뉴스 트렌드 생활정보 International edition 매체

“IT 외화벌이로 대북제재 무력화”… 매년 수천만달러 北 유입

입력 | 2019-01-12 03:00:00

[위클리 리포트]북한 해커들의 세계




연초부터 통일부 출입기자단 소속 기자 70여 명이 해킹을 당했다. 지난해 말에는 경북 하나센터에서 탈북민 997명의 이름과 생년월일 등이 담긴 명단이 해킹으로 유출됐다.

이들 해킹에는 한 가지 공통점이 있다. 모두 정부 부처나 전문가를 사칭한 이메일에 악성코드를 심은 문서나 링크를 걸어놓는 ‘스피어 피싱(spear phishing)’에 당했다는 점이다. 청와대 국정상황실장, 국회의원, 국립외교원 교수 등 명망 있는 인사의 이메일 계정을 도용하거나 ‘국가안보실 비서관 강연 원고’, ‘북-중 관계 전망 관련 설문’ 등 받는 사람이 관심을 가질 만한 제목의 가짜 문서를 첨부해 해당자들이 속수무책으로 당했다.

최근의 해킹 시도는 외교 안보 분야 당국자와 전문가들을 타깃으로 특히 활개를 치고 있다는 점에서 북한의 소행이 유력해 보인다. 지난해 북한이 대북 제재에 따른 자금난을 해소하기 위해 젊은 정보기술(IT) 인재들을 대거 중국에 파견하면서 해킹이 빈번해졌다는 점도 이런 분석에 힘을 실어준다.



○ 해킹 담당 정찰총국의 실체

지난 10년간 북한에서 컴퓨터가 본격적으로 확산되면서 각종 프로그램을 능숙하게 다룰 수 있는 정보통신 분야 전문가들이 급격하게 늘어났다. 북한 당국은 이들 중 뛰어난 실력을 가진 인재들을 뽑아 해외에 보내 외화벌이와 해킹 등에 활용하고 있다. 사진은 지난해 평양건축종합대 학생들이 컴퓨터를 통해 건물 설계도를 연구하는 모습이다. 사진출처: 조선중앙통신 홈페이지

현재 북한에서 사이버전을 담당하는 부대는 두 곳이다. 하나는 정찰총국이고 다른 하나는 군 소속 적군와해공작국(적공국)이다. 과거에는 노동당 작전부도 해킹부대를 운영했지만, 2009년 초 노동당과 군에서 운영하던 대남·해외 공작 기구가 통합되면서 모두 정찰총국으로 넘어갔다.

해킹은 주로 정찰총국이 수행한다. 적공국은 정보자료 수집보다는 인터넷을 통한 심리전과 외화벌이에 주력한다. 북한 내부 사정에 정통한 소식통에 따르면 현재 정찰총국 소속 해커는 300명 수준, 적공국 소속은 100여 명으로 파악된다. 모두 합쳐 500명을 넘지 않기 때문에 국내 언론이 주장하는 규모(3000∼7000명)보다는 인원이 적다.

김정은 국무위원장이 2013년 군 간부들에게 “사이버전은 핵, 미사일과 함께 인민군대의 무자비한 타격 능력을 담보하는 만능의 보검”이라고 강조하면서 북한의 해킹 역량은 크게 강화됐다. 이때부터 정찰총국은 최고의 수재학교인 금성학원 컴퓨터반 출신들을 뽑아 김일성대와 김책공업대에서 2년 반 동안 공부시킨 뒤, 이 중 매년 10∼20명을 선발했다. 금성학원 컴퓨터반 졸업생은 한 해에 300∼400명 배출되는데, 이 중 5% 정도를 뽑은 셈이다. 금성학원 출신들은 어릴 때부터 코딩을 익혔고, 일반인에 비해 새로운 지식을 배우거나 프로그램을 개발하는 속도가 매우 빠른 것으로 알려져 있다.

정찰총국은 한국과 미국의 국방 관련 분야 등에 설치된 고도의 보안 시스템을 뚫고 들어가 비밀을 탈취하는 것을 최우선 임무로 삼는다. 하지만 최근 들어 정찰총국은 인재난으로 고충을 겪고 있다. 북한의 뛰어난 IT 인재들이 열심히 해킹해도 돈을 벌 수 없다며 정찰총국을 기피하고 있어서다. 그 대신 이들은 돈벌이가 가능한 외화벌이 업체에 몰리고 있다. 그 결과 현재 정찰총국에는 군 복무 경력과 노동당 입당을 목표로 하는 실력 수준이 낮은 인력이 태반이다. 다만 고난도의 해킹이라도 전문가 3, 4명이면 가능하기에 고급 인력이 적다고 해서 정찰총국의 능력을 과소평가할 수는 없다는 게 IT 전문가들의 평가다.

