미국이 지난해 체포한 북한, 중국, 러시아 등 ‘적성국’ 간첩 숫자가 전년 대비 35% 증가했다고 미 연방수사국(FBI) 수장이 최근 밝혔다. 캐시 파텔 FBI 국장은 지난달 17일(현지시간) 케이티 밀러의 팟캐스트에서 “대규모 단속과 대규모 체포가 대테러 및 방첩 분야에서 계속 이뤄지고 있다”며 이같이 주장했다. 케이티 밀러는 도널드 트럼프 미국 대통령 최측근인 스티븐 밀러 백악관 부비서실장의 아내이자 극우 성향 팟캐스터다. 파텔 국장은 그러면서 “올해(2025년) 외국의 적대 국가 간첩들을 작년(2024년)보다 35% 더 많이 체포했다”고 말했다. 체포된 간첩들은 어느 나라에서 왔느냐는 질문에는 “북한, 러시아, 중국”을 차례로 언급했다. 작년 1월 트럼프 2기 행정부가 출범한 뒤 1년간 전임 조 바이든 행정부의 집권 마지막 해였던 2024년보다 더 많은 적성국 간첩 체포가 이뤄졌다는 설명이다. 다만 파텔 국장은 전체 간첩 체포 숫자나 국적별 비중은 언급하지 않았다. 또 북한 국적 간첩을 체포했다는 것인지, 북한을 위해 활동한 미국 또는 제3국 간첩을 체포한 것인지 등도 분명치 않아 보인다. 미국은 북한이 IT 인력을 해외에서 위장 취업 시키는 등의 방식으로 내부 정보 탈취와 해킹 등 사이버 범죄를 저지르고, 그 수익을 핵·미사일 개발에 사용하고 있다고 분석한다. 블록체인 업계에 따르면 지난해 북한 연계 해킹 조직이 탈취한 가상자산은 약 20억 2000만 달러(약 2조 9400억원)에 달한다. 전체 공격 횟수는 전년보다 줄었지만, 건당 피해 규모는 크게 늘었다. FBI는 이달 8일 북한 정찰총국과 연계된 해킹그룹 ‘김수키’(Kimsuky)가 QR 코드를 통한 새로운 해킹 수법을 사용하고 있어 주의가 요망된다며 별도의 안내문을 내기도 했다. 안내문에 따르면 김수키 그룹 해커들이 최근 미국 내 비정부기구(NGO), 싱크탱크, 학계 등의 외교정책 전문가들로부터 ‘퀴싱’ 수법으로 정보를 탈취하려는 시도를 한 것이 포착됐다. ‘퀴싱’은 ‘QR 코드’와 ‘피싱’을 합성한 말로, QR 코드 내에 악성 URL을 심어놓는 해킹 수법을 가리킨다. FBI는 지난해 7월에는 미국 블록체인 업체에 원격으로 위장 취업한 뒤 가상화폐를 탈취한 북한 국적자 4명에 대해 수배령을 내리고 최대 500만 달러(약 68억원)의 보상금을 내건 바 있다.

안랩 ‘2025년 사이버 위협 동향’ 북한 배후의 해킹 조직들이 인공지능(AI) 기술까지 동원해 한국 정부·IT·금융 등 핵심 분야를 상대로 전방위적인 사이버 공격을 강화하고 있는 것으로 나타났다. 악성 문서 제작과 피싱 위장 수법이 생성형 AI를 만나 한층 정교해지면서 기존의 패턴 기반 방어 체계를 우회하는 사례가 빠르게 늘고 있다는 분석이다. 30일 안랩이 발간한 ‘2025년 사이버 위협 동향 & 2026년 보안 전망’ 보고서에 따르면, 지난해 10월부터 올 9월까지 1년 동안 북한 배후로 지목된 지능형 해킹(APT) 활동은 총 86건으로 집계됐다. 같은 기간 중국(27건), 러시아·인도(각 18건) 등 다른 국가들과 비교해도 압도적으로 많은 수치다. 정부기관과 금융회사, IT 기업, 언론사 등 다수의 국내 기관과 기업이 연중 지속적으로 표적이 된 것으로 조사됐다. 주요 공격세력으로는 북한 정찰총국과 연계된 라자루스(Lazarus·31건), 김수키(Kimsuky·27건), 안다리엘(Andariel) 등이 확인됐다. 각각의 조직은 고유한 전술로 침투를 시도해왔다. 라자루스는 암호화폐 탈취를 비롯한 금전적 목적의 공격에 집중하며, 윈도·맥·리눅스 등 다양한 운영체제를 지원하는 멀티 플랫폼 악성코드를 개발해 활용하는 것으로 나타났다. 