‘해커들을 통해 제재를 피해가는 북한’
최근 두 달 동안 한반도 관련한 역사적인 소식들이 보도되었다. 북한 김정은 위원장이 두 번이나 한국 문재인 대통령과 만났고 트럼프 대통령과 북미정상회담을 개최했다. 이런 상황에서 지하 핵실험을 위한 마지막 실험장을 폐기한다고 발표했다. 북한이 이렇게 통큰 양보를 하는 이유는 무엇일까? 매우 역설적으로 들리지만 이런 행보는 일반 대중은 거의 알지 못하는 북한 출신 해커들이 상당한 성공을 거두고 있기 때문이다.
2016년 2월 북한 해커들은 잘못된 철자법 실수 때문에 뉴욕 연방 준비은행에 예치되어 있는 방글라데시 중앙은행의 10억 달러를 해킹하는데 실패했다. 서류에 foundation이라고 쓰는 대신 fandation이라고 표기했기 때문에 이를 발견한 직원들이 경계심으로 거래를 취소했다. 그럼에도 불구하고 해커들은 8천만 달러 이상을 해킹했다. 일반 사용자들은 이런 사이버 공격 실패에 대해 헛웃음을 웃으며 조롱했지만, 전문가들은 반대로 경계심을 가졌다. 북한은 사이버 공간에서 실제적인 위협이 되고 있다. 현재 북한의 사이버군은 6천 명 정도인데, 2009년 창설된 미국 사이버군사령부와 미국 군 휘하의 사이버 부대들의 전체 인력은 7000명이 약간 못 되는 숫자이다.
최근 4년간 러시아는 북한의 전술은 사상적 공격(북한의 핵물리학자 납치에 관한 영화 방영을 계획 중이던 영국 제 4채널 해킹, 김정은에 관한 말많은 영화 ‘인터뷰’를 개봉한 미국 소니 픽처스 해킹)에서 인터넷 수익으로, 그 다음으로 합법적인 IT 비즈니스 해킹에 이르는 중요한 3단계를 거쳤다. 해킹은 북한 정부의 자금 조달을 위한 중요 수입항목이 되었다. 사이버 활동으로 북한 정부는 매년 10억 달러를 조달하고 있다. 이 액수는 불법적인 석탄 및 무기 수출에서 거두는 수익보다 훨씬 더 많은 금액이다. 2017년 석탄과 무기 수출로 북한이 벌어들인 돈은 2억 달러에 불과하다고 유엔 독립 감시자비밀 보고서는 말하고 있다. 북한의 전체 수출액은 연간 30억 달러로 추정되고 있다.
방글라데시 중앙은행 이외에도 북한은 랜섬웨어 바이러스 WannaCry 공격과 2017년 폴란드 금융 감독 위원회 해킹에 관여하고 있다. 그리고 이것들은 알려진 사례에 불과하다. 종종 피해자들은 다수의 공격을 일부러 은폐하고 있는데, 자사의 사이버 취약성이 알려질 경우 회사의 신용도와 명성에 타격을 입고 주가가 떨어질 것을 우려하기 때문이다.
북한의 컴퓨터운영체계 '붉은별' www.en.wikipedia.org
고급 IT 전문가들로 군대를 양성한 후, 북한은 전 세계에 합법적인 소프트웨어를 개발하는 수십 개의 회사를 설립했다. 북한과 관련된 회사들은 생체인식 데이터 식별 시스템을 중국, 일본, 말레이시아, 인도, 파키스탄, 태국, 아랍에미레이트, 영국, 독일, 프랑스, 러시아, 캐나다, 아르헨티나, 나이지리아 등에 판매하고 있다. VPN 기술은 말레이시아의 거래업체가 사들이고 있다고 제임스 마틴 비확산 연구센터가 밝혔다. 이러한 사실은 우려(憂慮)를 불러일으키지 않을 수 없다. 북한이 개발한 소프트웨어는 백도어, 즉 시스템에 비밀리에 침투해서 워크 플레이스를 완전히 제어할 수 있도록 프로그램에 심어놓는 비밀 프로그램을 포함하고 있을 가능성이 있기 때문이다. 이런 활동은 목적을 가지고 서두르지 않고 가장 위험한 단계인 결정적인 인프라 타격을 위한 준비 작업으로 간주할 수 있다.
