으로 고금리 경기침체 국면에서도 지속 성장 가능한 기업, 챗GPT 시대 AI 발달로 증가하는 보안 위협 속 주목할 기업으로 평가받고 있다.
문 이사는 2001년부터 북한의 사이버 공격에 대해 연구를 시작했다. 문 이사는 현재 국가정보원, 국방부, 경찰 등 사회 다양한 분야의 공식 사이버 자문위원으로 활동하는 사이버 안보 분야의 최고 전문가로 평가받고 있다.
― 사이버 분야가 전공이 아닌 것으로 알고 있습니다.
“대학에서 전기전자 관련 공부를 하고 그쪽 분야에서 일했습니다. 그러다 1990년대 말쯤 200만원짜리 컴퓨터를 샀는데 자꾸 고장이 나더라고요. 그래서 당시 용산전자상가에 가서 수리를 맡겼는데 누군가 제 컴퓨터에 바이러스를 심었다고 하더라고요. 너무 화가 났어요. 그래서 바이러스를 심은 사람을 찾기 위해 공부를 시작했죠.”
― 따로 배운 건가요.
“아니요, 독학으로 공부했어요. 과연 이런 바이러스를 만드는 사람은 누구인가? 왜 이런 걸 만드는지… 너무 궁금했어요. 저는 바이러스보다 만드는 사람들이 더 궁금해서 ‘바연모(바이러스를 연구하는 모임)’라는 모임에도 나가고, 나중엔 불가리아, 체코 등 동유럽에서 바이러스를 연구하는 사람들도 찾아갔어요. 안 되는 영어를 해가면서 거기 회원으로 넣어달라고 해서 함께 활동했죠. 당시 동유럽에서는 바이러스 제작이 불법이 아니었어요.”
― 궁금증이 풀렸나요.
“그 사람들은 돈을 벌기 위한 목적으로 만드는 것이 아니었어요. 그냥 장난으로 친구들 골탕 먹이고, 사람들이 컴퓨터가 안 되는 것을 보고 좋아하고, 제정신이 아니죠.”
“北 해커, 10만 달러 준다며 컴퓨터 바이러스 소스 요구해”
― 북한 사이버 위협에 대해 연구하게 된 특별한 계기가 있다고요.
“네, 아직도 기억이 납니다. 2001년 8월 8일 자신을 북한 사람이라고 소개한 어떤 사람이 온라인으로 제게 말을 걸어왔어요. 처음엔 놀랐죠. 누군가 장난을 치는 줄 알았어요. 그런데 대화를 나눠보니 진짜인 것 같았어요.”
― 처음부터 자신을 북한 사람이라고 소개했나요.
“당시 전자회사에 다니면서 바이러스 연구에 한창 시간을 보내고 있을 때였어요. 퇴근할 무렵인 오후 6시가 좀 넘어서 채팅 창에 ‘안녕하신지라’라고 누군가 대화를 걸어오는 거예요. 조금 생소한 인사말에 놀랐죠. 그 사람은 처음부터 자기를 북한 사람이라고 공개했어요. 소속은 인민무력부 8사단 소속인데 평양 미림대학 학생이라는 겁니다. 앞뒤가 안 맞잖아요. 군인인데 대학에서 공부한다는 것이 이해되지 않았어요.”
― 어떤 대화를 나눴나요.
“1시간 정도 대화를 나눴어요. 미림대학이라는 이름도 생소해서 인터넷에 검색을 해봤는데 안 나왔어요. 그래서 영어로 미림을 쳤더니 평양에 미림칼리지가 있다고 나오더군요. 그래서 조금씩 믿기 시작했죠. 대화를 나누다 그 사람이 제게 컴퓨터 바이러스를 좀 달라고 하더라고요. 제가 당시 여러 바이러스를 수집해 ‘안랩’ 이런 데 보내고 했었거든요.”
― 바이러스를 줬나요.
“당연히 안 줬죠. 딱 봐도 이걸 주면 위험하다는 걸 아는데 주면 안 되죠. 제가 계속 거부를 하자 심지어 돈을 주겠다고 유혹을 하더라고요. 당시 2001년이었는데 바이러스를 넘기면 10만 달러를 주겠다고 하는 거예요.”
― 당시 10만 달러면 상당히 큰돈인데요.
“큰돈이죠. 제가 그걸 받았더라면 지금 이 자리에 없겠죠. 그때 그 사람이 했던 말을 아직도 잊을 수가 없어요. 자기 취미는 대한민국 인터넷에 들어오는 거래요. 충격이었죠. 인터넷도 없는 북한에서 대한민국을 해킹한다는 것도 믿기지 않았어요. 그러면서 ‘남한의 미래가 걱정되는구려’라고 하더군요. 그 얘기를 듣고 또 한 번 놀랐습니다.”
― 미래가 걱정된다는 건 무슨 뜻인가요.
“저도 그때는 몰랐죠. 당시 저는 30대 초였고, 오히려 북한 사람들이 식량이 없어 굶어 죽어가고 있다고 알고 있는데 그 사람이 오히려 저희를 걱정하니 이해되지 않았죠. 그로부터 8년 뒤인 2009년에서야 그 사람이 그때 했던 말이 이해됐어요. 2009년부터 북한이 본격적으로 대한민국을 상대로 해킹을 시작한 겁니다.”
― 북한은 언제부터 대한민국을 상대로 해킹을 시도했나요.
“제가 2003년부터 보안업계에서 본격적으로 일을 시작했습니다. 그때부터 조금씩 이상한 악성 파일이 발견됐었는데 당시에는 북한 소행인 줄 몰랐죠. 그러다 2005년쯤에도 악성 파일을 하나 찾아냈는데 해당 악성 파일에서 한글 문자열이 나왔어요. 그것도 군(軍) 관련 용어들이었습니다.”
“北, 2000년 초부터 해킹 준비”
― 그럼 우리 군을 해킹한 건가요.
“그렇다고 봐야죠.”
― 당시 그 해커들이 북한이라는 건 어떻게 알았나요.
“군 관련 용어 중에서 이상한 것들이 있었습니다. 예를 들어 두음법칙 같은 거죠. ‘여단’을 ‘려단’으로 표기한 단어들이 보였던 거죠. 사람들은 이걸 오타로 생각하고 그냥 넘겼어요. 그런데 저는 2001년부터 북한에 관심을 두고 공부를 하다 보니 이것이 북한 소행이라는 것을 금방 알 수 있었죠.”
― 그런데 이런 것들이 발표가 안 됐네요.
“아마 해당 악성 파일이 북한 것일 거라고는 생각도 못 했을 겁니다. 왜냐하면 북한이 경제 사정도 어렵고 컴퓨터도 없는데 설마 이 정도 수준까지 왔을까 하고 생각한 거죠. 그런데 저는 이미 2001년에 실제 북한 사람이랑 대화해봤으니 알 수 있었죠. 그러다 2009년부터 한국을 상대로 북한의 대대적인 공격이 시작된 거죠.”
