원격 포섭에서 딥페이크까지…일상 파고든 北 해커들 [155마일]

(서울=뉴스1) 유민주 기자 = 남북관계가 경색됐을 때 더욱 바빠지는 듯한 조직이 있다. 북한의 사이버 해킹 군단이다. 당장 피부에 와닿는 피해가 없어 대부분 무시하며 지나치지만, 우리의 일상과 점점 거리를 좁혀오고 있다. 북한의 해커 조직은 지난해부터 눈에 띄게 공공기관, 반도체 장비업체, 방위산업체, 법원, 무인기 업체, 통신사 등을 반복 공격하고 있다고 한다.

북한은 오랜 기간 다양한 분야에서 해킹을 시도해 왔다. 그중 우리 군 인터넷망을 겨냥한 사이버 침입은 올해 상반기 사상 최고치에 달했다. 한국 사이버작전사령부가 집계한 통계에 따르면 올해 1~6월 한국 군사 시스템을 대상으로 한 북한 해킹 시도는 지난해 동기 대비 44.7% 증가했다.

추석 연휴를 앞둔 지난 2일 경기도 안양시 지니언스 본사에서 뉴스1과 만난 북한 사이버 위협 대응 전문가 문종현 이사는 "북한의 해킹 수준은 세계 3, 4위로 평가되지만, 사실 타깃에 따라 기준이 다르기에 순위도 다르다"며 "한국이 공격 대상일 때 북한은 그 어떤 나라보다 뛰어난 '특등 사수'라고 보면 된다"라고 말했다.

북한은 국제사회에서 경제력과 정보기술(IT) 수준이 낮은 나라로 인식되고 있지만, 적어도 대한민국을 대상으로 하는 사이버 해킹 분야에서는 북한이 우리의 문화와 언어를 가장 잘 이해하기에 그만큼 일상 침투력과 위협 수준이 높다는 설명이다.

북한은 이제 일회성으로 정보를 빼내는 것이 목표만이 아니라 사이버 세계에 잠복하다가 중요한 시기에 현실에 결정적인 영향을 미치는 것을 목표로 세운 듯한 정황을 보이고 있다. 이들의 전문화된 정교한 작업을 넓은 시야에서 주시하며 장기적인 대응책을 만들어야 하는 이유다.

"만약 북한의 해커가 대면 없이 남한의 타깃을 암살하려는 계획을 세운다면 어떤 방법을 사용할까요?"

문 이사는 2001년부터 북한발 사이버 공격을 연구해 온 사이버 안보 분야 전문가다. 국가정보원 산하 국가사이버안보센터(NCSC), 한국인터넷진흥원(KISA), 경찰청, 국군방첩사령부, 사이버작전사령부, 지상작전사령부, 외교부 등 다양한 정부 기관의 자문위원으로 활동한 그는, 북한이 향후 감행할 수 있는 최악의 시나리오로 '소프트웨어적 살인'을 지목했다.

이를 실행하긴 위해서는해킹을 기반으로 오랜 시간 타깃의 활동 반경과 일정을 파악해 동선을 파악하는 것이 우선이다. 동선과 겹치는 주변 인물의 정보를 해킹해 협박을 가하고, 그들을 통해 목표를 실행하는 가상의 상황이 현재 북한의 해킹 능력으로도 실현 가능한 수준에 가깝다고 한다. 정보 탈취에 그치는 것이 아니라 물리적, 외교안보적 사안으로 충분히 발전될 수 있다는 설명이다.

"사이버 공간이 이제는 컴퓨터 안에서 개인 정보를 훔쳐 가는 것으로 끝나지 않습니다. 외부에 공개되면 안 되는 개인의 약점을 파악해 포섭해서 지령을 수행할 수밖에 없는 단계를 넘으면 누구나 생명이 위협을 받는 상황을 직면할 수 있습니다. 물리적으로 핵과 미사일, 드론을 날려서 사람을 해칠 수도 있지만 '소프트웨어적인 킬러'가 존재하게 되는 거죠."