2018년 초반 세계 사이버 보안 분야 선두 10대 업체인 FireEye 사의 분석가들은 APT 37 그룹의 활동이 활발해졌다고 보고했다. 이 해커 그룹은 자동차 산업, 항공 우주 산업, 에너지 및 석유 산업 분야에서 북한의 전략적 군사적, 정치적 및 경제적 이익을 지원하기 위한 첩보를 비밀리에 수집하고 있다. 이 해커들의 전략은 사용자 데이터 파괴에서부터 장치에 대한 비밀 제어(制御)까지 다양하다.
북한은 결정적으로 중요한 인프라에 접근하는데 관심이 많다. 10년간 국영 에너지 관련 기업들인 한국 전력 공사, 한국 수력 원자력에 대한 해킹 시도 건 수는 4천배나 증가했다. 그 다음으로 위협을 받는 곳은 미국이다. 2017년 9월 메릴랜드 소재 Dragos 사는 미국, 유럽 및 동아시아의 전력 시스템을 겨냥한 코벨 라이트 (Covellite) 그룹의 의심스러운 활동을 색인에 올렸다. 이 해커 그룹의 방법은 북한의 가장 유명한 해커 그룹인 Lazarus의 활동 방식을 많은 점에서 상기시킨다. Dragos 사는 전력 시설의 산업적 제어 요소 중에서 163개의 새로운 보안 취약성을 분석하여 그중 61%가 사이버 공격에 사용된다면 중대한 업무 영향을 불러일으킬 수 있다는 것을 발견했다.
현재 평양은 향후 외교적 협상에서 중요한 논쟁거리가 될 수 있는 사이버무기들을 성공적으로 개발하고 사용하고 있다. 북한의 계속되는 제재 때문에 해커 활동을 양성할 수 밖에 없었고 매우 큰 성공을 거두고 있다. 해킹은 북한이 부족한 예산을 채우고 특히 북한 송출 노동자 고용 금지를 포함한 대북 제재를 피해가는 이상적인 수단이 되고 있다. 또한 북한 해커그룹의 활동에는 분명한 전문화가 나타나고 있다. Crowdstrike 사의 전문가들은 북한 해커 그룹 Lazarus가 네 그룹으로 나누어진 것으로 보고 있다. 첫째 그룹은 수입을 얻을 수 있는 상업적 공격을 담당하고, 두 번째 그룹은 언론과 국가 기관을 상대로 활동하며, 세 번째는 첩보기관을 대항하는데 중점을 두고 있으며, 네 번째 그룹은 사용자의 기밀 정보를 강탈하는 것을 담당하고 있다.
핵문제에서 북한의 통큰 양보는 사이버 공간에서 성공을 거두고 있기 때문이라고 해도 과언이 아니다. 또한 해커 공격과 핵 실험 사이에는 명확한 상관관계가 있다. 3차(2013년 2월), 4차(2016년 1월), 5차(2016년 9월) 핵실험 당시 북한이 조직한 중대한 사이버 공격이 있었는데 언론들은 핵실험을 보도하느라 여기에 기울여야 할 만큼 많은 주의를 기울이지 않았다. 북한의 고립이 미국으로 하여금 북한에 대한 효과적인 대응전략을 수립하는데 어려움을 주고 있다는 것은 매우 역설적으로 들린다. 미국은 북한에 대해 개방된 정보원에 의존할 수 밖에 없다. 게다가 사이버공간에서 대응 타격을 가하려는 시도는 실패할 수 밖에 없다. 그 이유는 북한이 사실상 네크워크에 대한 액세스를 가지고 있지 않기 때문이다. 그리고 북한의 인터넷 접속을 완전히 차단해도 공격은 그치지 않는다. 북한 해커들은 전 세계에 분산되어 있으며, 동남아시아 어떤 지점에서든 공격을 감행할 수 있기 때문이다. 또한 사이버 범죄에 대해 북한을 징계하는 것은 불가능하다. 가장 고통스러운 대북제재는 이미 도입되었고, 사이버 공격에 대한 군사적 타격에 대해서는 한 나라도 찬성하지 않을 것이기 때문이다.
글 = 알렉산드르 마마예프 | 네자비시마야가제타
* 알렉산드르 마마예프는 공학박사이며, 모스크바 물리공대 ‘암호학 및 이산 수학’ 전임 학과장이다.
글로벌웹진 NEWSROH www.newsroh.com
