온라인 거래와 디지털 화폐의 도입에 부적절한 사이버 보안이 맞물려 북한에 불법 자금취득의 길 열어줬다

미국에 가장 큰 사이버 위협을 제기하는 나라는 러시아·중국·이란·북한이다. 북한 정권은 나머지 나라들과 마찬가지로 사이버 정탐에 상당히 열을 올린다. 그리고 러시아·이란처럼 파괴적인 사이버공격을 감행해 컴퓨터 디스크의 데이터를 삭제하고 온라인 서비스를 중단시킨다.

그러나 북한의 사이버 위협은 두 가지 측면에서 다르다. 첫째, 북한 정권의 사이버 공격 역량이 독립적인 해커 그룹에서 비롯되지 않았다는 점이다. 현재도 북한에 정부와 독립적으로 활동하는 해커가 있을 가능성은 거의 없는 듯하다. 둘째, 북한은 (모두 국가가 후원한 듯한) 사이버범죄를 통해 훔쳐낸 돈을 자금난에 허덕이는 정부 재원으로 사용한다는 점이다.

정부가 통제하는 해킹: 북한에 독립적인 해커가 없는 듯한 한 가지 이유는 대다수 북한 주민이 인터넷망에 접근하지 못한다는 데 있다. 북한은 수년 전부터 중국을 통해 인터넷에 연결됐지만 엘리트 계층과 외국인 방문객만 이용할 수 있다. 해커가 되려 해도 국경 넘어 해킹을 시도할 수 없다. 다른 나라의 해커들이 기술을 배우고 정보를 공유하는 데 이용하는 상당수 온라인 포럼에서 해킹 매뉴얼·코드·정보를 입수할 수도 없다.

그뿐 아니라 북한은 주민에 대해 대단히 강력한 통제를 유지한다. 북한이 관련된 해킹은 모두 정부가 직접 하지 않더라도 정부를 위해 이뤄졌을 수 있다.

국가가 후원하는 해커들: 북한의 사이버 전사들은 주로 정찰총국이나 조선인민군 총참모부 소속이다. 전국 각지의 학교에서 유망주를 선발해 김일성 군사종합대학을 비롯한 대학과 칼리지에서 사이버전 훈련을 시킨다. 2015년 남한 군 당국은 조선인민군에 소속된 사이버전 전문가가 최대 6000명에 달한다고 추산했다.

북한 정부는 중국을 비롯한 외국 시설로 해커들을 보내거나 외국에서의 근로를 허가해준다. 실제로 인근 국가들로 해커 수백 명을 보내 정부 자금을 조달한 것으로 알려졌다. 북한이 관련된 사이버 공격을 추적한 결과 상당수가 중국 내에서 비롯된 것으로 드러났다.

정탐에서 파괴활동으로: 북한은 적어도 2004년부터 미국과 한국을 정탐하기 위해 사이버 작전을 펼쳐 왔다. 미국에선 군사 조직과 국무부가 표적에 포함됐다. 북한은 사이버 정탐을 통해 대량살상무기·무인기·미사일 관련 기술을 포함한 외국 기술을 입수한다.

2009년 북한은 사이버 작전을 확대해 파괴활동을 포함시켰다. 그 첫 번째가 2009년 7월 발생한 해킹 공격이었다. 대대적인 분산서비스거부(DDoS) 공격으로 미국과 한국 표적들의 기능을 정지시켰다. 해커들은 ‘와이퍼(wiper)’ 멀웨어(악성 소프트웨어)를 이용해 디스크의 데이터를 삭제하기도 했다.

북한은 수년 간에 걸쳐 은행뿐 아니라 미국과 한국의 기타 민·군 시스템을 대상으로 DDoS와 디스크 자료삭제 공격을 계속해 왔다. 2011년 4월 한국의 농협을 겨냥한 사이버 공격으로 신용카드와 현금입출금기(ATM) 서비스가 한 주 이상 중단된 것으로 전해졌다.

2014년 12월 북한 해커들은 남한 원자력발전소의 데스크톱 컴퓨터들을 와이퍼 멀웨어로 공격해 하드 드라이브의 데이터뿐 아니라 마스터 부트 레코드(하드디스크의 부트섹터) 기동 소프트웨어까지 파괴해 복원을 더 어렵게 만들었다. 해커들은 그뿐 아니라 원전의 청사진과 직원 정보까지 훔쳐내 유출시켰다.

