북한 정찰총국 해킹부대 심층해부
721 0 2
주성하 2019.03.02 14:24

(이 심층 분석에는 아직 언론에 공개되지 않은 내용이 많습니다. 북한 내부의 정통한 소식통들에게 입수한 자료로, 신뢰도가 매우 높은 편입니다. 북한 해킹 실력과 정보기술(IT) 능력의 정확한 파악에 도움이 되실 것이라고 생각합니다.)

최근 북한의 소행으로 추정되는 해킹 공격이 늘어나고 있다. 2019년 1월 7일 한국 통일부 기자단 소속 기자 70여명이 해킹 공격을 받았다. 지난해 말에는 경북 하나센터에서 탈북민 997명의 이름과 생년월일, 주소가 담긴 명단이 해킹으로 유출됐다.

청와대 사칭 가짜 보고서 유포, 국회 국방위원 메일 해킹, 하나센터 탈북자 정보 유출….

최근 외교안보 분야에 빈번한 사이버 공격에는 한 가지 공통점이 있다. 모두 정부부처나 전문가를 사칭한 e메일에 악성코드를 심은 문서나 링크를 걸어놓는 ‘스피어 피싱’(spear phishing) 방식에 당했다는 점. 청와대 국정상황실장, 국회의원, 국립외교원 교수 등 명망 있는 인사의 메일 계정을 도용하거나 ‘국가안보실 비서관 강연 원고’, ‘북중관계 전망 관련 설문’ 등 혹할만한 제목의 가짜 문서를 첨부해 메일을 받은 관계 기관 종사자들이 속수무책 당할 수밖에 없었다.

스피어 피싱은 불특정인의 정보를 빼내는 일반 피싱과 달리 목표 대상을 정해 해킹하는 방법이 ‘작살 낚시’와 비슷하다고 해서 붙여진 이름이다. 과거 원자력발전 도면을 빼내 협박한 한국수력원자력 해킹(2014년)이나 1030만 명의 회원정보를 유출한 인터파크 해킹(2016년) 등의 시발점도 내부 직원 e메일 계정으로 보낸 스피어 피싱이었다. 모두 수사당국이 북한 소행으로 판별한 사건이다.

보안 전문가는 “스피어 피싱은 사이버 공격 효율이 좋은 재래식 무기”라며 “일반에 많이 알려진 고전적인 방식이라 설마 내가 당할까하는 방심과 정교해진 피싱 방법으로 최근 외교 안보 분야 당국자와 전문가들을 타깃으로 활개를 치고 있다”고 말했다.

최근의 해킹 시도는 외교 안보 분야 당국자와 전문가들을 타깃으로 특히 활개를 치고 있다는 점에서 북한의 소행이 유력해 보인다. 또 지난해 북한이 대북 제재에 따른 자금난을 해소하기 위해 젊은 정보기술(IT) 인재들을 대거 중국에 파견하면서 해킹이 빈번하고 있다는 점도 눈에 띄는 대목이다.

그렇다면 이 공격들이 모두 북한의 소행이라고 단정하긴 어렵다. 한국과 미국 등은 북한의 해커 규모에 대해 3000명~7000명 등의 숫자를 발표하고 있다. 또 북한의 해커부대가 세계 3위라는 주장도 사실처럼 퍼진다. 그렇다면 이것이 사실일까.

북한이 해킹에 눈을 뜬 것은 1990년대 후반이다. 첫 시작은 노동당 소속 대외 대남공작부서인 작전부가 시작했다. 이들은 한국군과 주한미군의 암호를 해득하기 위해 구소련의 암호해독 전문가들을 비밀리에 데려왔다. 또 북한 각지 1고등중학교에서 10명 규모의 최고 인재들을 뽑아 1997년 평양시 모란봉구역 소재 모란대학이란 것을 만들고 교육을 시켰다. 이것이 북한의 해킹 인력 양성의 시초이다.