― 당시 국정원이 북한 소행으로 밝히자 의견이 많았죠.
“네, 2009년 7월 7일 북한으로부터 사이버 공격을 당했고, 10일 정도에 국정원이 북한 소행이라고 밝히자, 사람들은 어떻게 북한인 걸 확신하냐, 북한으로 또 정치공작을 한다면서 여론이 안 좋았죠. 그런데 저는 그때 알았죠. 7·7 디도스 공격에서 발견된 악성 코드가 2005년과 그 이전에 발견됐던 거랑 똑같은 형식이었습니다. 그리고 당시 우리나라 청와대, 국정원, 국방부, 통일부 등 주요 공공기관들을 공격할 이들이 북한 말고 또 누가 있겠습니까.”
― 북한은 2000년대 초부터 치밀하게 준비한 거네요.
“그렇죠. 그때부터 조심스럽게 대한민국 사이버망에 드나들면서 연습을 해오다가 2009년에 대대적인 공격을 시작한 거죠. 이후 우리도 북한의 사이버 공격을 막기 위해 2010년에 국방부 국군사이버사령부를 만들었죠. 물론 그전인 2003년에 만들어진 국정원 소속 국가사이버안전센터(현 국가사이버안보센터)가 있긴 했습니다.”
“이태원 참사 당시 위조 행안부 공문서 뿌려”
― 북한의 사이버 공격이 얼마나 자주 발생하나요.
“제가 최근에 이런 질문을 많이 받습니다. 사람들이 이 부분이 많이 궁금하신가 봐요. 이미 이런 질문이 허용할 수 있는 범위를 완전히 넘어섰습니다. 이제는 이런 질문들이 식상하다는 거죠.”
― 무슨 말씀이신가요.
“무슨 의미냐 하면 이미 사이버 공격이 일상화됐다는 뜻입니다. 이제는 북한 해커들이 어떤 특별한 지시나 임무를 받고 공격하는 것이 아니라 고정된 업무라고 보시면 됩니다. 우리처럼 아침 9시에 출근해 모니터를 켜는 순간 우리 사이버망에 들어와 있다고 보시면 됩니다. 그리고 저녁 6시 퇴근하고, 뭐 가끔 주말 특근도 하더라고요.”
― 특근이요?
“네, 예를 들어 작년 10월 29일이었어요. 우리에겐 참으로 참담한 날이었죠. 이태원 참사가 발생한 날이니까요. 29일이 토요일이었을 겁니다. 그리고 다음 날 난리가 났잖아요. 한꺼번에 수많은 사람이 죽었으니 당연하죠. 일요일 아침부터 회사마다 직원들 확인하고, 그곳에 간 친척이나 친구들이 없는지 서로 연락하고 했었어요. 한데 그날 오후부터 카카오톡으로 이상한 문자가 퍼지기 시작해요.”
― 그 문자 메시지에 코드를 심은 건가요.
“네, 지인이 이상하다면서 저에게 확인을 부탁해 왔어요. 그래서 살펴보니 북한 해커들이 쓰는 악성 코드가 심어져 있더라고요.”
― 어떤 것이었나요.
“이태원 참사와 관련해 행안부 공문서처럼 위조한 것이었어요. 그러니까 북한 해커들이 이태원 참사 당시 일요일도 특근하면서 시기적절하게 맞춤형 바이러스를 만들어 퍼뜨리려고 한 거죠. 그 정도로 일상화되어 있고, 적절한 시기에 맞춰 공격을 굉장히 치밀하고, 적극적으로 펼치고 있어요.”
“2010년 이후 항공우주 관련 해킹 늘어”
― 정말 북한이 사이버 공격을 얼마나 자주 하냐는 질문이 무색할 정도네요.
“그렇죠. 이미 대한민국을 상대로 하는 해킹은 세팅이 끝난 상태입니다. 지금 이 시각에도 해커들은 컴퓨터 앞에 앉아 우리를 지켜보고 있다고 보면 됩니다.”
― 공격이 늘었다 줄었다는 표현은 의미가 없네요.
“그렇죠. 거듭 강조하지만, 일상화됐다는 표현이 맞는 거죠. 북한의 사이버 공격이 갈수록 고도화되어 간다고 하는 것도 맞아요. 계속 발전하고 있으니까. 기술력이 발전하고 공격하는 인력도 세팅이 끝난 거죠.”
― 어느 정도의 인원이 공격하고 있다고 보나요.
“일단 지금 나오는 얘기는 7000명 정도라고 하더라고요. 《국방백서》에도 공격 인원이 7000명 정도라고 나와 있던데 공격의 방법이나 패턴을 보면 사람은 그렇게 많지 않은 것 같아요. 뛰어난 해커 몇 명이 해킹을 하고 이들이 빼오는 자료를 분석하는 인력이 많은 것 같습니다.”
― 보통 어떤 자료들을 많이 빼가나요.
“시기마다 조금씩 달라요. 2000년대 초반에는 국방 관련 군사 정보들을 훔쳐갔고, 2010년 이후부터는 항공우주 기술 쪽으로 자료를 많이 빼내 가고 있습니다.”
“2017년 이후 비트코인 집중”
― 2010년 이후에는요.
“그 이후로는 북한이 핵실험 등으로 인해 대북제재가 더 강화되면서 금융, 기업, 비트코인 이쪽으로 눈을 돌리기 시작했습니다. 북한은 2016년 전후로 금융제재가 갈수록 심해지면서 비트코인에 손을 대기 시작했습니다. 우리나라 빗썸을 집중적으로 공격하기도 했죠. 실제 많은 비트코인이 털렸습니다. 그때 돈맛을 보고 이후에 비트코인 쪽으로 공격 목표를 바꾼 거죠.”
― 사이버 공격을 돈벌이 수단으로 사용한 거네요.
“결론은 그렇죠. 하지만 처음부터 그런 건 아니었습니다. 2013년쯤부터 북한이 비트코인에 관심을 보이기 시작했는데, 당시 정보 수집 목적으로 들어왔다가 온라인 지갑에 돈이 들어 있는 것을 보고 자연스럽게 훔쳐갔다고 할까요? 윗사람한테 사이버망에서 비트코인이나 돈을 훔쳐오라고 지시받은 것은 아니고 하다 보니 돈이 있어 이걸 훔쳐다 당에 바치면 좋아하지 않을까 하는 생각에서 시작됐다고 저는 생각합니다.”
― 그렇군요.
“이후 우리나라 인터파크 같은 인터넷 쇼핑몰을 해킹해 빼낸 개인정보를 가지고 협박했는데, 당시 아마 비트코인으로 30억원을 달라고 했던 것으로 기억하고 있습니다. 이후에 ○○투어와 △△투어 등 여행사 공격이 시작됩니다.”
― 여행사는 왜 해킹하나요. 거기도 돈이 목적인가요.