북한은 미국의 발전업체들과 캐나다의 철도시스템에도 해킹을 시도했다는 혐의도 받아 왔다.

소니 해킹: 핵시설에 대한 공격이 발생하기 약 한 달 전 북한은 와이퍼 멀웨어로 소니 영화사를 공격해 그 회사의 데스크톱 컴퓨터와 서버 4000대 이상을 파괴했다. 해커들은 시사회용 영화, 민감하고 종종 망신스러운 이메일과 기타 데이터까지 훔쳐내 공개했다.

자칭 ‘평화의 수호자들’이라는 해커들은 북한 지도자 김정은에 대한 암살 기도를 소재로 한 풍자 영화 ‘인터뷰(The Interview)’의 개봉을 중단하라고 소니에 요구했다. 해커들은 또한 그 영화를 상영하는 영화관은 모두 공격하겠다고 위협했다. 영화관들이 처음에는 예정된 상영 일정을 취소했지만 결국 나중에 온라인과 영화관에서 모두 개봉됐다. 다른 경우와 마찬가지로 북한의 위협 시도는 실패로 돌아갔다.

금융범죄: 근년 들어 북한은 정부 재원 조달에 사이버 작전을 동원하기 시작했다. 이는 노골적인 자금강탈·갈취 그리고 암호화폐 채굴 등 여러 가지 불법적인 수단을 통해 이뤄진다.

2016년 초 북한은 글로벌 국제은행간통신협회(SWIFT) 금융 네트워크를 통해 방글라데시 중앙은행으로부터 9억5100만 미국달러를 빼돌릴 뻔했다. 다행히 철자오류로 인해 8100만 달러의 이체에만 성공했다. 분석가들은 그 해킹 공격의 배후로 ‘라자루스 그룹’을 지목했다. 소니와 기타 은행들에 대한 공격을 포함해 북한이 관련된 상당수 공격의 배후로 여겨지는 단체다.

라자루스 그룹은 지난해 150개국의 컴퓨터에 확산됐던 워너크라이 랜섬웨어의 배후로도 지목됐다. 그 랜섬웨어는 피해자 컴퓨터의 데이터를 암호화한 뒤 데이터를 다시 이용하려면 비트코인 암호화폐를 송금하라고 요구했다.

북한은 해킹한 컴퓨터로 암호화폐도 채굴해 왔다. 해킹당한 컴퓨터에서 어려운 연산작업을 수행해 디지털 화폐 ‘소득을 올리는’ 소프트웨어를 구동한다. 그 뒤 그 돈을 해커와 연결된 계정으로 송금한다. 암호화폐 거래소도 북한 해커의 공격 대상이다. 그들은 남한 거래소 두 곳에서 수백만 달러 어치의 비트코인을 빼돌리고 그 밖에 10개소에서 절취를 시도한 것으로 보도됐다.

사이버범죄의 위력: 다른 나라들과 마찬가지로 북한은 사이버 정탐과 사이버 파괴공작을 동원해 비밀을 입수하고 적들에게 피해를 준다. 그러나 그들은 자국 프로그램의 자금 조달을 위해 사이버 범죄를 이용한다는 점에서 다른 나라들과 차별화된다. 이는 아마도 미국 달러화를 위조하고 그 밖의 불법 활동으로 자금을 조달한 북한의 전력을 감안하면 놀랄 일도 아니다.

온라인 거래와 디지털 화폐의 도입에 부적절한 사이버 보안이 맞물려 북한에게 새로운 수단을 통해 자금을 불법취득할 길을 열어줬다. 핵을 비롯한 무기 개발에 대한 북한의 열의뿐 아니라 경제제재의 영향을 감안할 때 북한이 앞으로도 사이버 세계를 통해 경제적 이득을 취할 방안을 계속 모색할 가능성이 큰 듯하다.

- 도로시 데닝



※ [필자는 미국 해군대학원 방위분석학 명예교수다. 이 글은 온라인 매체 컨버세이션에 먼저 실렸다.]

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지