보안업체 대표 김 모 씨는 대화를 하는 도중에도 여러 차례 고개를 두리번거리며 주위를 두리번거렸다. 누구 엿듣는 사람은 없는가를 살피는 듯한 눈치였다. 테이블 위에는 서로 다른 번호의 휴대전화 두 대를 올려놓고 얘기를 시작했다. 대화 도중에도 여러 차례 반복해서 제가 이런 얘기 한 게 새어나가면이라며 불안해했다.
김 씨가 두려워 한 상대는 북한이었다. 그는 동아일보와의 인터뷰에서 북한 프로그래머들이 남한의 정보보안 프로그램을 만들고 있다고 말했다. 인건비를 줄이기 위해 직원 수가 10명 내외인 영세 보안업체들이 북한 프로그래머들을 이용하고 있다는 것이다.
믿을 수가 없었다. 하지만 김 씨는 증거를 보여주겠다며 대화록을 내밀었다. MSN메신저를 이용해 조선족 브로커와 주고받은 대화 기록이었다. 김 씨는 보안 업계에서 10년 이상 일하며 세계 각국의 해커들과 친분이 깊기로 업계에서 유명한 사람이었다.
또 탈북자 출신 북한 문제 전문가에게 대화 내용에 등장하는 방식이 현실성이 있느냐고 자문했더니 개연성이 매우 높은 내용이라는 답을 들을 수 있었다. 게다가 MSN메신저는 대북 사업가들이 가장 선호하는 의사소통 수단으로 유명하다. 정보기술(IT) 관련 대북사업을 활발히 벌이던 작고한 벤처1세대 사업가 김범훈 북남교역 대표가 이런 식으로 북한 인사들과 사업을 협의해 왔다. 과거에 남북 대화 통로로 자주 쓰이던 팩시밀리 등과 달리 MSN메신저는 실시간 대화가 가능한데다 대화를 중개하는 서버가 미국 마이크로소프트 본사에 있어 한국 정부의 감청이 상대적으로 쉽지 않기 때문이다.
충격적인 메신저 대화록
김 씨가 건네준 대화록은 생각지도 못했던 사실을 알려줬다. 우선 북한 프로그래머들은 한국 업체의 일을 대신하기 위해 중국에서만 일하는 게 아니었다. 북한 국적을 속이고 위조 중국 여권을 만들면 남한에 입국할 수도 있다는 것이다. 이 경우 위조여권 발급과 남한 체재비는 이들을 초청한 업체가 지급한다. 비용은 한 사람을 한 달 쓰는데 약 40005000달러(약 428만535만 원), 보통 20명 이상의 팀을 두 달 정도 운영하면 하나의 프로젝트가 끝난다고 했다.
이들을 소개하는 건 중국 옌벤과 단둥 지역에 널리 퍼져 있는 조선족이었다. 보안업체 시큐베이스의 이경호 사장은 옌벤 시내에 가서 눈에 띄는 게시판에 프로그래머 구함이란 공고만 붙이면 하루에도 수십 통 씩 전화를 받을 수 있다고 말했다. 조선족의 브로커 업무가 광범위하게 퍼져 있다는 걸 뜻한다.
이런 북한 프로그래머들은 수준도 상당할 것으로 추정된다. 김 씨와 대화를 나눴던 조선족 브로커는 단순 탈북자가 아닌 북한에 KCC라고 조선콤퓨터센터의 프로그래머가 일하는 것이라며 자신이 소개하는 인력의 수준을 자랑했다. 조선콤퓨터센터(KCC)는 북한의 대표적인 컴퓨터 연구 기관으로 마이크로소프트의 윈도나 리눅스 같은 자체 운영체제(OS)와 웹브라우저 등을 개발할 정도로 수준이 높다. 최근 한국 경찰에 적발된 국내 온라인게임 업체를 해킹해 외화벌이 수단으로 쓴 해커들도 KCC 출신이다. 이 브로커는 실력을 과시하면서 이들이 국내 굴지 시스템통합(SI) 업체의 작업도 진행했고, 제2금융권 전산망을 해킹해 연체자 정보를 얻어 이를 암시장에 판매한다고도 전했다. 이런 인력 사용도 간단했다. 첫 달 용역비 절반을 선입금하면 한 번에 2050명까지 소개를 받을 수 있었다.