최근 북한 소행으로 추정되는 해킹 공격 방식은 빠르게 진화하고 있다. 초식 동물들이 물을 마시러 샘에 모이길 기다렸다가 덮치는 맹수처럼 외교안보 관계자들이 자주 갈 만한 웹사이트에 악성코드를 심어놓고 방문자 PC를 감염시키는 ‘워터링 홀’(물웅덩이)이나 소프트웨어 개발자 PC를 해킹해 프로그램 설계 때부터 악성 코드를 숨겨놓는 ‘서플라이 체인 어택’(공급망 공격)이 대표적이다.

문종현 이스트시큐리티 이사는 “2017년 탈북자나 대북단체 관계자들 앞으로 돈을 송금했다거나 수혈이 필요하다는 제목의 메일이 발송됐는데, 첨부 파일이나 링크 없이 메일을 열기만 하면 바로 감염되는 크로스 사이트 스크립팅(XSS) 공격이었다”면서 “기존 스피어 피싱이 재래식 무기라면 XSS는 기존 보안 수칙으로는 막을 수 없는 핵무기급 공격”이라고 소개했다.



○ 해커로 돌변 가능한 외화벌이 전사들

북한의 해킹 역량은 정찰총국 소속 인력만으로 판단해선 안 된다. 북한이 해외에 파견한 IT 인력들도 당국의 지시가 있거나, 돈을 벌 수 있다면 언제든 해커로 돌변할 수 있기 때문이다. 북한 소식통은 “디도스 공격이나 해킹 메일 작성은 고난도 작업이 아니기 때문에 해외에 파견돼 있는 북한 IT 인력은 누구나 할 수 있다”고 귀띔했다.

지난해 9월 북한 IT 인력으로는 처음으로 미국의 제재 대상이 된 중국 옌볜(延邊)의 ‘실버스타(은성)’의 정성화 대표(49)는 북한 IT 관련 외화벌이가 어떻게 작동하는지를 보여주는 대표적인 사례다. 소식통에 따르면 그는 해외 파견 IT 인력의 최고 실세였다. 그가 해외에 데리고 나온 인력만 300명이 넘고 매년 북한에 송금하는 돈은 수백만 달러에 이른다.

그가 거느린 IT 팀들은 미국과 유럽, 호주, 중국뿐 아니라 한국에서도 주문을 받아 프로그램 제작이나 사이트 개설 및 관리, 제품 복제 등으로 돈을 번다. 북한 인력들은 저렴한 가격에 비해 실력이 좋고, 빨리 결과물을 만들어 경쟁력을 갖춘 것으로 평가받는다.

중국에 파견 나오는 팀을 북한에선 ‘대표단’이라고 부른다. 대표단은 소속 기관별로 1년씩 상주하는 팀도 있고, 몇 달 프로젝트를 완성하고 북한으로 돌아가는 팀도 있다. 각 팀은 보통 5∼7명으로 꾸려지며, 같은 아파트에 살면서 밖으로 거의 나오지 않고 작업에 몰두한다. 식료품 구입이나 쓰레기를 버리기 위해 잠깐 밖에 나올 때도 도주를 막기 위해 2인조로 행동한다.

이들은 미국이나 유럽의 주문을 받으면 시간대를 그곳으로 맞춰놓고 잠도 자지 않고 작업한다. 이런 식으로 1인당 한 달에 1000∼5000달러씩 벌어들이는데, 작으면 5∼10%, 많으면 20% 정도를 개인이 받는다. 북한 소식통은 “북한 내에서 가장 고급 인력으로 인정받는 인도 유학생 출신의 IT 기술자들은 매달 2만∼4만 달러를 벌어들이며, 이들은 주로 미국을 대상으로 일하고 있다”고 전했다.



○ IT 외화벌이의 전성시대

지난해 군수공업을 담당한 2경제위원회에 소속돼 313총국으로 명칭을 바꾼 조선컴퓨터센터(KCC)는 2017년 1000만 달러(약 112억 원)를 당 자금으로 바쳤다. 이에 고무된 김 위원장은 노동당과 무력부, 보안성, 보위성 등의 각급 내각 기관도 중국에 IT 인력을 파견해 돈을 벌어올 것을 요구했다. IT에 의한 외화벌이를 대북 제재를 뚫는 새로운 외화벌이 방식으로 채택한 셈이다. 그 결과 현재 중국에는 1000명이 넘는 북한 IT 인재들이 파견 나와 매년 수천만 달러씩 벌어들이고 있는 것으로 추정된다. 중국에서 IT 관련 외화벌이를 하다 탈북해 한국에 온 한 탈북자는 10일 “연락되는 사람들과 이야기해 보니 지금 파견된 인력 규모가 10년 전에 비해 5∼6배 늘었다”고 말했다. 엄격한 대북 제재 속에서도 중국에 파견되는 인력 규모는 오히려 늘어난 것이다.