“여행사는 차원이 조금 다릅니다. 저도 많이 생각을 해봤습니다. 그런데 여행사를 해킹하는 이유는 사람들이 여행이나 해외로 나갈 때 여행사를 통해 가는 경우가 많습니다. 그러면 그 사람이 어느 시간대 무슨 비행기를 타고 어디로 간다는 것을 알 수 있어요. 자신들에게 필요한 사람이면 조용히 그곳에 가서 기다렸다가 납치나 암살 또는 위협까지도 할 수가 있는 거죠. 예를 들어 김정남도 이런 식으로 일정을 모두 알고 행동으로 옮긴 거죠.”
“외교·안보 분야 교수들 공격 많아”
― 온라인을 통해 정보를 얻고 오프라인에서 활용하는 거네요.
“네, 맞습니다. 앞으로 이런 일들이 더 많이 발생할 겁니다. 북한의 사이버 위협은 온라인 공간에서만 일어나는 것이 아니라 이미 오프라인으로 넘어와 완전체로 결합이 됐습니다.”
지난 6월 7일 경찰은 북한 해킹그룹이 지난해 4월부터 7월까지 외교·안보 분야 주요 관계자를 대상으로 악성 전자우편을 발송해 해킹을 시도했다고 밝혔다.
경찰에 따르면 북한 해킹그룹은 통일·안보 전문가 등을 사칭해 2022년 4월부터 7월까지 윤석열 정부 출범에 맞춰 전·현직 고위 공무원, 교수, 외교·통일·안보·국방 전문가 150명을 대상으로 피싱 사이트 접속을 유도해 계정 정보를 탈취하는 악성 전자우편을 발송했다.
북한의 해킹조직은 국내외 해킹을 통해 138개(국외 102개, 국내 36개)의 서버를 장악해 해킹 공격을 위한 기반을 확보했다. 추적을 피하고자 아이피(IP) 주소도 세탁했다. 각 서버는 악성 전자우편 발송, 피싱 사이트 구축, 탈취정보 전송 등 기능별로 구분돼 있었다.
해당 사건이 발표되기 전 문종현 이사는 기자에게 이와 관련해 최근 2년간 북한 해커들이 외교·안보, 국방 분야의 전문가들을 상대로 해킹을 시도하고 있다고 밝혔다. 문 이사의 말이다.
“최근 2년간 북한의 해킹 대상들을 분석한 결과 전·현직 고위 관계자들이 다수 포함되어 있었습니다. 여기에 외교, 안보, 통일, 국방 전문가와 교수를 상대로 한 해킹 시도가 빈번하게 발생하고 있습니다.”
― 이유가 뭐라고 보나요.
“저도 이에 대해 고민을 좀 해봤어요. 결론은 하나라고 생각합니다. 이분들이 나중에 중요한 자리로 갈 수도 있는 분들입니다. 그래서 미리 이분들의 약점을 잡고 때가 되기를 기다리는 거죠. 교수들 같은 경우 대통령 선거가 5년마다 있는데 그때마다 선거 캠프나 인수위원회 구성에 포함됩니다. 온라인으로 미리 약점을 잡아 놓았다가 자신들이 필요할 때 협박을 해서 포섭하는 거죠. 그 상대가 대통령이 되지 말라는 법은 없지 않습니까.”
“사이버상에서 약점 잡혀 간첩 될 수도”
― 그래도 대통령은 보안을 철저히 관리하지 않나요.
“물론 그렇죠. 대통령직을 수행할 당시는 그렇죠. 그런데 대통령 후보로 나오면 다르죠. 대통령 후보 시절이나 그 이전에 해커들에게 치명적인 약점을 잡혀 협박을 당하게 되면 어떨까요. 심지어 그 사람이 대통령이 된다면 그냥 대한민국을 북한에 가져다 바치는 겁니다.”
― 사생활 등 약점을 노린다는 건가요.
“그렇죠. 저도 이런 분들 상대로 강연을 종종 갑니다. 그때마다 술 마시고 실수하면 안 되고 여자관계 조심해야 한다고 계속 강조를 합니다. 자신이 착하게 어떠한 흠도 없으면 문제가 되지 않지만 한 번의 실수로 허점을 보이는 순간 북한은 그것을 볼모로 사이버 공작 활동을 시작할 것이고 그렇게 북한에 포섭된 간첩이 되는 거죠.”
― 해킹 하나로 간첩을 만들어낼 수도 있는 거네요.
“이제는 개인의 정보나 약점을 훔쳐 협박해 돈을 뜯어내는 시대는 지났습니다. 사생활의 약점을 훔쳐 포섭해 온라인과 오프라인을 오가면서 간첩활동을 시키는 시대가 도래했습니다. 그러니 얼마나 무서운 겁니까. 그래서 이제는 사이버 보안이라는 용어보다 사이버 안보라는 생각을 가지고 국가 차원에서 접근해야 합니다.”
― 그렇게 되면 누가 북한에 포섭되어 간첩행위를 하는지 아무도 모르겠네요.
“그렇죠. 예를 들어 어떤 사람이 정치·외교 전문가고 나랑은 평생을 함께해 온 친구 사이지만, 누군가에 약점을 잡혀 그들의 지시를 받고 정보를 넘기고 있을지 아무도 모른다는 거죠.”
― 정말 사이버 보안이 아니고 안보네요.
“그렇기 때문에 국가 안보 차원의 개념으로 접근해야 하는 겁니다. 이제는 민관의 협력이 무조건 필요한 세상이 됐다고 생각합니다. 그래서 이번 한미정상회담에서도 사이버 보안 협력을 중요한 의제로 다룬 겁니다.”
― 어떤 해결 방법이 있을까요.
“한국도 나름 이 부분에서 해결 방법을 찾으려 한국인터넷진흥원(KISA)에서 노력은 하고 있지만, 제약적인 부분이 많습니다. 일각에서는 이제는 사이버안보청을 만들어 대응해야 한다는 목소리도 나오고 있습니다. 대한민국은 중국, 북한, 러시아에 둘러싸여 있습니다. 가까이에 사이버 위협 국가들을 두고 이대로 가다간 자멸(自滅)할 것이 분명합니다.”
“김수키·라자루스라고 하지 말고 北 해커라고 해야”
― 현재 북한의 김수키, 라자루스 등 다양한 해커그룹이 활동하고 있습니다.
“네, 그렇죠. 지금 여러 해커그룹이 활동하고 있습니다. 그런데 저는 먼저 김수키, 라자루스 등의 이름을 붙여 부르는 것을 선호하지 않습니다.”
― 왜요.
“사람들에게 오해를 불러올 수 있어요. 북한이 해킹을 했으면 북한이 했다고 하면 되지 왜 김수키, 라자루스 등 이름을 붙여주느냐 이 말이죠. 국민 입장에서는 이름만 듣고 북한 소행인지를 알 수가 없습니다. 그러니 아무리 범인이 북한이라고 해도 사람들이 믿지를 않는 거죠. 그리고 웃기는 해프닝이 있었습니다. 2014년 12월 라자루스가 미국의 소니픽처스를 해킹했을 때 라자루스의 소행이라고 발표하니 북한 조선중앙TV에서 ‘미국의 유능한 보고서에도 북한이 아니라 라자루스라고 나오지 않느냐’며 자신들이 아니라고 주장하는 일도 있었습니다.”
