지난 2014년 ‘인터뷰’란 제목의 할리우드 영화가 화제였다. 인터뷰를 핑계로 북한에 들어가 김정은 위원장을 암살하는 내용이다. 가명도 아니고 김정은 이름 그대로, 분장까지 비슷하게 한 배우가 등장하자 북한은 가만있지 않았다. 최고 존엄 모독이라며 반발했고, 제작사인 소니픽처스를 상대로 해킹 보복을 벌였다. 공개도 안 한 영화를 유출하고, 직원들 개인 메일까지 빼냈다. 이 소동을 계기로 북한 해킹조직과 해커들의 실체가 드러났는데, 북한 해킹 조직은 지금도 전 세계를 상대로 해킹 공격을 벌이고 있다. 디지털 강국을 자처하는 우리나라도 예외는 아니었다.
지난주 북한 해킹 조직 ‘안다리엘’은 한국 내 방산 업체와 연구원 여러 곳에 침투해 레이저 대공 무기, 탐지기, 제작계획서 등 중요 기술과 서버 사용자 계정과 같은 개인정보가 담긴 파일 250개를 탈취한 사실이 드러났다. 해킹 아이피 주소는 ‘조선민주주의인민공화국 평양 류경동’이었다. 해킹 조직은 이 주소로 지난해 12월부터 지난 3월까지 국내 서버에 총 83회 접속했다. 공격을 당한 곳은 한국의 대기업 자회사와 식품·생물학을 다루는 국내 기술원과 연구소, 대학교와 제약회사, 금융회사 등 최소 수십 곳이다. 특히 방산업체에선 레이저 대공 무기와 관련한 군사 기술정보가 빠져나간 걸로 확인됐다. 경찰은 북한이 가로챈 기술 자료 파일의 용량이 최소 1.2TB라고 밝혔다. HD화질 영화 230편 분량이다.
이와 함께 법원 전산망도 북한 정찰총국 산하 해커 조직 ‘라자루스’에 해킹당한 사실이 있는 것으로 알려졌다. 라자루스는 악성 코드를 심어 법원 전산망에 침투한 다음 작년 말부터 올해 초까지 다섯 차례에 걸쳐 정보를 빼갔다. 법원 전산망에는 판결문은 물론 재판 당사자들이 제출한 소장 등 유출될 경우 자칫 사회 혼란으로 이어질 수 있는 민감한 정보들이 담겨 있다. 또, 북한은 지난 6월 한국에서 가장 많이 사용하는 검색포털 사이트인 ‘네이버’를 실시간으로 복제한 피싱사이트로 해킹을 시도하기도 했다. 도메인 주소로 ‘네이버포털’을 제작하고, 네이버 메인화면에 있는 실시간 뉴스, 광고 배너와 메뉴탭을 그대로 따라해 개인정보를 탈취하려고 했다. 네이버 사이트뿐만 아니라, 해킹조직 ‘김수키’라는 이름으로 구글서비스를 악용한 신종 사이버 공격을 한 바 있다.
‘안다리엘’은 신원이 불명확한 가입자에게도 서버를 빌려주는 한국의 임대업체를 이용했다. 해당 서버를 경유지로 삼아 평양 류경동에서 접속을 했고, 한국의 업체들을 해킹한 뒤 해외 클라우드 서버를 거치면서 추적을 피했던 걸로 드러났다. 돈도 빼갔다. 데이터를 암호화해 사용할 수 없도록 만들어 돈을 요구하는 악성 프로그램, 이른바 ‘랜섬웨어’를 이용했다. 안다리엘은 랜섬웨어를 유포해 국내외 업체들에게서 시스템 복구비 4억7천만원을 비트코인으로 받아냈다. 해킹을 돈벌이 수단으로 활용한 것이다. 이 돈은 홍콩 환전업체를 거쳐 북한으로 흘러 들어간 걸로 파악됐다. 더 충격적인 것은 해킹당한 업체의 대부분이 피해 사실조차 알지 못하거나, 신뢰 하락을 우려해 신고조차 하지 않았다는 사실이다. 이는 한국의 기업·연구소 등의 허술한 사이버 안보 의식을 여실히 보여주는 대목이다.