정상 웹사이트에 악성코드를 심어 감염을 유도하는 ‘워터링 홀’ 기법, 소프트웨어 취약점 악용 등이 대표적이다. 최근 가상자산거래소 업비트 해킹 사건에서도 라자루스의 기존 수법과 유사한 정황이 다수 포착된 것으로 전해졌다. 김수키는 특정 인물이나 기관을 정밀하게 겨냥한 스피어 피싱을 주력으로 한다. 강연 요청서나 인터뷰 의뢰서를 사칭해 실제와 거의 동일한 형태의 악성 문서를 보내는 방식이 반복적으로 확인됐다. 최근에는 페이스북·텔레그램 등 다양한 플랫폼을 활용한 다단계 공격을 시도하는가 하면, AI 기반 위조 신분증까지 사용한 사례도 포착되는 등 사회공학적 기법이 한층 고도화하고 있다. 안다리엘은 계정 정보 탈취와 랜섬웨어 배포가 주력 분야로, 국내 보안업체의 인증서를 훔쳐 악성코드에 서명하는 방식까지 활용한 것으로 조사됐다. 공격 전반에서 공통적으로 드러나는 가장 큰 변화는 ‘AI 활용’이다. 생성형 AI가 악성 문서 작성과 피싱 메시지 구성에 적극 활용되면서 한국어 문장과 문서 형식이 실제 업무 문서와 거의 구분되지 않을 정도로 자연스럽게 만들어지고 있다. 이 때문에 제목·문체 등으로 악성 파일을 판별하던 기존 탐지 체계가 무력화되는 사례가 늘고 있다. 자동화 도구를 이용한 악성코드 변종 생산 속도도 빨라져 단일 방어 체계만으로는 대응이 쉽지 않다는 것이 전문가들의 지적이다. 이에 국내 기업과 기관들은 보안 체계를 재정비하고 있다. 위험도가 높은 첨부파일을 자동 분석하는 ‘메일 샌드박스’ 도입이 확대되는 한편, 계정 탈취를 막기 위한 다중 인증(MFA) 적용 범위도 넓어지고 있다. 정부와 민간은 위협 정보 공유 체계를 세분화하고 분야별 대응 매뉴얼을 보완하는 등 다층 방어망 구축에 속도를 내고 있다.

악성 파일 유포해 ‘먹통’ 만들어일상생활 교란하는 단계로 진화 북한 배후 해킹조직이 국내 안드로이드 이용자의 스마트폰과 PC를 원격 조종해, 기기를 초기화하고 데이터를 통째로 삭제하는 전례 없는 사이버 공격을 벌인 정황이 처음 확인됐다. 북한발 사이버 공격이 단순한 정보 탈취를 넘어 일상생활을 직접 교란하는 단계로 진화했다는 분석이 나온다. 10일 정보보호회사 지니언스 시큐리티센터(GSC)의 위협 분석 보고서에 따르면 지난 9월 5일 한 해커가 국내 탈북 청소년 전문 심리상담사의 스마트폰을 초기화하고 탈취한 카카오톡 계정을 통해 ‘스트레스 해소 프로그램’으로 위장한 악성 파일을 탈북민 청소년 등 지인들에게 다수 전송했다. 불과 열흘 뒤인 15일에는 한 북한 인권운동가의 안드로이드 스마트폰이 동일한 방식으로 초기화되고, 탈취된 계정을 통해 악성 파일이 지인 36명에게 동시에 유포되는 사건이 발생했다. 지인 일부는 악성 파일임을 의심해 전화나 메시지로 확인을 시도했지만, 피해자의 스마트폰은 푸시 알림과 통화, 메시지가 모두 차단된 ‘먹통’ 상태였다. 이 때문에 초동 대응이 늦어졌고 악성 파일은 빠른 속도로 퍼졌다. 공격자들은 스마트폰 제어 권한을 완전히 장악해 피해자가 통신 기능을 복구하거나 백업을 시도하지 못하도록 차단한 것으로 분석됐다. GSC는 이러한 공격이 북한 정찰총국 산하 해킹조직 ‘코니’(Konni)의 소행이라고 분석했다. 코니는 과거에도 외교·안보·탈북민 관련 인사를 대상으로 스피어 피싱과 악성코드 유포를 반복해 온 조직으로, 북한의 대표적인 사이버 첩보 그룹인 ‘김수키’(Kimsuky)와 연계된 것으로 알려져 있다. 조사 결과 피해자들은 대부분 국세청을 사칭한 이메일을 받았다. 메일에는 ‘탈세 제보 관련 소명자료 제출 요청.zip’ 등 제목의 압축파일이 첨부돼 있었고 내부에는 악성코드가 숨겨져 있었다. 