― 라자루스는 2014년에 처음 등장한 거로 알고 있는데요.
“네, 앞서 언급했듯이 미국의 소니픽처스라는 영화사를 공격했을 때 만들어진 이름입니다. 당시 김정은 암살을 주제로 한 영화 〈디 인터뷰〉라는 것이 만들어지면서 공격을 하게 됐는데 미국도 공격당한 것이 처음이다 보니 북한이라고 단정 짓지는 못했습니다. 그래서 저도 당시 가서 자문도 하고 했습니다. 그런데 미국 입장에서도 아무리 자문을 받고 해도 북한이라고 결론을 내리긴 어려웠나 봅니다.”
― 그래서요.
“미국의 분석가들이 해킹 공격에 대해 조사하다가 메일 주소 중에 라자 룩스, 라자 럭스라는 식의 이니셜을 쓴 메일을 발견하게 됩니다. 그걸 보고 한 분석가가 해킹그룹을 라자루스라고 이름을 만들어 부르기 시작한 거죠.”
― 그럼 김수키는요.
“그것도 좀 이상합니다. 2012년 러시아 보안 업체 분석보고서 중에 김석양이라는 영어 이름이 발견됐어요. 그런데 이걸 스펠링대로 부르자니 김석양인지 김석향인지 혼란스러웠던 거죠. 러시아는 이름 뒤에 무슨 ‘스키’를 많이 사용합니다. 이렇게 이름이 헷갈리고 어려우니 그냥 김수키로 부르게 된 거죠. 그것이 지금까지 온 겁니다.”
― 그러니까 이 건들을 모두 ‘북한’ 소행이라 판단하면 된다는 말인가요.
“그렇죠. 국민에게 혼동을 주지 않고, 북한에 빠져나갈 구멍을 만들어주지 않고 얼마나 좋습니다. 어차피 김수키나 라자루스는 북한에서 운영하는 해킹그룹인데요. 사실 한국의 경우 정치적인 상황 때문에 북한이 해도 북한이 했다고 말 못 할 때도 잦았습니다.”
정찰총국, 국가보위성, 적공국
― 김수키나 라자루스는 공격 방법이 다르지 않나요.
“다르죠. 그런데 김정은의 부하인 건 변함이 없고, 다르지 않습니다. 그러니 힘들게 그룹을 나누지 말고 하나로 묶어 북한이라고 부르면 됩니다. 미국도 최근 사이버 안보와 관련해서 새로운 전략을 펴면서 북한을 하나로 묶어 이름을 다시 붙였습니다.”
― 현재 북한 소속의 해킹그룹은 몇 개나 되나요.
“세 개 정도입니다. 먼저 2009년에 김영철이 초대 총국장으로 있었던 정찰총국에서 운영하는 곳이 있습니다. 그리고 탈북민들을 상대로 하는 국가보위성, 마지막은 외국에서는 많이 언급은 안 되고 있지만, 한국에서는 유명한 적공국(적군와해공작국)에서 사이버 공작에 관여하는 것 같습니다. 사이버 공작을 가장 많이 하는 곳은 정찰총국입니다.”
― 김수키, 라자루스 등은 모두 정찰총국 소속이죠.
“지금은 바뀌어서 모르지만, 과거에는 정찰총국 안에 121국이라고 해서 사이버 지도국이 따로 있었고, 110연구소도 정찰총국 소속이었습니다. 라자루스나 김수키는 정찰총국 소속이고, 110연구소 안에 블루노로프, 안다리엘이 있다고 봅니다. 그런데 아마 지금은 거의 다 바뀌었을 겁니다.”
― 그럼 기본적으로 세 곳에서 사이버 테러를 자행한다는 건가요.
“그렇죠. 앞서 말한 것처럼 정찰총국, 국가보위성, 적공국 이 세 곳에서 사이버 테러를 준비하고 실행한다고 보면 될 것 같습니다.”
‘아웃소싱 공격’
― 이들은 몇 가지 정도의 해킹 방법을 사용하나요.
“한 네 가지 정도 방법을 쓴다고 보시면 됩니다. 가장 많이 쓰는 것이 ‘스피어피싱 공격’인데요, 이메일 주소 하나만 있으면 쉽게 공격할 수 있습니다. 두 번째는 ‘워터링 홀’ 공격이 있습니다. 이 워터링 홀 공격은 말 그대로 목표로 하는 사이트에 잠복해 있다가 대상이 들어오면 공격하는 방식입니다. 예를 들어 국방부를 공격한다고 하면 관련 사이트, 즉 병무청이나 이런 데 잠복해 있는 겁니다. 그러다 공격을 하는 거죠.”
― 또 다른 방법은요.
“세 번째는 ‘공급망’ 공격입니다. 2009년 7·7 디도스 공격 당시 사용했던 방법인데요, 소프트웨어를 설치하면 업데이트 기능이 다 있잖아요. 그 업데이트 서버를 해킹하거나 개발자를 해킹하는 것입니다. 그래서 정상적으로 업데이트를 했는데 내 PC가 감염되는 겁니다.
그리고 마지막은 제가 발견한 건데요, ‘아웃소싱 공격’입니다. IT 종사자로 일하면서 프로그램을 개발해주고 개발한 프로그램에 악성 코드를 미리 심어 놓는 거죠. 이들은 처음부터 공격하지 않습니다. 대기업이나 중소기업에서 아웃소싱을 받아 프로그램을 만들어줍니다. 처음엔 신뢰를 쌓죠. 여러 번 그러다 마지막에 악성 코드를 심는 거죠.”
― 이러한 방법으로 북한 해커들은 지금도 사이버 공격을 감행하는 건가요.
“네, 그렇습니다. 네 가지 방법으로, 지금까지 사용하면서 계속 진화 발전해 가는 것입니다.”
문종현 이사와 두 시간 가까이 이야기를 했는데 도중 기자를 섬뜩하게 했던 말이 있다.
“저는 앞으로 우리나라가 전쟁으로 무너질 거라 생각을 안 합니다. 북한의 사이버 공격과 전략 때문에 무너질 수 있다는 생각을 하고 있습니다.”⊙
북한은 이후에도 계속해서 대한민국을 상대로 해킹 공격을 해오고 있다. 전문가들에 따르면 북한의 사이버 공격은 우리가 예상하는 그 이상으로 진행됐으며, 북한은 곧 사이버를 이용해 오프라인까지 공격해 올 것이라고 예측하고 있다.
최근에는 북한의 공격 목표가 바뀌었다. 북한은 단순히 우리 사이버망에 침입해 정보를 빼내거나 파괴하는 것에서 그치지 않고, 사이버망에 들어와 잠복해 함께 사는 것이 목표가 되었다. 이러한 고도화된 사이버 범죄는 전통적인 보안 체계로는 막는 데 한계가 있다.