실제로 유사한 사례도 이미 발생했다. 한국 현역 대위 A 씨가 북한 공작원으로 추정되는 인물에게 비트코인 4800만 원어치를 받고 군 기밀을 유출한 혐의로 기소된 사실이 2022년 4월 언론을 통해 알려졌다. 일부 보도에 따르면, A 씨가 포섭된 결정적 이유는 도박 빚으로 인한 경제적 어려움이 있었기 때문인데, 그에게 처음 북한 해커를 소개한 지인을 포함해 모든 개인 정보들을 북한 해커들이 사전에 파악해 의도적으로 접근했을 가능성이 크다.

그는 대학 동기를 통해 북한과 연계된 해커와 연락을 시작했다고 알려졌으며 이후 '육군 보안 수칙' 등을 촬영·수집해 텔레그램으로 공작원에게 전송했다. 또 해커의 지시에 따라 손목시계형 몰래카메라 장비를 반입하려 했으며, 해킹용 휴대전화 등을 가상자산으로 구매한 정황이 드러나기도 했다. 이 사건은 직접적 대면 없이도 지인 소개, 사회관계망서비스(SNS)를 통해 '원격 포섭'이 가능하다는 것을 증명한 사례다.

"원격으로 사람의 생명을 직접 위협할 수 있는 공격이 점점 현실화하고 있습니다. 자율주행, 교통신호 제어기, 로봇 수술 등 생명과 직결된 사회 기반 시설과 통신, 의료시설이 대부분 소프트웨어와 네트워크로 제어되는데, 이런 시스템을 교란하거나 오작동하게 만드는 북한발 사이버 공격은 곧바로 물리적 피해와 인명 피해로 이어질 수 있습니다."

실제로 산업제어시스템을 겨냥한 공격과 의료·에너지 분야의 랜섬웨어 사례는 이러한 위협이 단순한 가설이 아님을 보여 준다는 것이 문 이사의 지적이다. 그는 "사이버 공간의 영향력이 물리 세계로 확장되는 지금, 보안 체계가 취약한 분야는 공격자에게 매력적인 표적이 될 수밖에 없기 때문에, 단말 이상 행위 조기 탐지와 대응(EDR) 체계 구축, 그리고 민관 사이버 위협 인텔리전스 협력체계의 강화가 무엇보다 중요하다"라고 말했다.

북한 해커들은 타깃 접근에 생각보다 많은 품을 들인다. 지니언스 시큐리티 센터(GSC)의 '위협 분석 보고서'에 따르면 북한 해킹조직은 지난 3월부터 4월까지 페이스북, 텔레그램 등 SNS를 통해 국방 및 대북 분야 활동가들을 겨냥한 침투 전략을 구사했다. 당시 해커는 두 개의 페이스북 계정을 통해 미리 공격 대상을 정찰·탐색한 것으로 드러났다.

그들은 대상이 정해지면 대부분 DM을 통해 친구 신청을 하거나 메신저로 대화를 걸었다. 이후 당사자가 종사하는 분야와 관련된 제목의 문서 파일을 공유하며 상대방에 악성코드가 포함된 '미끼 파일'을 전송해 접속을 유도한다. 프로필 사진 또한 일반 한국인 남성이 찍은 사진처럼 걸어뒀다. 대화를 통해 유대감을 형성해 경계심을 풀고 악성파일을 실행하도록 유도하는 방식이다.

지난해 말에는 우리에게 더욱 익숙한 카카오톡을 통해 악성 파일을 유포한 사례가 있었다. 단체 대화방에 유포된 파일은 한컴오피스의 'HWP' 문서 파일, 두 번째는 ZIP 압축파일에 포함된 'LNK' 바로가기 파일이었다. 북한 조직은 우선 개별 단말에 침투한 뒤 일정 기간 잠복을 통해 정찰하며 여러 대화방에 시간차를 두고 악성 파일을 교묘히 유포했다. 평소 잘 알던 지인에게 파일이 오면 별다른 의심 없이 열람할 수 있다는 점을 악용한 방식이다.

