2011년 상반기는 북한의 해킹으로 온 나라가 불안했던 시기였다. 그해 3월, 북한 정찰총국은 청와대, 국가정보원 등 주요 기관을 비롯해 국민은행, 네이버, 다음 등 인터넷 사이트 40곳에 디도스(DDoS·분산서비스 거부) 공격을 감행했다. 같은 해 4월엔 농협 전산망이 마비돼 대혼란 사태가 벌어졌다. 당시 검찰은 북한이 파일 공유 사이트에서 악성코드를 뿌리고 이에 감염된 좀비 PC를 원격 조정해 공격을 감행한 수법이라며 수개월 동안 치밀한 범행 준비가 있었다고 밝혔다.
공소장 보니… 실패한 농협 해킹, 설계자는 北 거물 리호남
유사한 시기, 작전 실패로 당시 외부에 공개되진 않았지만 역시 북한 해커들이 연루된 별도의 농협 해킹 시도 사례도 있었다. 이들이 노린 것은 '한국 정부 비자금'이었다. 서울중앙지검 공공수사1부(부장 최창민)는 4년 이상 수사를 벌인 끝에 국가보안법 위반 혐의 등으로 일당 5명을 최근 기소했다.
국민의힘 윤한홍 의원실이 입수한 이 사건 공소장에 따르면, '흑금성' 사건에서 북한 측 파트너였던 리호남이 배후에서 해킹을 설계하고 구체적인 업무를 지시하는 등 총괄한 정황이 드러났다. 1954년생인 리호남은 1990년부터 북한 내 공작 부서인 국가안전보위부(현 국가보위성)에 근무하면서 남한 정치 관련 정보와 군사 기밀을 수집해 '공화국 영웅' 칭호를 받았던 북한 내 거물급 인사다.
흑금성 사건을 바탕으로 제작된 영화 ‘공작’에서 리호남을 본뜬 캐릭터를 연기한 영화배우 이성민. CJ엔터테인먼트
흑금성 사건은 옛 국가안전기획부(안기부)의 대북 공작원인 박채서(암호명 흑금성)씨가 1998년 '북풍(北風) 사건'으로 신분이 노출되며 해고된 이후에도 리호남에게 군사 교범 등을 넘겨주다 적발된 사건을 말한다. 박씨는 징역 6년형을 받고 2016년 만기 출소했다.
"정부 비자금 농협에 있다"… 소문에 북 해커와 모의
해킹 사건의 시작은 한 무역업자가 우연히 들은 미확인 정보였다. 중국을 오가며 수산물을 수출입하던 A씨는 2011년 5월 초 "한국 정부의 비자금이 농협에 차명으로 보관돼 있다"는 얘기를 접하고 곧장 해킹팀을 꾸렸다. 그는 '실력이 좋은 북한 해커와 함께 해야겠다'는 구상으로 북측에 먼저 제안을 던졌다.
우선, 중국 단둥에서 활동하던 사업가 B씨에게 리호남 등 북한 공작원을 접촉하는 역할을 맡겼다. 기업 IT 시스템 개발하는 일에 종사했던 C씨는 북한 해커들과 실제 작업을 수행할 '선수'로 영입됐다. C씨는 과거 한 사립학교의 교사로 일한 경력이 있었다. 해킹팀엔 농협 사이트와 국정원 내부 전산망 IP 등을 알아내는 정보 제공책도 따로 있었다.
그해 6월, A씨가 작전 시작을 지시했다. B, C씨는 중국 단둥시의 한 호텔에서 리호남을 만났다. 이때부턴 리호남이 해킹의 전반적인 계획과 일정 등을 직접 기획했다. 그는 '릉라도정보센터' 해커 팀장 출신 부하를 호텔로 보내 C씨와 함께 농협 관련 사이트 200개를 뒤져 취약점을 분석하게 했다. 그 결과 '농협 사이버 독도 지점(dokdo.nonghyup.com)' 사이트를 통해 농협 전산망에 침입하기로 결정됐다.
리호남, 한국 해커에 "더 적극적으로 하라" 지시도
북한 국가보위성 요원들이 지난 4월 25일 평양 김일성광장에서 열린 조선인민혁명군 창건 90주년 기념 열병식에 참석했다. 조선중앙통신
리호남은 진행 상황 점검차 호텔을 오갔다고 한다. 이 과정에서 농협 내부망 서버 IP 등 추가 정보가 필요한 것을 파악, C씨에게 "남조선에 들어가서 (총괄 역할인 A에게) 적극적인 자료 제공을 요구하라”고 지령을 내렸다. 남한에 귀국한 C씨 등은 2011년 7월 서울 강남구 신사동 카페와 인천 모텔 등에서 농협 관련 사이트를 뒤져 얻어낸 농협 내부 관련 국가 기밀 자료를 공유하기도 했다.
이후 C씨는 인천에서 여객선을 타고 중국 단둥에 다시 들어가 리호남을 만난 뒤 기밀문서를 전달했다. 또 A씨 역시 중국으로 이동해 현장에서 상황을 관리했다. 이 기간에도 농협에 대한 해킹 시도는 계속 이뤄지고 있었다. 이들은 기술적 문제점에 봉착하자 외부에 자문하는 적극성을 발휘하기도 했다. 지속적으로 해킹을 시도했지만, 농협 내부 화면이 보이지 않고 깨져 보이는 현상이 발생하자 일부가 중국 북경으로 이동해 신원 미상의 해커와 만나고 다시 돌아온 것이다.
농협 자금 탈취 시도는 2011년 7월 약 한 달간 계속됐다. 하지만 결국 실패로 마무리됐고 해킹팀도 해체됐다. 검찰 관계자는 "북한 공작원들이 기술적 문제를 해결하지 못하자 이것저것 상당히 많은 시도를 했다"며 "그해 북한의 해킹 탓에 국가적 손실이 엄청났는데, 한국 국적의 일당이 북측에 먼저 해킹을 제안했다는 점에서 심각한 사건"이라고 말했다. 검찰 공소장에도 "이들은 농협 해킹을 통해 탈취되는 돈의 상당 부분은 그들(북한 공작원)에게 분배돼 북한으로 보내질 것이라는 사실을 알고 있었다"고 적혔다.