사이버 보안 분야의 최고 전문가
 |
| 2016년 2월 17일 한국인터넷진흥원(KISA) 관계자들이 인터넷침해대응센터 종합상황실에서 국내 웹사이트에 대한 디도스(Ddos·분산서비스거부) 공격 상황을 점검하고 있다. 사진=조선DB |
지니언스는 해킹·랜섬웨어 등 사이버 위협을 선제로 예방하고 대응하는 보안 소프트웨어를 개발하는 기업이다. 2005년 설립 이래 18년간 연속 흑자를 기록하고 있으며 2016년에 미국 법인 설립, 2017년에는 코스닥에 상장했다.
국내 NAC 및 EDR 솔루션 1위 기업으로 외형 성장과 이익 창출을 동시에 시현하는 기업으로 고금리 경기침체 국면에서도 지속 성장 가능한 기업, 챗GPT 시대 AI 발달로 증가하는 보안 위협 속 주목할 기업으로 평가받고 있다.
문 이사는 2001년부터 북한의 사이버 공격에 대해 연구를 시작했다. 문 이사는 현재 국가정보원, 국방부, 경찰 등 사회 다양한 분야의 공식 사이버 자문위원으로 활동하는 사이버 안보 분야의 최고 전문가로 평가받고 있다.
― 사이버 분야가 전공이 아닌 것으로 알고 있습니다.
“대학에서 전기전자 관련 공부를 하고 그쪽 분야에서 일했습니다. 그러다 1990년대 말쯤 200만원짜리 컴퓨터를 샀는데 자꾸 고장이 나더라고요. 그래서 당시 용산전자상가에 가서 수리를 맡겼는데 누군가 제 컴퓨터에 바이러스를 심었다고 하더라고요. 너무 화가 났어요. 그래서 바이러스를 심은 사람을 찾기 위해 공부를 시작했죠.”
― 따로 배운 건가요.
“아니요, 독학으로 공부했어요. 과연 이런 바이러스를 만드는 사람은 누구인가? 왜 이런 걸 만드는지… 너무 궁금했어요. 저는 바이러스보다 만드는 사람들이 더 궁금해서 ‘바연모(바이러스를 연구하는 모임)’라는 모임에도 나가고, 나중엔 불가리아, 체코 등 동유럽에서 바이러스를 연구하는 사람들도 찾아갔어요. 안 되는 영어를 해가면서 거기 회원으로 넣어달라고 해서 함께 활동했죠. 당시 동유럽에서는 바이러스 제작이 불법이 아니었어요.”
― 궁금증이 풀렸나요.
“그 사람들은 돈을 벌기 위한 목적으로 만드는 것이 아니었어요. 그냥 장난으로 친구들 골탕 먹이고, 사람들이 컴퓨터가 안 되는 것을 보고 좋아하고, 제정신이 아니죠.”
“北 해커, 10만 달러 준다며 컴퓨터 바이러스 소스 요구해”
― 북한 사이버 위협에 대해 연구하게 된 특별한 계기가 있다고요.
“네, 아직도 기억이 납니다. 2001년 8월 8일 자신을 북한 사람이라고 소개한 어떤 사람이 온라인으로 제게 말을 걸어왔어요. 처음엔 놀랐죠. 누군가 장난을 치는 줄 알았어요. 그런데 대화를 나눠보니 진짜인 것 같았어요.”
― 처음부터 자신을 북한 사람이라고 소개했나요.
“당시 전자회사에 다니면서 바이러스 연구에 한창 시간을 보내고 있을 때였어요. 퇴근할 무렵인 오후 6시가 좀 넘어서 채팅 창에 ‘안녕하신지라’라고 누군가 대화를 걸어오는 거예요. 조금 생소한 인사말에 놀랐죠. 그 사람은 처음부터 자기를 북한 사람이라고 공개했어요. 소속은 인민무력부 8사단 소속인데 평양 미림대학 학생이라는 겁니다. 앞뒤가 안 맞잖아요. 군인인데 대학에서 공부한다는 것이 이해되지 않았어요.”
― 어떤 대화를 나눴나요.
“1시간 정도 대화를 나눴어요. 미림대학이라는 이름도 생소해서 인터넷에 검색을 해봤는데 안 나왔어요. 그래서 영어로 미림을 쳤더니 평양에 미림칼리지가 있다고 나오더군요. 그래서 조금씩 믿기 시작했죠. 대화를 나누다 그 사람이 제게 컴퓨터 바이러스를 좀 달라고 하더라고요. 제가 당시 여러 바이러스를 수집해 ‘안랩’ 이런 데 보내고 했었거든요.”
― 바이러스를 줬나요.
“당연히 안 줬죠. 딱 봐도 이걸 주면 위험하다는 걸 아는데 주면 안 되죠. 제가 계속 거부를 하자 심지어 돈을 주겠다고 유혹을 하더라고요. 당시 2001년이었는데 바이러스를 넘기면 10만 달러를 주겠다고 하는 거예요.”
― 당시 10만 달러면 상당히 큰돈인데요.
“큰돈이죠. 제가 그걸 받았더라면 지금 이 자리에 없겠죠. 그때 그 사람이 했던 말을 아직도 잊을 수가 없어요. 자기 취미는 대한민국 인터넷에 들어오는 거래요. 충격이었죠. 인터넷도 없는 북한에서 대한민국을 해킹한다는 것도 믿기지 않았어요. 그러면서 ‘남한의 미래가 걱정되는구려’라고 하더군요. 그 얘기를 듣고 또 한 번 놀랐습니다.”
― 미래가 걱정된다는 건 무슨 뜻인가요.
“저도 그때는 몰랐죠. 당시 저는 30대 초였고, 오히려 북한 사람들이 식량이 없어 굶어 죽어가고 있다고 알고 있는데 그 사람이 오히려 저희를 걱정하니 이해되지 않았죠. 그로부터 8년 뒤인 2009년에서야 그 사람이 그때 했던 말이 이해됐어요. 2009년부터 북한이 본격적으로 대한민국을 상대로 해킹을 시작한 겁니다.”
― 북한은 언제부터 대한민국을 상대로 해킹을 시도했나요.
“제가 2003년부터 보안업계에서 본격적으로 일을 시작했습니다. 그때부터 조금씩 이상한 악성 파일이 발견됐었는데 당시에는 북한 소행인 줄 몰랐죠. 그러다 2005년쯤에도 악성 파일을 하나 찾아냈는데 해당 악성 파일에서 한글 문자열이 나왔어요. 그것도 군(軍) 관련 용어들이었습니다.”
“北, 2000년 초부터 해킹 준비”
 |
| 2022년 4월부터 7월까지 발생한 한국 외교, 안보, 국방 전문가들을 대상으로 한 북한의 해킹 사건 개요. 사진=경찰청 |
“그렇다고 봐야죠.”
― 당시 그 해커들이 북한이라는 건 어떻게 알았나요.
