[투데이 이슈] 불법도박 사이트부터 정부 기관 사칭 등 북한 사이버 공격, 대책마련시급

 불법도박 사이트를 제작해 국내에 판매한 북한 조직원 신상 공개

지난 14일, 국가정보원은 불법 도박 사이트를 제작하여 국내 범죄 조직에 판매한 북한 조직원의 신상을 공개했다. 중국 단둥에서 활동 중인 것으로 알려진 ‘경흥정보기술교류사’의 조직원을 비롯하여 불법 도박사이트와 관련하여 개발 및 판매, 전반적인 운영 실태에 대한 사진과 영상을 입수하였다고 밝혔다. 또한 북한 IT 조직원들에게 불법 도박 사이트 제작을 의뢰한 국내 범죄 조직에 대해서도 경찰과 실체를 파악하고 있다.

‘경흥정보기술교류사’는 김정은 북한 국무위원장의 개인 비자금을 조달하고 관리하는 노동당 39호실 산하의 조직으로, 중국 단둥 펑청 소재의 한 의류 공장 기숙사를 근거지로 삼고 김광명 단장 아래 정류성, 전권욱 등 15명의 조직원이 체계적으로 활동한다고 알려져 있다.

국정원에 따르면, “입수한 사진과 영상에는 조직원들의 이름, 소속 등 신분을 밝힌 SNS 대화와 일감 수주에 활용한 중국인 가장용 위조신분증까지 포함되어 있다.”라며 “단둥은 중국에서 북한 노동력을 바탕으로 의류 생산 기지로 부상한 곳인데, IT 외화벌이 조직이 북한 노동자들 사이에 체류하며 불법 외화벌이를 자행하는 것”이라고 덧붙였다.

이들이 주로 일감을 물색하는 방법은 중국인 브로커를 통하거나 구글, 링크드인과 같은 포털 사이트에 노출된 중국인 신분증에 본인의 사진을 합성하여 중국인 개발자로 위장한 뒤, SNS와 구인·구직 사이트에서 일감을 찾은 것으로 밝혀졌다. 2017년 유엔 안전보장이사회가 북한의 핵·미사일 개발용 외화벌이를 막기 위해 대북 제재 결의 2397호를 채택하면서 북한인의 신분으로는 중국에서 일감을 찾기 어려웠기 때문이다. 이들은 불법 도박 사이트를 제작하면 건당 5,000 달러, 유지·보수 명목으로 매월 3,000달러를 받았고 이용자가 늘어나면 추가로 매월 2.000~5,000달러를 챙긴 것으로 파악됐다. 그러나 경흥은 유지·보수 과정에서 관리자의 권한으로 회원들의 개인정보를 수집하였고 자동 배팅 프로그램에 악성코드를 심어 정보를 탈취하였고 이를 통해 확보한 한국인 개인정보를 데이터베이스로 만들어 판매를 시도한 것으로 밝혀졌다.

 끊임없이 이어지는 북한의 사이버 공격

한편, 이와 같은 북한의 IT 기술 발달로 인한 위협은 이번이 처음이 아니다. 북한의 대표적인 해킹 조직은 ‘라자루스’ ‘김수키’ ‘안다리엘’ 등이 있으며 주로 이메일을 통해서 악성코드가 담긴 문서를 보내고 이를 열람한 피해자의 정보를 취득하는 것으로 알려져 있다.

2023년 6월, 외교부 평화체제과 사무관을 사칭하여 한반도평화교섭본부 통일외교 세션으로 위장한 참석요청 이메일도 확인된 바 있다. 처음에는 평범한 업무 이메일처럼 보일 수 있도록, 외교부 공식 도메인과 유사한 가짜 도메인 주소를 사용한 것이다. 메일에는 악성코드가 심어진 파일이 첨부하고, 보안메일로 위장해 ‘보안메일보기’ 클릭을 유도한다. 버튼을 클릭하면 포털사이트 로그인으로 위장한 피싱화면이 보이며, 계정의 정보를 입력할 경우 문서를 확인할 수 있지만, 계정의 정보는 유출되는 것이다. 이외에도 2023년 3분기에 외교부, 통일부를 번갈아 가며 사칭해 북한문제 전문가를 포함하여 특정 인물의 이메일 비밀번호 탈취 공격도 있었다.

최근에는 대통령실 관계자까지 북한의 해킹 공격을 받아 많은 이들의 우려가 이어졌다. 2023년 11월, 윤석열 대통령이 영국 국빈 방문 기간 중 함께 순방을 진행했던 대통령실 행정관의 이메일이 북한에 의해 해킹당했다는 사실이 확인됐다. 업무 과정에서 대통령실 이메일과 국내 포털사이트 네이버 이메일 등을 혼용하여 사용하였으며, 네이버 이메일을 해킹당한 것으로 밝혀졌다. 이때 북한이 해킹을 통해 획득한 정보는 영국 국빈 방문 중 진행된 일부 행사 일정 및 시간표와 구체적인 행사 내용 그리고 윤 대통령의 메시지 등인 것으로 전해졌다.

 북한 사이버 공격에 대한 적극적인 대비책 마련 필요

이처럼 국내의 공공기관, 국방부, 방위사업체, 정부 핵심 관계자, 은행 및 기업 그리고 일반인의 개인정보까지 광범위하게 북한 해커들의 대상이 되고 있기에 국가기관을 비롯해 기업 및 개인 차원에서 북한 사이버 공격을 대비할 수 있는 방법에 대한 관심이 높아지고 있다.

우선, 정부 차원에서 사이버 안보 대응이 강화되었는데 윤 대통령은 1월 11일 직제개편을 통해 국가안보실에 3차장을 신설했다. 3차장은 경제안보·과학기술·사이버안보 등 신흥 안보 업무를 담당할 예정이다. 특히 4월 총선을 앞두고 있기에 선거를 방해하기 위해 가짜뉴스를 유포하거나 선거 시스템을 해킹하는 등 북한의 사이버 공격은 점차 증가할 것으로 전망된다. 그로 인해 북한의 해킹에 대한 대안을 강구할 필요성이 커지고 있다.

기업 및 개인도 북한의 사이버 공격을 대비해야 한다. 국정원이 공개한 2020년부터 2022년간 발생한 사이버 공격 및 피해 데이터에 따르면, 북한 사이버 공격의 74%가 이메일을 통한 해킹 공격이었다. 특히, 수신자의 열람을 유도하기 위해 발신자명을 변형하고 위장제목을 사용한다. 실제로 북한이 보낸 악성 메일들을 살펴보면, 국내 포털 사이트(네이버, 다음 등) 관리자를 사칭한 경우가 많았으며 ‘새로운 환경에서 로그인되었습니다.’, ‘해외 로그인 차단 기능이 실행되었습니다.’와 같이 계정 보안의 문제가 연상되는 위장 제목을 사용하기도 하였다. 따라서 국정원은 “메일 열람 시 보낸 사람 앞에 붙어있는 관리자 아이콘과 보낸 사람의 메일 주소, 메일 본문의 링크 주소 등 3가지를 반드시 확인해야 한다”고 전하며 이메일 보안 강화를 위해 2단계 인증 설정 등을 해야 한다고 덧붙였다.