[손영동의 Mr. 밀리터리] “동작 그만!” 미, 북한 사이버공격에도 레드 카드

미국이 북한의 사이버 공격에 대해 레드 카드를 꺼내 들었다. 미 법무부가 지난 6일 북한 정찰총국과 관련된 해커 박진혁(34)을 컴퓨터 사기·남용과 텔레뱅킹을 이용한 금융사기 등의 혐의로 기소했다. 미국이 북한 해커를 공개적으로 기소한 것은 처음이며, 국제적으로는 중국과 러시아에 이어 세 번째다. 겉으론 북한의 사이버 공격을 차단하는 의미가 있지만 비핵화를 이행하지 않는 북한에 대한 제재의 일환으로 보인다. 북한의 실질적 비핵화 조치가 있을 때까지 제재를 멈추지 않겠다는 트럼프 행정부의 의지가 반영된 것으로도 볼 수 있다.

미국이 기소한 박진혁은 평양의 김책공업종합대학을 나온 수재다. 그는 북한 정찰총국 예하의 악명 높은 해커집단 ‘라자루스(Lazarus)’의 멤버이면서 위장회사인 ‘조선엑스포’(IT업체) 소속으로 10년 넘게 일했다. 기소장에는 박진혁과 라자루스 일원들이 “엄청나게 많은 컴퓨터에 손상을 입혔고 정보자산의 큰 손실을 야기했다”고 적고 있다. 박진혁과 라자루스 일당들은 미국은 물론 국제사회를 대상으로 사이버 공격을 일삼았다. ▶소니픽처스 해킹(2014년) ▶방글라데시 중앙은행 해킹(2016) ▶워너크라이 랜섬웨어 유포(2017) ▶록히드마틴을 비롯해 방산기업들을 겨냥한 침해 시도(2016∼17) 등을 주도한 혐의다.

[그래픽=박경민 기자 minn@joongang.co.kr]

소니픽처스 사건은 2014년 11월 소니픽처스가 북한 김정은 국무위원장의 암살을 다룬 코미디 영화 ‘인터뷰’를 제작하자 북한이 사이버 공격과 함께 영화 개봉을 포기하라고 압박한 것이다. 당시 북한은 소니픽처스 직원들에게 악성코드가 첨부된 메일을 보내 업무시스템에 침투한 뒤, 미개봉 영화를 인터넷에 유포하고 수천 대의 컴퓨터를 훼손했다. 이에 대해 미 연방수사국(FBI)은 공격 배후로 북한을 공식 지목했고 당시 버락 오바마 대통령은 ‘비례적 대응’을 선포했다. 미국은 북한 인터넷을 한동안 마비시키는 보복공격을 단행하면서 정찰총국과 관련자의 제재를 담은 행정명령을 발동했다.

북한은 사이버 해킹으로 많은 돈을 훔쳐갔다. 박진혁 등은 2016년 2월 방글라데시 중앙은행이 보유한 국제은행간통신협회(SWIFT)의 인증정보를 해킹해 미 연방준비은행(FRB)에서 8100만 달러를 필리핀 소재 은행계좌 4곳으로 빼돌렸다. 뒤이은 필리핀 은행(2015년 10월)과 베트남 은행 해킹(12월)도 동일조직 소행으로 파악됐다. 시만텍·카스퍼스키랩 등 세계적인 보안업체들은 소니픽처스 해킹에 사용된 악성코드가 동남아 은행 해킹에도 활용됐다고 발표했다. 이 사건으로 북한 은행은 지난해 3월 SWIFT에서 완전 퇴출됐다.

북한은 SWIFT에서 퇴출당하자 다른 방식으로 돈을 탈취하기 시작했다. 2017년 5월 데이터를 인질로 돈을 뜯어내는 랜섬웨어가 지구촌을 강타했다. 해킹으로 개인 또는 업체의 데이터를 암호화한 뒤 협박해 돈을 보내주면 암호화된 자료를 원상복귀시켜주는 수법이다. 이른바 ‘워너크라이’ 랜섬웨어 사건이다. 이 랜섬웨어로 30만대 이상의 컴퓨터가 먹통이 됐다. 이후 수많은 변종이 출몰했는데 그 코드 속에 라자루스 흔적이 발견됐다. 북한 해커집단들이 공격코드를 재사용하고 있다는 점을 착안해 추적한 결과, 라자루스 소행으로 결론냈다.