“군 관련 용어 중에서 이상한 것들이 있었습니다. 예를 들어 두음법칙 같은 거죠. ‘여단’을 ‘려단’으로 표기한 단어들이 보였던 거죠. 사람들은 이걸 오타로 생각하고 그냥 넘겼어요. 그런데 저는 2001년부터 북한에 관심을 두고 공부를 하다 보니 이것이 북한 소행이라는 것을 금방 알 수 있었죠.”
― 그런데 이런 것들이 발표가 안 됐네요.
“아마 해당 악성 파일이 북한 것일 거라고는 생각도 못 했을 겁니다. 왜냐하면 북한이 경제 사정도 어렵고 컴퓨터도 없는데 설마 이 정도 수준까지 왔을까 하고 생각한 거죠. 그런데 저는 이미 2001년에 실제 북한 사람이랑 대화해봤으니 알 수 있었죠. 그러다 2009년부터 한국을 상대로 북한의 대대적인 공격이 시작된 거죠.”
― 당시 국정원이 북한 소행으로 밝히자 의견이 많았죠.
“네, 2009년 7월 7일 북한으로부터 사이버 공격을 당했고, 10일 정도에 국정원이 북한 소행이라고 밝히자, 사람들은 어떻게 북한인 걸 확신하냐, 북한으로 또 정치공작을 한다면서 여론이 안 좋았죠. 그런데 저는 그때 알았죠. 7·7 디도스 공격에서 발견된 악성 코드가 2005년과 그 이전에 발견됐던 거랑 똑같은 형식이었습니다. 그리고 당시 우리나라 청와대, 국정원, 국방부, 통일부 등 주요 공공기관들을 공격할 이들이 북한 말고 또 누가 있겠습니까.”
― 북한은 2000년대 초부터 치밀하게 준비한 거네요.
“그렇죠. 그때부터 조심스럽게 대한민국 사이버망에 드나들면서 연습을 해오다가 2009년에 대대적인 공격을 시작한 거죠. 이후 우리도 북한의 사이버 공격을 막기 위해 2010년에 국방부 국군사이버사령부를 만들었죠. 물론 그전인 2003년에 만들어진 국정원 소속 국가사이버안전센터(현 국가사이버안보센터)가 있긴 했습니다.”
― 북한의 사이버 공격이 얼마나 자주 발생하나요.
“제가 최근에 이런 질문을 많이 받습니다. 사람들이 이 부분이 많이 궁금하신가 봐요. 이미 이런 질문이 허용할 수 있는 범위를 완전히 넘어섰습니다. 이제는 이런 질문들이 식상하다는 거죠.”
― 무슨 말씀이신가요.
“무슨 의미냐 하면 이미 사이버 공격이 일상화됐다는 뜻입니다. 이제는 북한 해커들이 어떤 특별한 지시나 임무를 받고 공격하는 것이 아니라 고정된 업무라고 보시면 됩니다. 우리처럼 아침 9시에 출근해 모니터를 켜는 순간 우리 사이버망에 들어와 있다고 보시면 됩니다. 그리고 저녁 6시 퇴근하고, 뭐 가끔 주말 특근도 하더라고요.”
― 특근이요?
“네, 예를 들어 작년 10월 29일이었어요. 우리에겐 참으로 참담한 날이었죠. 이태원 참사가 발생한 날이니까요. 29일이 토요일이었을 겁니다. 그리고 다음 날 난리가 났잖아요. 한꺼번에 수많은 사람이 죽었으니 당연하죠. 일요일 아침부터 회사마다 직원들 확인하고, 그곳에 간 친척이나 친구들이 없는지 서로 연락하고 했었어요. 한데 그날 오후부터 카카오톡으로 이상한 문자가 퍼지기 시작해요.”
― 그 문자 메시지에 코드를 심은 건가요.
“네, 지인이 이상하다면서 저에게 확인을 부탁해 왔어요. 그래서 살펴보니 북한 해커들이 쓰는 악성 코드가 심어져 있더라고요.”
― 어떤 것이었나요.
“이태원 참사와 관련해 행안부 공문서처럼 위조한 것이었어요. 그러니까 북한 해커들이 이태원 참사 당시 일요일도 특근하면서 시기적절하게 맞춤형 바이러스를 만들어 퍼뜨리려고 한 거죠. 그 정도로 일상화되어 있고, 적절한 시기에 맞춰 공격을 굉장히 치밀하고, 적극적으로 펼치고 있어요.”
“2010년 이후 항공우주 관련 해킹 늘어”
― 정말 북한이 사이버 공격을 얼마나 자주 하냐는 질문이 무색할 정도네요.
“그렇죠. 이미 대한민국을 상대로 하는 해킹은 세팅이 끝난 상태입니다. 지금 이 시각에도 해커들은 컴퓨터 앞에 앉아 우리를 지켜보고 있다고 보면 됩니다.”
― 공격이 늘었다 줄었다는 표현은 의미가 없네요.
“그렇죠. 거듭 강조하지만, 일상화됐다는 표현이 맞는 거죠. 북한의 사이버 공격이 갈수록 고도화되어 간다고 하는 것도 맞아요. 계속 발전하고 있으니까. 기술력이 발전하고 공격하는 인력도 세팅이 끝난 거죠.”
― 어느 정도의 인원이 공격하고 있다고 보나요.
“일단 지금 나오는 얘기는 7000명 정도라고 하더라고요. 《국방백서》에도 공격 인원이 7000명 정도라고 나와 있던데 공격의 방법이나 패턴을 보면 사람은 그렇게 많지 않은 것 같아요. 뛰어난 해커 몇 명이 해킹을 하고 이들이 빼오는 자료를 분석하는 인력이 많은 것 같습니다.”
― 보통 어떤 자료들을 많이 빼가나요.
“시기마다 조금씩 달라요. 2000년대 초반에는 국방 관련 군사 정보들을 훔쳐갔고, 2010년 이후부터는 항공우주 기술 쪽으로 자료를 많이 빼내 가고 있습니다.”
 |
| 북한이 사이버 테러를 통한 금전 탈취 주요 사례. 사진=조선DB |
“그 이후로는 북한이 핵실험 등으로 인해 대북제재가 더 강화되면서 금융, 기업, 비트코인 이쪽으로 눈을 돌리기 시작했습니다. 북한은 2016년 전후로 금융제재가 갈수록 심해지면서 비트코인에 손을 대기 시작했습니다. 우리나라 빗썸을 집중적으로 공격하기도 했죠. 실제 많은 비트코인이 털렸습니다. 그때 돈맛을 보고 이후에 비트코인 쪽으로 공격 목표를 바꾼 거죠.”
― 사이버 공격을 돈벌이 수단으로 사용한 거네요.
“결론은 그렇죠. 하지만 처음부터 그런 건 아니었습니다. 2013년쯤부터 북한이 비트코인에 관심을 보이기 시작했는데, 당시 정보 수집 목적으로 들어왔다가 온라인 지갑에 돈이 들어 있는 것을 보고 자연스럽게 훔쳐갔다고 할까요? 윗사람한테 사이버망에서 비트코인이나 돈을 훔쳐오라고 지시받은 것은 아니고 하다 보니 돈이 있어 이걸 훔쳐다 당에 바치면 좋아하지 않을까 하는 생각에서 시작됐다고 저는 생각합니다.”
