[단독] '北돈줄' 라자루스·김수키 겨눈다…韓, 해킹단체 첫 독자 제재 추진

정부가 북한이 중대 도발을 벌일 경우 라자루스(Lazarus), 김수키(Kimsuky) 등 북한의 정찰총국과 연계된 해킹 단체를 직접 독자 제재하는 방안을 추진하고 있다. 사이버 범죄는 북한의 실질적 '돈줄'로 부상했지만, 정부는 지금까지 사이버 범죄 분야의 핵심 집단을 특정해 독자 제재 대상으로 발표한 적이 없다.

북한의 사이버 범죄를 제재하려는 구상이 현실화 될 경우 2019년 미국, 2020년 유럽연합, 지난해 일본에 이어 한국 또한 사이버 분야에 대한 대북 독자 제재에 첫 발을 떼게 된다.

지난해 11월 개소한 경기 성남시 국가정보원 국가사이버안보협력센터 내 '합동분석실' 자료사진. 국정원.

1일 중앙일보 취재를 종합하면 정부는 북한이 7차 핵실험, 대륙간탄도미사일(ICBM) 정상 각도 발사 등 추가적 중대 도발을 감행할 경우 라자루스, APT38, 블루노로프, 김수키 등 북한 정찰총국과 연계된 해킹 단체 중 한 곳 이상을 독자 제재 대상으로 지정해 발표하는 방안을 구체적으로 검토하고 있다. 그간 한국 정부의 대북 독자 제재는 핵·미사일·대량살상무기(WMD) 개발 등과 연계된 개인·단체에만 한정돼 왔다.

정부 소식통은 이날 본지에 "북한의 예상 가능한 도발 시나리오에 따라 단계적으로 쓸 카드를 이미 한·미가 마련해두고 있으며, 한국 정부가 라자루스 등을 직접 제재하는 방안도 그 중 하나"라고 말했다.

북한의 불법 사이버 활동 관련 사정에 밝은 또 다른 소식통은 "한국은 한·미·일 3국 중에서도 북한의 불법 사이버 활동과 관련한 첩보 보유 수준이 굉장히 높은 편인데 아직 독자 제재 카드를 쓴 적이 없다"며 "북한의 해킹 기술이 비약적으로 발전했던 지난 5년 동안 전임 정부에서 북한 해커 추적에 소극적이었기 때문에 지금이라도 다방면으로 압박을 재개하려는 것"이라고 설명했다.

실제로 국가정보원은 지난해 11월 북한의 사이버 위협 등에 대응하기 위한 민·관 합동 사이버안보협력센터를 개소했다. 외교부도 지난해 8월부터 한·미 북한 사이버 위협 대응 실무그룹 회의를 발족해 워싱턴과 서울을 오가며 회의를 열었고, 지난해 11월에는 한·미 공동으로 북한 암호화폐 탈취 대응과 관련한 민관 심포지엄도 개최했다.

암호화폐를 대상으로 한 북한의 해킹 공격이 늘고 있다. 중앙포토.

해킹 관련 대북 제재는 2019년부터 미국이 독보적으로 앞서가고 있다. 미국은 2019년 라자루스, 블루노로프, 안다리엘 등 북한의 3대 해킹 조직을 시작으로 이후 수많은 해킹 조직을 추적해 제재했다. 2018년 소니픽처스 해킹(2014)에 연루됐던 해커 박진혁을 기소한 뒤 정찰총국의 지시를 받은 해커도 꾸준히 재판에 넘겨왔다. 지난해에는 암호화폐를 쪼개고 섞어 추적을 어렵게 만드는 믹서 업체 '블렌더'와 '토네이도 캐시'도 북한의 암호화폐 탈취를 도운 혐의로 제재했다.

유럽연합(EU)도 2020년부터 북한의 사이버 위협 관련 회사를 제재하기 시작했고, 일본은 지난해 12월 2일 라자루스에 대한 독자 제재를 시작했다. 당시 한·미·일 3국이 같은 날 대북 독자 제재를 동시 다발적으로 발표해 눈길을 끌었는데, 한국의 독자 제재 분야는 여전히 핵·미사일 개발과 제재 회피에 한정돼 있었다. 한국은 지난해 10월 5년만에 대북 독자 제재를 재개했다.

2021년 2월 미국 법무부는 전 세계의 은행과 기업에서 13억 달러(약 1조 4천억원) 이상의 현금 및 가상화폐를 빼돌리고 요구한 혐의로 북한 정찰총국 소속 3명의 해커를 기소했다. 작년 12월에 제출된 공소장에 따르면 기소된 해커는 박진혁, 전창혁, 김일이라는 이름을 쓰고 있으며 북한군 정보기관인 정찰총국 소속이다. 정찰총국은 '라자루스 그룹', 'APT38' 등 다양한 명칭으로 알려진 해킹부대를 운용하고 있다. 연합뉴스.

미국과 일본으로부터 동시 제재를 받고 있는 북한의 대표적인 해킹 조직 '라자루스'나 남측을 향한 사이버 공격을 주로 일삼는 '김수키' 등에 대한 한국의 첫 독자 제재는 그 자체로 상징적 의미가 크다는 관측이 나온다.

먼저 라자루스는 북한이 올해 상반기 미사일 자금(약 8700억 원)을 해킹 한 방에 벌어들인 '엑시 인피니티' 게임 회사 해킹 사건의 배후로 지목되는 조직으로, 미·일이 중점적으로 제재 대상으로 올려온 조직이다.

문종현 이스트시큐리티 이사는 이날 중앙일보와의 통화에서 "정부가 라자루스, 김수키 등 북한의 해킹 단체를 직접 제재하면 '한국이 북한의 불법 사이버 활동을 다 들여다보고 있다'는 확실한 경고가 될 것"이라며 "다만 상징적 조치를 넘는 실효성까지 갖추려면 한·미·일 공조 통해 대남 사이버 안보 위협을 일삼는 북한의 주요 해커를 추적해 적발하고 배후인 정찰총국까지 겨눠야 한다"고 말했다.

전문가들은 김수키가 한국 정부의 첫 사이버 분야 제재 대상이 될 가능성이 있다는 관측을 내놓는다. 김수키는 2014년 한국수력원자력 해킹, 2016년 국가안보실 사칭, 2021년 서울대병원 환자 7000여명 개인정보 유출 등 사건의 배후로 지목됐지만, 지금까지 미·일이 발표한 제재 대상에서 상대적으로 후순위에 머물렀다.

최상명 이슈메이커스랩 대표는 "미국과 일본의 기존 사이버 분야 대북 제재는 라자루스 중심이었는데 대남 공격을 주로 일삼는 김수키를 한국이 처음으로 독자 제재하면 상징적 의미가 더 커진다"며 "다만 북한 해킹단체들이 끊임없이 가상화폐 지갑을 바꿔가며 제재를 피할 수 있기 때문에 꾸준히 추적하는 게 중요하다"고 말했다.

북한은 정부가 독자 제재 카드를 꺼내 들기 전부터 민감하게 반응하고 있다. 김여정 북한 노동당 부부장은 지난해 12월 "남조선 외교부 것들이 우리의 자위권 행사를 '도발'이라는 표현으로 걸고 들며 추가적인 '독자 제재' 조치도 검토하고 있다는 나발을 불어댔다"며 비난 담화를 냈다.