"사이버 적들에게 마지막 메시지를 보내겠다. 너희는 키보드와 컴퓨터 모니터 뒤에 숨어있을 수만은 없다. 우리는 너희를 지켜보고 있다."

키어스천 닐슨 미 국토안보부 장관이 지난달 한 대학 토론회에서 북한의 사이버 위협에 대해 강력 경고하며 한 말이다. 닐슨 장관은 "지난 2년간 우리는 북한이 전 세계 150국을 상대로 '워너 크라이' 랜섬웨어를 퍼뜨려 의료 시스템을 마비시키고 공장 운영을 중단시키는 모습을 목격해왔다"며 이같이 말했다.

지난 2017년 5월부터 전 세계를 혼란에 빠뜨렸던 워너 크라이는 감염 컴퓨터에 있는 파일을 모두 암호화하고, 돈을 내야만 다시 정상 작동하게 해준다고 협박했던 랜섬웨어 해킹 수법이다. 영국 국민 보건 서비스 산하 병원과 여러 국가의 기업들이 공격을 받으면서 5억7000만달러(약 6500억원)가량의 피해가 발생했다.

北 사이버 공격, 제재 이후 정보털이에서 은행털이로 바뀌어

북한의 사이버전은 단순히 군사기밀 탈취나 한국 정부·사회 공격에 그치지 않고 미국·유럽 등 전 세계를 대상으로 금전을 탈취하고 안전을 위협하는 수준까지 이르렀다.

지난해 10월 미국의 한 보안 업체는 북한이 지난 4년간 금융기관 해킹으로 대규모 외화를 탈취하는 금융 전문 해커 조직들을 운영해온 사실을 밝혔다. 미국의 보안 업체 '파이어아이'가 'APT(Advanced Persistent Threat·지능형 지속 보안 위협·키워드)38'이라고 이름 붙인 조직이 미국·멕시코·브라질·러시아·베트남 등 최소 11국의 주요 금융기관과 NGO(비정부기구)를 해킹했고, 외화 11억달러(약 1조2300억원)어치 탈취를 시도해 수억 달러를 북한으로 빼돌린 것으로 확인됐다고 밝힌 것이다. 파이어아이는 미 소니픽처스 해킹을 북한이 했다는 사실을 밝혀내기도 했다. 'APT38'은 금융기관을 해킹해 외화를 탈취할 목적으로 만든 북한의 새로운 해커 조직으로, 북 정찰총국 산하 사이버 전담 부서인 기술정찰국이 운용하는 것으로 알려져 있다. 북한은 기술정찰국에 작전 인력 1700여 명(7조직), 지원·기술 인력 5100여 명(13조직) 등 사이버전 요원 6800여 명을 운용 중인 것으로 정보 당국은 보고 있다.

과거 북한의 사이버 테러 및 해킹은 군·정부 기관 등 국내 기관의 자료 유출, 2·3급 기밀 유출 등에 치우쳤지만 국제사회의 대북 제재가 강화된 수년 전부터 금융기관 해킹에 주력하고 있다. 2016년 방글라데시 중앙은행 송금 시스템을 해킹한 뒤 2017년 4월 야피존 계좌 탈취, 6월 빗썸 회원 정보 유출, 9월 코인이즈 계좌 탈취 등 가상 화폐 거래소 해킹으로 이어졌다. 국정원도 북한이 지난 2017년 국내 가상 통화 거래소 2곳 이상을 해킹해 가상 화폐 260억원 상당을 탈취했다고 국회에 보고했다.

북한은 같은 해 대만 은행을 해킹해 676억원 강탈을 시도했고, 지난해 8월엔 북한 해킹 조직 '라자루스'가 인도 코스모스은행 해킹을 시도해 1350만달러를 훔쳐냈다. '워너 크라이' 랜섬웨어 사건을 일으켜 유명해진 라자루스도 북 기술정찰국 소속으로 알려져 있다.

南北정상회담서 北사이버 도발 거론 안돼

문제는 이런 사이버 공격 주체가 북한에 한정되지 않고 중국·러시아 등 주변 강국도 나서고 있으며, 이 나라들이 우리나라도 공격 대상으로 삼고 있다는 점이다. 벤저민 리드 파이어아이 사이버 첩보 분석 선임 연구원은 국내 언론 인터뷰에서 "한국을 대상으로 한 사이버전은 단순히 북한으로만 한정되지 않는다"며 "중국은 2010~2011년을 시작으로 정책 정보를 수집하기 위해 해킹을 시도했다"고 말했다. 중·러·일 등 주변 강국의 안보 위협이 해·공군력, 미사일, 우주 분야뿐 아니라 사이버 분야까지 확대되고 있는 것이다.

청와대 국가안보실은 지난 2일 역대 정부 중 처음이라며 사이버 안보 정책의 최상위 지침서인 '국가 사이버 안보 전략'을 발표했다. 하지만 이 문서에서 정작 가장 중요한 북한의 사이버 도발과 위협은 적시하지 않았다.

지난해 이후 세 차례 남북 정상회담과 여러 차례 남북 실무 접촉이 있었지만 북한의 사이버 도발을 거론했다는 얘기도 들리지 않는다. 북한의 해킹을 통한 외화 탈취는 김정은의 돈줄을 마르게 하려는 대북 제재 전선에도 큰 구멍을 내고 있다. 북한의 비핵화 진전 압박을 위해서도 북한의 사이버 도발을 더 이상 방치해선 안 된다.

미 뉴욕타임스는 지난달 북한이 지난 2월 말 하노이 2차 미·북 정상회담이 열리는 동안에도 미국과 유럽 사업체들을 해킹 공격했다고 보도했다. 빅터 차 미 CSIS(전략국제문제연구소) 한국 석좌도 "지난 15개월 동안 북한은 이번 협상 때문에 핵실험을 하지 않았지만 같은 기간 사이버 활동은 멈추지 않았다"고 지적했다.

문재인 대통령은 11일 교착 상태에 빠진 북 비핵화 협상 돌파구를 열고자 트럼프 대통령과 한·미 정상회담을 한다. 무리한 대북 제재 완화를 고집하지 말고 북한의 '사이버 은행털이' 등을 막을 강력한 한·미 연합 대북 사이버 작전 방안부터 협의해야 할 것이다.


☞APT(Advanced Persistent Threat 지능형 지속 보안 위협)

'APT(Advanced Persistent Threat·지능형 지속 보안 위협)'는 배후에서 국가가 지원한 것으로 파악된 해커 조직에 대해 미 보안업계가 붙이는 명칭이다. 확인된 순서대로 숫자가 붙는다. 이란에 거점을 둔 해커 조직은 'APT33', 러시아 해커 조직은 'APT29'로 이름을 붙이는 식이다.