"신뢰를 쌓고 유대감을 형성한 다음 지속해서 공격하는 거죠. 1년 전부터 감염되어서 웹캠이나 원격제어 등으로 감시당하는 경우도 있고, 해킹될 때까지 계속 시도하는 경우도 있어요.끈질기게 장기간 진행되는 이런 작업을 전문용어로 '지능형 지속 위협'(APT) 이라고 하는데, 점점 지능화되고 있어요. 아직은 인력을 투입해 많은 작전을 실행하고 있지만 여기에 인공지능(AI)이 발전되면 더 위험해지는 시기가 오겠죠. 최근 북한 해킹 인력이 속한 정찰총국도 정찰정보총국으로 이름을 바꾼 걸 보면 방향성이 보이는 거죠."

정부는 지난달 15일 북한이 조선인민군 내 대남·해외 정보 수집 등을 담당하는 '정찰총국'을 '정찰정보총국'으로 개편한 것으로 파악된다고 밝혔다. 북한이 2023년 11월부터 군사정찰 위성을 운용하는 점을 근거로 그에 맞춰서 대외 정보 획득과 분석 기능을 강화했을 가능성이 제기됐다.

가장 최근에는 북한이 생성형 인공지능(AI)으로 가짜 신분증을 위조해 우리 군 관련 기관을 해킹하려 한 정황이 국내 처음으로 포착했다. 공격자는 '신분증 발급 검토 요청'이라는 제목의 이메일에 가짜 군무원증 이미지를 보여주는 악성파일을 첨부해 전송한 것으로 확인됐다.

생성형 AI로는 우리가 일상에서 자주 사용하는 '챗지피티'(ChatGPT)'를 활용해 딥페이크 이미지를 만든 것으로 분석했다. 여기에 실행될 때까지 끊이지 않고 메일을 보내는 식의 APT 공격이 접목됐다.

문 이사는 "이제는 북한의 내부 인력들도 경력이 쌓여 공격 범위와 수준이 매우 정교화됐고 당연히 AI가 결합하면 높은 시너지를 만들 것"이라며 "마치 커리큘럼이 짜인 것처럼 해킹을 위해 어디의 정보를 수집해서 정찰하고 공격해야 하는지 단계별로 학습이 잘 되어 있다"라고 말했다.

난이도 있는 공급망 공격에도 꾸준한 시간과 인력을 투자하고 있다고 한다. 특정 소프트웨어를 사용하는 회사를 공격하기 위해 미리 유명 소프트웨어 회사 개발자의 서버를 해킹해서 그들이 만들고 있는 프로그램 코드에 악성코드를 심어 놓는 방식 등이 활용된다. 지금 당장 특정 공급망을 뚫기보다는, 결정적인 순간에 정보를 확보할 수 있도록 '덫'을 설치해 둔다는 것이다.

일반인들도 타깃이 될 수 있다. 실제로 유명 대학에 재학 중인 학생들의 개인 정보가 해킹되는 사건이 자주 발생하고 있다. 장기적인 '투자' 차원으로 한국 사회에서 중요 위치에 설 가능성을 모두 고려해 이들의 정보를 확보해 둔다는 것이 문 이사의 추측이다. 시기에 따라 정보의 가치가 달라질 수 있기 때문이다.

다만 북한 해커의 공격이 의심되는 정황이 있어도 보통 신고를 하는 경우는 드물다. 의심스러운 이메일이나 SNS 메시지를 받으면 지워버리고 잊어버리는 경우가 대다수기 때문이다.

문 이사는 "피해자 스스로 의구심을 지우고 혼자 해결하려는 경향이 두드러진다는 게 사이버 공간에서 일어나는 범죄에 대처할 때의 특징"이라고 말했다.

그 때문에 민간과 정부 기관이 민원·신고에만 의존할 수는 없다. 전문가들은 전 세계 사이버 위협 정보를 공유하는 다양한 커뮤니티 형식의 '오픈소스 인텔리전스'(OSINT)를 활용해 해킹 관련 공격 데이터를 선별해 분석한다. 또한 유관 기관과 위협 정보를 공유하고, 센서를 탑재한 자체 보안 시스템을 통해 새 위협을 식별하기도 한다.