― 그렇군요.
“이후 우리나라 인터파크 같은 인터넷 쇼핑몰을 해킹해 빼낸 개인정보를 가지고 협박했는데, 당시 아마 비트코인으로 30억원을 달라고 했던 것으로 기억하고 있습니다. 이후에 ○○투어와 △△투어 등 여행사 공격이 시작됩니다.”
― 여행사는 왜 해킹하나요. 거기도 돈이 목적인가요.
“여행사는 차원이 조금 다릅니다. 저도 많이 생각을 해봤습니다. 그런데 여행사를 해킹하는 이유는 사람들이 여행이나 해외로 나갈 때 여행사를 통해 가는 경우가 많습니다. 그러면 그 사람이 어느 시간대 무슨 비행기를 타고 어디로 간다는 것을 알 수 있어요. 자신들에게 필요한 사람이면 조용히 그곳에 가서 기다렸다가 납치나 암살 또는 위협까지도 할 수가 있는 거죠. 예를 들어 김정남도 이런 식으로 일정을 모두 알고 행동으로 옮긴 거죠.”
“외교·안보 분야 교수들 공격 많아”
― 온라인을 통해 정보를 얻고 오프라인에서 활용하는 거네요.
“네, 맞습니다. 앞으로 이런 일들이 더 많이 발생할 겁니다. 북한의 사이버 위협은 온라인 공간에서만 일어나는 것이 아니라 이미 오프라인으로 넘어와 완전체로 결합이 됐습니다.”
지난 6월 7일 경찰은 북한 해킹그룹이 지난해 4월부터 7월까지 외교·안보 분야 주요 관계자를 대상으로 악성 전자우편을 발송해 해킹을 시도했다고 밝혔다.
경찰에 따르면 북한 해킹그룹은 통일·안보 전문가 등을 사칭해 2022년 4월부터 7월까지 윤석열 정부 출범에 맞춰 전·현직 고위 공무원, 교수, 외교·통일·안보·국방 전문가 150명을 대상으로 피싱 사이트 접속을 유도해 계정 정보를 탈취하는 악성 전자우편을 발송했다.
북한의 해킹조직은 국내외 해킹을 통해 138개(국외 102개, 국내 36개)의 서버를 장악해 해킹 공격을 위한 기반을 확보했다. 추적을 피하고자 아이피(IP) 주소도 세탁했다. 각 서버는 악성 전자우편 발송, 피싱 사이트 구축, 탈취정보 전송 등 기능별로 구분돼 있었다.
해당 사건이 발표되기 전 문종현 이사는 기자에게 이와 관련해 최근 2년간 북한 해커들이 외교·안보, 국방 분야의 전문가들을 상대로 해킹을 시도하고 있다고 밝혔다. 문 이사의 말이다.
“최근 2년간 북한의 해킹 대상들을 분석한 결과 전·현직 고위 관계자들이 다수 포함되어 있었습니다. 여기에 외교, 안보, 통일, 국방 전문가와 교수를 상대로 한 해킹 시도가 빈번하게 발생하고 있습니다.”
― 이유가 뭐라고 보나요.
“저도 이에 대해 고민을 좀 해봤어요. 결론은 하나라고 생각합니다. 이분들이 나중에 중요한 자리로 갈 수도 있는 분들입니다. 그래서 미리 이분들의 약점을 잡고 때가 되기를 기다리는 거죠. 교수들 같은 경우 대통령 선거가 5년마다 있는데 그때마다 선거 캠프나 인수위원회 구성에 포함됩니다. 온라인으로 미리 약점을 잡아 놓았다가 자신들이 필요할 때 협박을 해서 포섭하는 거죠. 그 상대가 대통령이 되지 말라는 법은 없지 않습니까.”
“사이버상에서 약점 잡혀 간첩 될 수도”
― 그래도 대통령은 보안을 철저히 관리하지 않나요.
“물론 그렇죠. 대통령직을 수행할 당시는 그렇죠. 그런데 대통령 후보로 나오면 다르죠. 대통령 후보 시절이나 그 이전에 해커들에게 치명적인 약점을 잡혀 협박을 당하게 되면 어떨까요. 심지어 그 사람이 대통령이 된다면 그냥 대한민국을 북한에 가져다 바치는 겁니다.”
― 사생활 등 약점을 노린다는 건가요.
“그렇죠. 저도 이런 분들 상대로 강연을 종종 갑니다. 그때마다 술 마시고 실수하면 안 되고 여자관계 조심해야 한다고 계속 강조를 합니다. 자신이 착하게 어떠한 흠도 없으면 문제가 되지 않지만 한 번의 실수로 허점을 보이는 순간 북한은 그것을 볼모로 사이버 공작 활동을 시작할 것이고 그렇게 북한에 포섭된 간첩이 되는 거죠.”
― 해킹 하나로 간첩을 만들어낼 수도 있는 거네요.
“이제는 개인의 정보나 약점을 훔쳐 협박해 돈을 뜯어내는 시대는 지났습니다. 사생활의 약점을 훔쳐 포섭해 온라인과 오프라인을 오가면서 간첩활동을 시키는 시대가 도래했습니다. 그러니 얼마나 무서운 겁니까. 그래서 이제는 사이버 보안이라는 용어보다 사이버 안보라는 생각을 가지고 국가 차원에서 접근해야 합니다.”
― 그렇게 되면 누가 북한에 포섭되어 간첩행위를 하는지 아무도 모르겠네요.
“그렇죠. 예를 들어 어떤 사람이 정치·외교 전문가고 나랑은 평생을 함께해 온 친구 사이지만, 누군가에 약점을 잡혀 그들의 지시를 받고 정보를 넘기고 있을지 아무도 모른다는 거죠.”
― 정말 사이버 보안이 아니고 안보네요.
“그렇기 때문에 국가 안보 차원의 개념으로 접근해야 하는 겁니다. 이제는 민관의 협력이 무조건 필요한 세상이 됐다고 생각합니다. 그래서 이번 한미정상회담에서도 사이버 보안 협력을 중요한 의제로 다룬 겁니다.”
― 어떤 해결 방법이 있을까요.
“한국도 나름 이 부분에서 해결 방법을 찾으려 한국인터넷진흥원(KISA)에서 노력은 하고 있지만, 제약적인 부분이 많습니다. 일각에서는 이제는 사이버안보청을 만들어 대응해야 한다는 목소리도 나오고 있습니다. 대한민국은 중국, 북한, 러시아에 둘러싸여 있습니다. 가까이에 사이버 위협 국가들을 두고 이대로 가다간 자멸(自滅)할 것이 분명합니다.”
“김수키·라자루스라고 하지 말고 北 해커라고 해야”
― 현재 북한의 김수키, 라자루스 등 다양한 해커그룹이 활동하고 있습니다.