북한 함흥공산대 컴퓨터공학과 교수 출신인 김흥광 NK지식인연대 대표도 북한에는 KCC 외에도 평양정보센터(PIC) 등 다양한 컴퓨터 기관이 활동하는데 이들이 인력을 중국에 대규모로 내보냈다며 정치 문제로 남북 경협이 끊어진 뒤 이들의 활동이 눈에서 사라졌는데 그들이 새로운 방식으로 남한에 접근할 가능성도 있을 것이라고 말했다.
인정할 수 없는 치부
10여 년 전 북한에서 탈출한 탈북자 프로그래머 A씨도 최근 본인이 겪은 일을 털어놓았다. A씨는 충청남도의 한 IT업체로부터 중국에서 한국말 잘 하는 보안 인력을 소개해 달라는 부탁을 받았다고 했다. 그는 업체 사장이 에둘러 말했지만 사실상 북한 인력을 소개해 달라는 요구였다며 북한 인력이 기술 수준이 높고 C언어(컴퓨터 프로그래밍 언어의 일종)를 잘 아는 사람도 많다는 것까지 파악했더라고 했다.
해당 기업에서는 북한 프로그래머를 쓰면 어떨지 한 차례 검토해 본 건 사실이라 인정했다. 하지만 우리가 북한 사람들과 작업을 진행한 적은 결코 없다고 손사래를 쳤다. 실정법 위반이기 때문이었다.
보안업체 파수닷컴의 조규진 이사는 지난해 단둥에서 조선족 브로커를 통해 북한 인력을 소개받으려던 업체가 국가정보원에 적발돼 사업 자체를 접었던 일이 업계에서 화제가 됐다고 설명했다. 기업이 큰 위기에 빠질 수도 있는 위험한 일인 셈이다.
하지만 김 씨는 메신저 대화록까지 건네주면서도 이 바닥에서 장사하려면 어쩔 수 없는 일이라고 말했다. 문제가 심각하다는 생각에 대화록을 언론에 공개하긴 했지만 영세 업체 입장에서는 어쩔 수 없다는 것이다.
우선 기업이 실력 있는 보안업체를 찾아 일을 맡기는 대신 대기업 계열의 시스템통합(SI) 업체에 일괄 계약 방식으로 IT 용역을 맡기는 게 문제다. 기업이 보안 전문 인력을 고용하지 않으니 용역 업체에게 제대로 된 제안요청서(RFP)를 직접 써줄 능력도 없다는 것이다. 그 뒤는 끝없는 하청의 행렬이다. 결국 마지막 순간에 보안 프로그램의 명령어(코드) 한 줄을 직접 써넣는 최종 하청업체의 손에는 중간 유통상인이 이익을 다 빼간 뒤 몇 푼의 돈만 남게 된다.
예상 위험은 얼마나
북한 프로그래머가 남한의 보안 프로그램을 만든다고 해서 당장 한국의 모든 정보가 적대국으로 넘어가는 건 아니다. 이들이 제작을 맡는 보안 프로그램은 전체 시스템의 극히 일부에 지나지 않는다. 정보보안은 국가 안보와도 관련이 깊기 때문에 가장 중요한 시스템은 국내 업체의 검증받은 프로그래머가 직접 제작한다.
하지만 문제는 북한 프로그래머가 사소한 프로그램에 눈에 거의 띄지 않는 형태로 악성코드를 숨겨놓을 때다. 이런 작은 악성코드는 외부에서 제작자가 명령을 내릴 때까지 시스템 안에 잠복해 있다가 명령과 함께 활동을 시작한다.
북한의 소행으로 밝혀진 두 차례의 디도스 공격은 모두 특정 방식으로 쓰여진 악성코드가 잠복해 있다가 일제히 활동을 시작하면서 발생했다. 역시 배후로 북한이 지목됐던 올해 4월의 농협 전산망 마비 사태도 악성코드의 공격 때문이었다. 두 가지 사태 모두 사태 발생 이전까지는 악성코드의 존재조차 눈에 띄지 않았다. 농협을 노린 맞춤형 악성코드의 공격이었기 때문이다.
성균관대 소프트웨어공학과 정태명 교수는 보안이 아닌 일반적인 소프트웨어 개발에도 신뢰할 만한 사람을 개발자로 써야 할 텐데 단순히 싼 인력만 고려했던 충격적인 사실이라며 범법 행위인지도 검토해 볼 필요가 있을 것이라고 말했다.
김상훈 송인광 sanhkim@donga.com light@donga.com