라자루스는 세계 곳곳의 암호화폐거래소 해킹사건의 유력한 용의자다. 지난 3월 라자루스는 터키의 암호화폐거래소 팔콘(Falcon) 코인 도메인과 흡사한 팔칸(Falcan) 코인이라는 계정을 이용해 스피어피싱 공격을 가했다. 스피어피싱은 내부 특정인에게 악성 메일을 발송, 첨부파일을 열면 컴퓨터를 감염시켜 정보를 빼내는 방식이다. 미 캘리포니아에 본사를 둔 보안회사 맥아피에 따르면 터키 거래소 해킹은 과거 라자루스가 SWIFT를 공격할 때 사용한 공격코드와 유사했다. 지난달에는 인도 코스모스은행의 핵심시스템에 침입해 경고체계를 무력화시킨 후 1350만 달러를 탈취했다. 가짜 직불카드를 만들어 ATM 거래를 성사시켜 불법 송금한 것이다.

한국 암호화폐거래소는 북한의 대표적인 먹잇감이다. 지난해 9월 코인이즈에서 21억 원어치의 암호화폐가 털렸다. 같은 달 북한 정찰총국 121국 산하 평양 류경동 조직 소속으로 추정되는 해커가 국내 4곳의 거래소를 해킹해 비트코인을 빼내려다 발각됐다. 경찰청 사이버안전국에 의하면 북한 해커는 작년 7∼8월 4곳의 거래소 임직원 25명에게 국가·금융기관을 사칭한 악성 메일을 10회가량 발송했다. 경찰은 이 공격을 테스트할 때 사용한 지메일(Gmail) 계정이 북한에서 접속됐다는 사실을 구글 본사로부터 통보받았다. 북한은 지난해 12월 거래소 유빗(172억원 상당), 올 6월 코인레일(400억 원 이상)과 빗썸(189억 원) 등에서 암호화폐를 훔쳐가 경찰이 수사에 나섰다. 올 1월엔 암호화폐 모네로의 채굴을 지시하고, 북한 김일성대학 서버로 송금하도록 설계된 악성코드가 발견됐다. 최근 암호화폐 탈취에는 라자루스는 물론 북한 주요 해커집단 대거 가담하고 있다.

사드에 대한 공격도 있었다. 북한은 2016∼2017년 악성 메일로 록히드마틴을 비롯해 미국의 주요 방산기업들을 공격했다. 메일에는 주한미군 사드(THAAD·고고도 미사일 방어체계) 관련 내용을 담고 있었다. 지난 3월에는 보잉의 컴퓨터에서 워너크라이 랜섬웨어가 발견되는 등 라자루스의 사이버 공격이 지속적으로 탐지되고 있다. 한·미 주요기관 40여 곳에 다량의 트래픽을 한꺼번에 일으키는 동시다발적 공격으로 사이트를 마비시킨 7·7디도스 대란과는 완전히 다른 양상이다.

미 수사당국은 북한 해커들이 지메일 등 상용 이메일을 사용하는 과정에서 남긴 흔적을 단서로 활동상을 파악했다고 한다. 현재 박진혁과 공모한 다른 해커들에 대한 수사도 계속 진행 중이다. 인터폴은 미국이 요청하면 북한 해커 박진혁에 대해 ‘적색수배’(수배유형 중 가장 강도가 높은 단계)를 내릴 것이라고 밝혔다. 한편 미국은 개인이나 기업·단체에 대한 제재뿐 아니라 사이버 공격을 지원하는 모든 개인과 기업, 소위 ‘제3자’에게 제재를 가하는 법안을 마련하고 있다. 미 하원은 지난 6월 ‘사이버 억지·대응법안’을 통과시켰고, 상원도 ‘사이버 공격 제재 법안’을 발의했다.

그러나 한국에 대한 북한의 사이버 해킹이 심각한데도 정부는 적극적으로 대응하지 않고 있다. 북한 사이버 공격 대응법안은 오랫동안 국회에 계류돼 있다. 청와대는 최근 사이버안보 비서관 직제를 폐지해 컨트롤타워가 상실됐다. 북한은 오랜 해킹으로 우리의 원전·언론·방산업체·교통·은행 등 사이버 인프라를 꿰뚫고 있어 언제든 기반체계를 마비시키는 파상적 공세로 돌아설 수 있다.

손영동 한양대 초빙교수