“네, 그렇죠. 지금 여러 해커그룹이 활동하고 있습니다. 그런데 저는 먼저 김수키, 라자루스 등의 이름을 붙여 부르는 것을 선호하지 않습니다.”
― 왜요.
“사람들에게 오해를 불러올 수 있어요. 북한이 해킹을 했으면 북한이 했다고 하면 되지 왜 김수키, 라자루스 등 이름을 붙여주느냐 이 말이죠. 국민 입장에서는 이름만 듣고 북한 소행인지를 알 수가 없습니다. 그러니 아무리 범인이 북한이라고 해도 사람들이 믿지를 않는 거죠. 그리고 웃기는 해프닝이 있었습니다. 2014년 12월 라자루스가 미국의 소니픽처스를 해킹했을 때 라자루스의 소행이라고 발표하니 북한 조선중앙TV에서 ‘미국의 유능한 보고서에도 북한이 아니라 라자루스라고 나오지 않느냐’며 자신들이 아니라고 주장하는 일도 있었습니다.”
― 라자루스는 2014년에 처음 등장한 거로 알고 있는데요.
“네, 앞서 언급했듯이 미국의 소니픽처스라는 영화사를 공격했을 때 만들어진 이름입니다. 당시 김정은 암살을 주제로 한 영화 〈디 인터뷰〉라는 것이 만들어지면서 공격을 하게 됐는데 미국도 공격당한 것이 처음이다 보니 북한이라고 단정 짓지는 못했습니다. 그래서 저도 당시 가서 자문도 하고 했습니다. 그런데 미국 입장에서도 아무리 자문을 받고 해도 북한이라고 결론을 내리긴 어려웠나 봅니다.”
― 그래서요.
“미국의 분석가들이 해킹 공격에 대해 조사하다가 메일 주소 중에 라자 룩스, 라자 럭스라는 식의 이니셜을 쓴 메일을 발견하게 됩니다. 그걸 보고 한 분석가가 해킹그룹을 라자루스라고 이름을 만들어 부르기 시작한 거죠.”
― 그럼 김수키는요.
“그것도 좀 이상합니다. 2012년 러시아 보안 업체 분석보고서 중에 김석양이라는 영어 이름이 발견됐어요. 그런데 이걸 스펠링대로 부르자니 김석양인지 김석향인지 혼란스러웠던 거죠. 러시아는 이름 뒤에 무슨 ‘스키’를 많이 사용합니다. 이렇게 이름이 헷갈리고 어려우니 그냥 김수키로 부르게 된 거죠. 그것이 지금까지 온 겁니다.”
― 그러니까 이 건들을 모두 ‘북한’ 소행이라 판단하면 된다는 말인가요.
“그렇죠. 국민에게 혼동을 주지 않고, 북한에 빠져나갈 구멍을 만들어주지 않고 얼마나 좋습니다. 어차피 김수키나 라자루스는 북한에서 운영하는 해킹그룹인데요. 사실 한국의 경우 정치적인 상황 때문에 북한이 해도 북한이 했다고 말 못 할 때도 잦았습니다.”
정찰총국, 국가보위성, 적공국
― 김수키나 라자루스는 공격 방법이 다르지 않나요.
“다르죠. 그런데 김정은의 부하인 건 변함이 없고, 다르지 않습니다. 그러니 힘들게 그룹을 나누지 말고 하나로 묶어 북한이라고 부르면 됩니다. 미국도 최근 사이버 안보와 관련해서 새로운 전략을 펴면서 북한을 하나로 묶어 이름을 다시 붙였습니다.”
― 현재 북한 소속의 해킹그룹은 몇 개나 되나요.
“세 개 정도입니다. 먼저 2009년에 김영철이 초대 총국장으로 있었던 정찰총국에서 운영하는 곳이 있습니다. 그리고 탈북민들을 상대로 하는 국가보위성, 마지막은 외국에서는 많이 언급은 안 되고 있지만, 한국에서는 유명한 적공국(적군와해공작국)에서 사이버 공작에 관여하는 것 같습니다. 사이버 공작을 가장 많이 하는 곳은 정찰총국입니다.”
― 김수키, 라자루스 등은 모두 정찰총국 소속이죠.
“지금은 바뀌어서 모르지만, 과거에는 정찰총국 안에 121국이라고 해서 사이버 지도국이 따로 있었고, 110연구소도 정찰총국 소속이었습니다. 라자루스나 김수키는 정찰총국 소속이고, 110연구소 안에 블루노로프, 안다리엘이 있다고 봅니다. 그런데 아마 지금은 거의 다 바뀌었을 겁니다.”
― 그럼 기본적으로 세 곳에서 사이버 테러를 자행한다는 건가요.
“그렇죠. 앞서 말한 것처럼 정찰총국, 국가보위성, 적공국 이 세 곳에서 사이버 테러를 준비하고 실행한다고 보면 될 것 같습니다.”
‘아웃소싱 공격’
― 이들은 몇 가지 정도의 해킹 방법을 사용하나요.
“한 네 가지 정도 방법을 쓴다고 보시면 됩니다. 가장 많이 쓰는 것이 ‘스피어피싱 공격’인데요, 이메일 주소 하나만 있으면 쉽게 공격할 수 있습니다. 두 번째는 ‘워터링 홀’ 공격이 있습니다. 이 워터링 홀 공격은 말 그대로 목표로 하는 사이트에 잠복해 있다가 대상이 들어오면 공격하는 방식입니다. 예를 들어 국방부를 공격한다고 하면 관련 사이트, 즉 병무청이나 이런 데 잠복해 있는 겁니다. 그러다 공격을 하는 거죠.”
― 또 다른 방법은요.
“세 번째는 ‘공급망’ 공격입니다. 2009년 7·7 디도스 공격 당시 사용했던 방법인데요, 소프트웨어를 설치하면 업데이트 기능이 다 있잖아요. 그 업데이트 서버를 해킹하거나 개발자를 해킹하는 것입니다. 그래서 정상적으로 업데이트를 했는데 내 PC가 감염되는 겁니다.
그리고 마지막은 제가 발견한 건데요, ‘아웃소싱 공격’입니다. IT 종사자로 일하면서 프로그램을 개발해주고 개발한 프로그램에 악성 코드를 미리 심어 놓는 거죠. 이들은 처음부터 공격하지 않습니다. 대기업이나 중소기업에서 아웃소싱을 받아 프로그램을 만들어줍니다. 처음엔 신뢰를 쌓죠. 여러 번 그러다 마지막에 악성 코드를 심는 거죠.”
― 이러한 방법으로 북한 해커들은 지금도 사이버 공격을 감행하는 건가요.
“네, 그렇습니다. 네 가지 방법으로, 지금까지 사용하면서 계속 진화 발전해 가는 것입니다.”
문종현 이사와 두 시간 가까이 이야기를 했는데 도중 기자를 섬뜩하게 했던 말이 있다.
“저는 앞으로 우리나라가 전쟁으로 무너질 거라 생각을 안 합니다. 북한의 사이버 공격과 전략 때문에 무너질 수 있다는 생각을 하고 있습니다.”⊙