사용자가 이를 열면 해킹조직이 피해자의 PC·태블릿 등에 침투해 장기간 잠복하면서 구글 계정과 주요 포털·정보기술(IT) 서비스 계정 정보를 빼냈다. 이후 공격자들은 탈취한 구글 계정으로 피해자의 위치 정보를 조회했다. 피해자가 집이나 사무실이 아닌 외부에 있을 때를 노려, 구글의 ‘내 기기 찾기’ 기능을 악용해 스마트폰을 원격 초기화했다. 정당한 기능을 역이용해 데이터를 삭제하는 수법은 국가 배후 해킹조직의 공격에서 처음 확인된 사례다. 한 번 초기화가 이뤄진 뒤에도 공격자들은 복구를 막기 위해 같은 명령을 세 차례 이상 반복했다. 이 과정에서 피해자의 사진, 문서, 연락처 등 주요 데이터가 완전히 삭제됐다. 전문가들은 “기기를 잃어버렸을 때를 대비한 보안 기능이, 오히려 공격자의 손에 들어가면 강력한 파괴 도구로 변할 수 있다는 점을 보여 준 사례”라고 분석했다. 더 충격적인 점은 감시 가능성이다. GSC 분석 결과 악성코드에는 웹캠과 마이크 제어 기능이 포함돼 있었다. 이를 통해 공격자들이 피해자의 PC 카메라를 원격으로 활성화해 일상 모습을 촬영했을 가능성이 제기됐다. GSC는 “데이터 삭제와 계정 탈취, 감시 기능을 결합한 공격은 북한발 해킹에서 처음 나타난 형태”라며 “사이버 공격이 단순한 정보전 단계를 넘어 현실 공간을 직접 침투하는 수준으로 발전하고 있다”고 분석했다. 이어 “구글 계정 비밀번호를 주기적으로 변경하고 2단계 인증을 반드시 적용해야 한다”며 “브라우저의 비밀번호 자동 저장을 끄고 PC를 사용하지 않을 때는 전원을 완전히 차단하는 등 기본 보안 수칙을 지켜야 한다”고 강조했다. 경기남부경찰청 안보사이버수사대는 북한 인권운동가 해킹 사건을 수사 중이며 사용된 악성코드 구조가 기존 북한 해킹 조직이 쓰던 것과 유사하다는 점을 확인했다고 밝혔다.

북한 배후 해킹 조직이 국내 안드로이드 스마트폰과 PC를 원격 조종해 초기화시키고, 탈취한 카카오톡 계정으로 악성 파일을 유포하는 등 전례 없는 수법의 사이버 공격을 벌인 정황이 처음 확인됐다. 고도화하는 북한의 사이버 위협이 국가 기관과 기업 등 안보와 경제 영역을 넘어 민간의 일상생활까지 깊숙이 침투했다는 사실은 충격적이다. 정보보안기업 지니언스 시큐리티센터의 보고서에 따르면 지난 9월 국내 탈북 청소년 전문 심리 상담사와 북한 인권 운동가의 스마트폰이 초기화되고, 탈취된 카카오톡 계정에서 ‘스트레스 해소 프로그램’ 등으로 위장한 악성 파일이 지인들에게 전송됐다. 피해자들은 국세청을 사칭한 이메일을 통해 해킹에 노출된 것으로 파악됐다. 보고서는 북한 정찰총국 산하 해킹 조직인 ‘김수키’ 등과 연계된 해킹 조직 ‘코니’의 소행으로 분석했다. 해커들은 피해자가 외출한 시간을 노려 원격으로 스마트폰을 초기화하고, 보안 경고 메일을 삭제해 활동 흔적을 지웠다. 스마트폰의 알림과 전화, 메시지 등을 차단해 초기 대응을 늦추는 치밀한 수법도 동원했다. 북한은 핵·미사일 능력과 함께 비대칭 전략의 핵심 수단인 사이버 해킹 역량을 총동원하고 있다. 미국 재무부에 따르면 북한 연계 해킹 조직들은 가상자산 해킹 등으로 약 30억 달러(약 4조 3000억 원)를 탈취했다. 이번 스마트폰 원격 조종 공격은 외화벌이나 정보 탈취를 넘어 시민의 일상을 교란하는 사회공학적 해킹으로 발전했다는 점에서 심각성이 더욱 크다. 북한의 사이버 공격은 날로 정교해지는데 우리 정부의 보안 대응은 여전히 안이하다. 지난 8월 미국 해킹 전문 매체가 행정안전부 등 중앙부처와 민간기업, 이동통신사 해킹 정황을 보도했지만 정부는 두 달이 지나서야 이를 뒤늦게 인정했다. 정부와 기업은 물론 시민들 또한 언제 어디서 닥칠지 모를 사이버 위협에 경각심을 높여야 할 때다.

