북한, 미국 금융·통신·가스 등 기반시설 공격 시도…선거개입 위협도

북한의 국제사회 제재를 우회하는 수법들이 속속 밝혀지는 가운데 해킹을 통한 사이버범죄 행위가 수면 위로 떠올랐다. 최근 유엔 안전보장이사회(안보리) 산하 대북제재위원회가 공개한 보고서에 따르면 북한이 해상 환적을 통한 원유수입과 석탄수출, 중동ㆍ아프리카에 대한 무기판매 등 유엔의 제재를 지속해서 위반하고 있고, 그중 가장 적극적으로 활용하는 분야가 사이버 공격이다.

유엔 안보리 회의에 참석한 마이크 폼페이오 미 국무장관. [AFP=연합뉴스]

안보리 보고서에는 북한이 사이버 공격을 통해 외화를 벌어들이는 구체적인 정황이 담겼다. 북한 해커들은 2018년 5월 칠레 국영은행에서 1000만 달러를 강탈했고, 8월엔 인도 코스모스 은행의 핵심 인프라에 침투해 보안체계를 무너뜨린 후 1350만 달러를 훔쳐 홍콩의 북한기업 계좌로 빼돌렸다. 인도 은행의 경우 해커들은 ATM(현금자동입출금기) 거래 소프트웨어를 조작해 복제한 직불카드로 인출하는 고도의 기술력을 보였다.

은행에 대한 사이버 공격은 2016년 2월 발생한 방글라데시 중앙은행 해킹이 대표적이다. 뉴욕 연방은행의 방글라데시 중앙은행 계좌에서 8100만 달러를 빼내 필리핀 마닐라 소재 은행으로 송금한 후 인출ㆍ세탁됐다. 해커들은 국제은행간통신협정(SWIFT)의 보안체계를 완벽히 분석해 은행 간에 오가는 거래 장부를 위조했다.

유엔 안보리 대북제재위원회 전문가 패널은 지난달 12일(현지시간)발표한 보고서에서 북한의 제재위반 행위가 여전히 일어나고 있다고 밝혔다. [뉴시스=유엔 안보리 대북제제위 보고서 캡처]

이를 주도한 북한 해커조직 ‘라자루스(Lazarus)’는 2015년 12월 베트남 은행, 2017년 1월 폴란드 은행과 같은 해 10월 대만의 극동국제은행, 2018년 1월 멕시코 은행을 해킹한 배후로도 지목됐다. 미 연방수사국(FBI)은 2018년 9월 라자루스 주요 멤버인 박진혁과 그가 속한 위장기업 ‘조선 엑스포’를 공개ㆍ기소했고, 추가 범죄 행위에 대해 조사하고 있다.

북한의 사이버 공격을 총괄하는 정찰총국도 부각됐다. 보고서에 따르면 북한 정찰총국이 2017년 1월부터 2018년 9월까지 한국ㆍ일본 등 동아시아의 암호화폐거래소를 5차례 해킹해 총 5억7100만 달러(약 6450억원)를 탈취했다. 대북 경제제재로 40%가량의 외화를 상실한 상태에서 정찰총국이 해킹을 통해 이를 보충하려 한 셈이다.

그래픽=박경민 기자 minn@joongang.co.kr

은행뿐 아니다. 2016년 7월 한국의 인터넷 쇼핑몰 ‘인터파크’에서 고객정보를 빼낸 뒤 30억 원어치의 암호화폐(비트코인)를 요구했다. 2017년 5월 전 세계에 피해를 준 ‘워너크라이’ 랜섬웨어 공격과 2018년 1월 일본의 암호화폐거래소 ‘코인체크’에 대한 공격도 북한 소행이다. 추적이 어렵고 용도가 다양한 암호화폐는 북한의 제재 회피 수단으로 공격목표가 된 지 오래다. 국정원도 2017년 국내에서 발생한 4차례의 암호화폐거래소 해킹사건 모두 북한 소행이라고 밝힌 바 있다.

보고서는 북한 정찰총국이 저지른 사이버범죄가 금융제재를 회피하고 외화벌이로 사용되는 만큼 안보리가 추가 금융제재를 검토할 때, 북한의 사이버 공격 실태를 고려해야 한다고 지적했다. 국제사회의 이 같은 우려에도 불구하고 북한의 다양한 사이버 활동이지속해서 포착되고 있다. 북미 비핵화 협상 중에도 북한은 미국의 금융ㆍ통신ㆍ석유ㆍ가스 등 주요기반시설에 대한 사이버 공격을 시도했다.

유엔 안보리에 참석해 발언하는 김성 주유엔 북한대사 [연합뉴스]

보안기업 맥아피는 북한이 대미 사이버 공격을 본격화한 시점을 2017년 9월로 보고 있다. 당시 도널드 트럼프 미 대통령이 유엔총회 연설에서 북한 김정은 국무위원장을 로켓맨(Rocket man)이라 부르며 북미 갈등이 상당히 고조된 시기였다. 영국ㆍ이스라엘ㆍ일본ㆍ스페인ㆍ이탈리아ㆍ홍콩ㆍ한국 등도 공격 대상이었지만 절대다수는 미국에 집중됐다. 각국 정보기관과 보안기업들은 북한의 수많은 해커조직이 해외에서 광범위하게 활동 중이라는 근거를 계속해서 내놓고 있다.

한편 미 의회에서는 북한과 거래하는 제3의 금융기관을 규제함으로써 국제사회 대북제재의 구멍을 막아야 한다는 목소리가 커지고 있다. 북한의 불법 해상 환적을 돕는 개인과 기관에 대해 제3자 제재를 가하는 등 북한을 더욱 압박해야 한다는 것이다. 이른바 ‘세컨더리 보이콧’은 제재 국가와 거래하는 제3국의 기업이나 금융기관까지 제재하는 것을 말한다.

지난달 7일 북한의 사이버위협을 적시한 ‘사이버 외교 법안(H.R.739)’이 미 하원 외교위원회를 통과했다. 법안에는 미국의 사이버안보를 훼손하는 심각한 행위에 고의로 관여하는 모든 개인과 기관을 제재 대상으로 지정해야 한다고 명시했다. 또한 북한을 러시아ㆍ중국과 더불어 사이버 공격을 통해 미국 선거에 개입할 수 있는 ‘잠재적 위협 국가’로 지목했다.

남북공동연락사무소가 판문점 선언으로 합의된 지 140일 만인 지난해 9월 14일 개성공단에서 문을 열었다. [개성=사진공동취재단]

북한은 겉으로 평화 분위기에 편승해 제재 완화를 주장하면서 체제 유지에 필요한 외화를 획득하는 데 온갖 편법을 동원하고 있다. 상대적으로 제재의 고삐를 죄기 어려운 사이버공간을 최대한 활용하고 있다. 지난해 발생한 암호화폐거래소 해킹의 약 65%가 북한에 의한 것이라는 분석보고서가 나올 정도로 전 세계은행과암호화폐거래소를 겨냥하고 있다.

미국과 유엔의 계속되는 대북제재가 북한이 사이버 공격력을 한층 끌어올리는 계기가 됐을 것이다. 이제 북한은 ‘불량국가’라는 낙인에 아랑곳하지 않고 막가는 사이버강도행각을 펼치고 있다. 국제사회는 그런 북한에 더 강력한 제재를 가할 채비를 서두르고 있지만, 정작 당사자인 우리는 북한의 악의적 사이버 도발을 ‘강 건너 불구경’하는 듯하다.

손영동 한양대학교 교수