그는 “지금 북한은 IT를 통한 외화벌이의 전성시대를 맞고 있다”며 그 이유를 세 가지로 분석했다. 우선 IT 관련 외화벌이 사업의 노하우가 쌓였다. 어디서 주문을 따고 금액은 어느 정도 받아야 하는지 등을 알게 됐다는 것이다. 중국의 핀테크(fintech·금융과 정보기술의 결합) 혁명으로 사업 환경이 바뀐 것도 영향을 미쳤다. 10년 전만 해도 중국에서 IT 사업을 수주하려면 사업체가 있고, 계약서를 작성하고, 현지인 명의의 통장을 확보하는 사전 조건을 갖춰야만 가능했다. 이 과정에서 중국인을 내세우지 않고는 사업이 불가능했다. 하지만 이제는 핀테크 혁명으로 북한 인력이 얼굴을 드러내지 않은 채 계약을 할 수 있다. 송금도 휴대전화로 쉽게 이뤄진다. 상대방에게 북한 인력임을 드러내지 않고도 원하는 거래를 할 수 있게 된 것이다. 마지막으로 북한 인력의 질적 향상을 꼽을 수 있다. 숙련된 IT 인력이 많아지고 사업이 계속되면서 노하우가 전수된 결과 전문 인력이 기하급수적으로 늘어났다.

가격이 싸고, 속도가 빠르며, 만든 제품의 품질이 좋기 때문에 이들은 전 세계에서 일감을 닥치는 대로 빨아들이고 있다. 얼굴을 드러내지 않은 채 오늘도 그들은 일감을 수주하기 위해 인터넷의 바다를 배회하고 있다.



○ 외부의 지원이 북한 해킹 능력 키워

사실 북한의 IT 역량을 키운 결정적인 요인은 외부의 지원이다. 북한에서 해킹을 제일 먼저 시작한 부서는 노동당 작전부이다. 작전부는 1990년대 한국군과 주한미군의 암호를 해독하기 위해 구소련의 암호 해독 전문가들을 비밀리에 데려왔다. 이어 최고 수재 10명을 뽑아 평양 모란봉구역 소재의 모란대에서 교육시킨 게 북한 해킹 인력의 씨앗이 됐다.

북한 IT 인력의 해외 진출은 2000년 삼성전자가 대북 사업의 일환으로 중국 베이징(北京)에 설립한 KCC 지부에 10명의 소프트웨어 인력을 파견하면서 본격화됐다. 삼성전자는 2004년까지 300만 달러 이상을 북한 인력을 이용한 소프트웨어 개발에 투자했고, 이때 해외에 나와 활동했던 인물들이 현재 북한 IT 관련 분야의 핵심 인력으로 활동 중이다. 북한 IT 업계의 거두 정성화 대표도 당시 삼성과 합작해 바둑 프로그램을 개발하던 인물이다.

북한은 예전에는 IT 분야에서 금성학원 졸업생들에게 절대적으로 의존했다. 하지만 최근에는 남북이 2009년 공동으로 설립한 평양과학기술대 졸업생들이 두각을 나타내고 있다. 소식통에 따르면 이들은 웹, 모바일, 데스크톱, 크랙(복사 방지나 등록기술 등이 적용된 상용 소프트웨어의 비밀을 풀어서 불법으로 복제하거나 파괴하는 것) 등 전문 분야를 갖고 연구와 개발을 진행하고 있는 것으로 알려졌다.

최근 2, 3년간 북한 내부의 인터넷 환경이 좋아진 것도 IT 역량의 급성장을 가능하게 했다. 현재 북한에는 정찰총국이나 적공국은 물론이고 노동당과 국무위원회, 보위성, 김일성대, 김책공대, 과학원 등에 수백 회선의 인터넷망이 깔려 있고 매년 회선이 빠르게 늘어난다. 소식통에 따르면 북한 내부에서 자료를 내려받는 속도가 중국보다 빠르다.

과거 북한에서 IT를 통한 외화벌이를 하려면 중국에 나와야만 가능했다. 또 중국에서도 같은 팀 중 몇 명만 인터넷 접속이 허용됐다. 하지만 지금은 대다수 IT 인력들에게 북한 내에서도 인터넷 접속을 허용하고 있다. 다만 감시 프로그램을 깔아 어느 사이트에 접속했는지를 파악하기 때문에 한국 사이트 등 민감한 사이트엔 접속하지 않는다.

이런 이유로 북한 IT 인력은 가급적이면 해외에 나오려 애쓴다. 부업을 해서 돈을 벌 수 있기 때문이다. 북한 소식통은 “정찰총국 해커들도 예외는 아니다”라며 “이들은 국가로부터 인정받을 만한 해킹 실적을 쌓은 뒤 나머지 시간엔 미국 유럽 등으로부터 IT 관련 사업을 수주해 자기 주머니를 채우고 있다”고 전했다.

주성하 zsh75@donga.com·신동진 기자