미국의 월스트리트저널은 올 6월 북한이 최근 5년간 해킹 부대를 동원해 훔친 가상자산 규모가 30억 달러에 달한다고 보도했다. 앞서 언급한, 소니픽처스의 영화 ‘인터뷰’는 북한의 해킹으로 결국 개봉하지 못하는 곤욕을 치렀다. 2016년에는 방글라데시 중앙은행이 북한의 소행으로 의심되는 해킹 피해로 거액의 외환 손실을 입기도 했다. 북한이 핵·미사일 첨단 기술 확보를 위해 최대 우방국인 러시아의 항공우주연구소까지 해킹했다는 분석도 있다.
북한은 국가 주도하에 해킹을 벌인다. 지난 4일 글로벌 보안기업 맨디언트가 발표한 북한 해킹그룹 관련 보고서에 따르면 북한의 대남·해외 공작업무 총괄 지휘기구인 정찰총국 산하에‘김수키’, ‘라자루스’, ‘템프허밋’,‘안다리엘’ 등의 해킹그룹이 활동하고 있으며 서로 기술을 공유하는 것으로 확인됐다. 사이버 공격을 통해 첩보활동을 이어가고, 사이버 범죄로 벌어들인 돈을 바탕으로 스파이 활동을 지원하는 체계를 구축한 것이다. 결국은 해킹을 통해 돈을 벌어들이고, 이렇게 탈취한 돈을 바탕으로 사이버전쟁 능력을 더욱 향상시키거나 미사일 등 전략 무기를 만드는 데 사용한다는 얘기다. 최근 가장 문제가 되고 있는 사안은 ‘가상자산 탈취’다. 북한이 가상자산 중심의 해킹 활동을 시작한 이후, 사이버 공격 빈도수가 늘어나고 있다. 블록체인 분석기업 체이널리시스가 발표한 ‘2023 가상자산 범죄 보고서’에 따르면 2022년에 발생한 가상자산 해킹 피해액이 38억 달러를 기록하며 사상 최대 피해액을 경신했다. 그 가운데 북한과 연계된 해커들이 17억 달러 상당의 가상자산을 탈취한 것으로 드러났다. 이는 전체 피해액의 44.7%에 달하는 수치다. 또, 북한은 연일 미사일을 발사하며 도발을 이어가고 있다.
한국 국방연구원 계산에 따르면 대륙간탄도미사일은 한 발에 최소 2,000만 달러, 중거리탄도미사일은 1,000만 달러, 단거리탄도미사일은 300만 달러다. 미 랜드연구소는 북한이 미사일을 25발 쐈던 11월 2일 하루에만 1천억 원 넘는 돈을 썼다는 분석을 내놨다. 장기간 이어진 경제 제재에도 돈줄이 마르지 않은 건, 암호화폐를 훔쳐오는 해커들 덕분이란 게 국제사회의 분석이다. 북한의 '암호화폐 수익' 규모는 연간 1조 원 이상으로 추정된다. 북한 전문가들은 북한이 사이버 공격으로 벌어들이는 자금이 연간 20억 달러수준인데, 이 가운데 절반이 암호화폐 해킹이라고 말한다. 북은 우리를 해칠 궁리만 하는 집단이다. 우리를 상대로 하루 평균 90만~100만 건의 사이버 공격을 시도한다고 한다. 그 수법 또한 날로 진화하고 있다. 그럼에도 최대한 감시 체계를 촘촘하게 가동하고 징후를 조기 탐지한 다음 피해를 최소화하는 것 말고는 뾰족한 방법이 없는 것이 현실이다. 언제 어떤 대규모 피해를 입을지 모르는 상황이다. 내적으로는 사이버안보 대응을 체계화할 수 있는 국가사이버안보법 제정을, 외적으로는 국제 공조 방안을 서둘러 모색해야 한다.