이후 사이버전 인력은 노동당 작전부와 군 소속 정찰국이 운용했다. 2009년 초 노동당과 군에서 운영하던 대남·해외 공작 기구가 통합되면서 모두 정찰총국 소속이 됐다. 각각 수십 명 규모의 부대로, 합쳐도 100명이 되지 않았다.
당시 작전부 소속 해커들의 실력이 더 나았다. 군부 소속의 미림대에서 해커들을 양성한다고 외부에 알려져 있지만, 미림대 졸업생들은 군 자동화 장비 담당이 태반이고, 실력도 없어 해커로 쓸 수준이 못된다. 지금도 그렇다. 2009년 이전만 해도 북한 지도부의 해킹에 대한 관심은 거의 없었고 큰 지원도 없었다.

그러나 김정은이 2009년부터 정찰총국을 직접 담당하면서 사이버전을 수행할 역량을 강화하라는 지시가 하달됐다. 북한에서 해킹을 할만한 실력 있는 인재는 평양시 소재 수재학교인 금성학원 컴퓨터반에서 대다수 양성된다. 금성학원 컴퓨터반 졸업생은 한해에 300~400명이 된다. 그러나 실력 있는 사람은 10%도 채 안된다고 할 수 있다.  이들을 김일성대와 김책공대에서 2년 반 동안 공부시키고, 이중 10~20명씩 정찰총국이 선발하고 있다.

적공국도 마찬가지다. 현재 소속 인원은 적공국 100여명, 정찰총국은 300명을 넘지 않는다. 그러나 해킹은 머리 숫자가 좌우하는 것이 아니라 실력이 좌우한다. 금성 출신들은 어릴 때부터 코딩을 하다나니 코딩이 몸에 푹 뱄는데 다른 사람들에 비해 개발속도나 새것을 배우는 속도가 매우 빠르고 차원이 다르다. 그중에서도 제일 실력 있는 사람을 해마다 3명씩만 뽑아 해커로 만들어도 북의 전반적인 해킹 능력은 순간에 올라간다.

정찰총국은 한국과 미국의 보안시스템을 뚫고 들어가는 고난도의 작업을 수행하는 것을 기본 목표로 한다. 요즘 화제가 되고 있는 디도스 공격이나 해킹 메일 작성하는 정도는 난이도가 높지 않아 누구나 할 수 있다. 정찰총국의 관심사는 이곳에 있지 않다. 만약 해킹 메일을 작성한 것이 북한이라면 이는 적공국 소행일 가능성이 높다. 탈북만 정보를 탈취해 이들을 협박해 정보원으로 포섭하는 공작을 하기 때문이다.

정찰총국의 고민은 인재난이다. 요즘은 금성 졸업생들이 정찰총국에 잘 가려 하지 않는다. 돈을 벌기 쉽지 않기 때문이다. 돈 많이 버는 힘 있는 회사들이 먼저 실력있는 인재를 빼간다. 각 회사들은 대북 제재가 심해지자 IT 인력을 양성해 돈을 벌려 하고 있다.

정찰총국은 군 복무 경력을 갖고, 입당도 빨리 하려는 사람들이 몰린다. 이런 사람들은 실력이 없어도 뇌물과 권력을 이용해 들어간다. 그러니 정찰총국에 인재들이 별로 모이진 않는다. 물론 정찰총국 소속으로 파견 나와도 해킹만 하지 않는다. 이들의 관심사는 돈을 버는 것이다. 이 때문에 성과를 위해 몇 개를 해킹해 제시한 뒤엔 나머지 시간을 ‘부업’하는데 바친다.

2016년말까지만 해도 북한 정찰총국은 해킹에 의한 돈벌이는 하지 않았다. 그 이전에 북한 해커들에 의해 은행이 털렸다는 뉴스가 나왔는데, 2017년 이전 사건은 북한의 소행이 아닐 가능성이 크다. 그러나 북한이 대북제재로 석탄과 수산물 수출 등이 금지된 이후부터는 돈벌이에 의한 해킹도 고려해보고 있다는 소식이다. 해킹으로 인해 돈을 번 성과가 있었는지는 확인하지 못했다.

결론적으로 보면 현재 북한 IT 전문가들의 최대 관심사는 돈벌이에 있지, 한국 등 해외를 해킹해 다운시키거나 정보를 빼가거나 하는 것에 있지 않다.