일부 보안 전문가들은 차별화를 위해 직접 피해자 인터뷰를 진행하며 능동적으로 정보 수집에 나서기도 한다. 이런 경우 적극적으로 해커를 역추적하거나 해킹 피해자를 발굴하는 식으로 사건 조사가 필요하기도 하다.

"(해킹을) 어떻게 했느냐와 누가 했느냐를 밝히는 것은 기본적으로 난이도가 다른 일입니다. 예를 들면 경찰은 용의자를 잡는 것까지는 업무에 포함돼 있지만, 부검까지 할 수는 없는 것과 같은 원리입니다. 배후가 중국인지, 북한인지, 러시아인지 판단하는 것 자체가 연륜이 필요한 일이죠. 하지만 이 분야에 오랫동안 몸담는 사람이 자체가 많지 않아요."

실제로 해킹의 배후를 밝히는 전문가는 많지 않다고 한다. 문 이사는 "민간 보안 전문가는 주로 해킹 기법과 공격 과정을 분석하는 데 집중한다"며 "해킹 사건의 배후를 규명하려면 보안 전문가들의 지속적인 관심과 노력, 그리고 강한 의지가 필수적"이라고 말했다. 또한 그는 앞으로 더 많은 전문가가 위협 주체 규명에 참여하고 협력해 주기를 기대한다고 덧붙였다.

북한의 조직적인 해킹 공격 범위는 넓어지고 있지만, 많은 보안 전문가가 공격 주체를 밝히기를 꺼리는 이유 중 하나는 국가 배후 해킹조직을 지목하는 행위가 위협 분석의 난이도나 중요성보다는 정치적 논란으로 오해될 가능성이 있기 때문이다. 보안 업종에 대한 사회적 인식이 아직 현실을 따라가지 못하고 있다는 지적이다.

"오래전부터 '해커 10만 양병설'이 제기되며 국가 차원에서 정보보안 산업에 대한 투자와 전문 인력 양성이 이루어졌지만, 여전히 보안 전문 인력은 부족한 편입니다. 신규 인력 확보뿐만 아니라, 오랜 기간 현장에서 근무 중인 민·관 보안 전문가들의 처우도 함께 개선해야 하지만 현실은 여전히 열악합니다. 사이버 보안 분야가 소방서나 경찰서, 병원 응급실처럼 사회를 구성하는 '기본 틀'이라는 인식과 저변이 확립돼야 합니다."

문 이사는 2001년 8월 8일 자신을 북한 사람이라고 소개한 어떤 사람과 온라인으로 대화하게 됐다고 한다. 이는 비전공자인 그가 북한 사이버 위협에 관해 관심을 가지게 된 결정적 계기였다.

처음부터 자기를 북한 사람이라고 공개한 그 사람은 자신의 소속도 밝혔다. 인민무력부 8사단 소속인데 평양 미림대학 학생이라고 했다. 문 이사는 여러 종류의 악성프로그램을 수집해 국내 보안 업체에 전달하곤 했는데, 그를 통해 컴퓨터 바이러스를 획득하기 위해 일부러 접근한 것이었다.

이후 문 이사는 2003년부터 보안업계에서 업무를 시작하게 되었고, 2009년부터 북한은 본격적으로 대한민국을 상대로 사이버 공격을 시작했다.

하지만 북한의 사이버 위협에 효과적으로 대응하기 위해서는 단일 전문가나 조직의 역량만으로는 분명한 한계가 있다. 북한의 핵·미사일과 같은 물리적 위협도 무시할 수 없지만, 겉으로 잘 드러나지 않는 정교한 사이버 공격이 핵심 위협 요인이 될 가능성이 더욱 커졌기 때문이다.

"자동차 사이드미러에 쓰인 '사물이 보이는 것보다 가까이에 있습니다.'라는 말이 북한 해커들에게도 해당합니다. 사이버 공간은 인터넷만 되면 접근이 가능한 시스템이기 때문에 이제는 우리도 보안 불감증을 내려놓고 경각심을 가져야 하는데, 아직도 그게 어려워요. 이제는 사이버 보안이 국가 안보와 직결된다는 공감대가 무엇보다 필요한 시점입니다."

youmj@news1.kr