지니언스 시큐리티 센터 ‘위협 분석 보고서’ 북한 배후 해킹조직이 국내 안드로이드 이용자의 스마트폰과 PC를 원격 조종해, 기기를 초기화하고 데이터를 통째로 삭제하는 전례 없는 사이버 공격을 벌인 정황이 처음 확인됐다. 북한발 사이버 공격이 단순한 정보 탈취를 넘어 일상생활을 직접 교란하는 단계로 진화했다는 분석이 나온다. 10일 정보보호회사 지니언스 시큐리티 센터(GSC)의 위협 분석 보고서에 따르면 지난 9월 5일 한 해커가 국내 탈북 청소년 전문 심리상담사의 스마트폰을 초기화하고 탈취한 카카오톡 계정을 통해 ‘스트레스 해소 프로그램’으로 위장한 악성 파일을 탈북민 청소년 등 지인들에게 다수 전송했다. 불과 열흘 뒤인 15일에는 한 북한 인권운동가의 안드로이드 스마트폰이 동일한 방식으로 초기화되고, 탈취된 계정을 통해 악성 파일이 지인 36명에게 동시에 유포되는 사건이 발생했다. 지인 일부는 악성 파일임을 의심해 전화나 메시지로 확인을 시도했지만, 피해자의 스마트폰이 푸시 알림과 통화, 메시지가 모두 차단된 ‘먹통’ 상태여서 대응이 늦어졌다. 이 때문에 초동 대응이 늦어졌고, 악성 파일은 빠른 속도로 퍼졌다. 공격자들은 스마트폰 제어 권한을 완전히 장악해 피해자가 통신 기능을 복구하거나 백업을 시도하지 못하도록 차단한 것으로 분석됐다. GSC는 이러한 공격이 북한 정찰총국 산하 해킹조직 ‘코니’(Konni)의 소행이라고 분석했다. 코니는 과거에도 외교·안보·탈북민 관련 인사를 대상으로 스피어 피싱과 악성코드 유포를 반복해온 조직으로, 북한의 대표적인 사이버 첩보 그룹인 ‘김수키’(Kimsuky)와 연계된 것으로 알려져 있다. 조사 결과 피해자들은 대부분 국세청을 사칭한 이메일을 받았다. 메일에는 ‘탈세 제보 관련 소명자료 제출 요청.zip’ 등 제목의 압축파일이 첨부돼 있었고, 내부에는 악성코드가 숨겨져 있었다. 사용자가 이를 열면 해킹조직이 피해자의 PC·태블릿 등에 침투해 장기간 잠복하면서 구글 계정과 주요 포털·IT 서비스 계정 정보를 빼냈다. 이후 공격자들은 탈취한 구글 계정으로 피해자의 위치 정보를 조회했다. 피해자가 집이나 사무실이 아닌 외부에 있을 때를 노려, 구글의 ‘내 기기 찾기’ 기능을 악용해 스마트폰을 원격 초기화했다. 정당한 기능을 역이용해 데이터를 삭제하는 수법은 국가 배후 해킹조직의 공격에서 처음 확인된 사례다. 한 번 초기화가 이뤄진 뒤에도 공격자들은 복구를 막기 위해 같은 명령을 세 차례 이상 반복했다. 이 과정에서 피해자의 사진, 문서, 연락처 등 주요 데이터가 완전히 삭제됐다. 전문가들은 “기기를 잃어버렸을 때를 대비한 보안 기능이, 오히려 공격자의 손에 들어가면 강력한 파괴 도구로 변할 수 있다는 점을 보여준 사례”라고 분석했다. 더 충격적인 점은 감시 가능성이다. GSC 분석 결과, 악성코드에는 웹캠과 마이크 제어 기능이 포함돼 있었다. 이를 통해 공격자들이 피해자의 PC 카메라를 원격으로 활성화해 일상 모습을 촬영했을 가능성이 제기됐다. GSC는 “데이터 삭제와 계정 탈취, 감시 기능을 결합한 공격은 북한발 해킹에서 처음 나타난 형태”라며 “사이버 공격이 단순한 정보전 단계를 넘어 현실 공간을 직접 침투하는 수준으로 발전하고 있다”고 분석했다. 이어 “구글 계정 비밀번호를 주기적으로 변경하고, 2단계 인증을 반드시 적용해야 한다”며 “브라우저의 비밀번호 자동 저장을 끄고, PC를 사용하지 않을 때는 전원을 완전히 차단하는 등 기본 보안 수칙을 지켜야 한다”고 강조했다. 경기남부경찰청 안보사이버수사대는 북한 인권운동가 해킹 사건을 수사 중이며, 사용된 악성코드 구조가 기존 북한 해킹 조직이 쓰던 것과 유사하다는 점을 확인했다고 밝혔다.

공무원 업무 시스템인 ‘온나라시스템’이 3년 가까이 해킹당한 사실이 뒤늦게 확인된 가운데, 정부가 내놓은 보안 강화책이 ‘임시방편’에 그친다는 지적이 나오고 있다. 전문가들은 “정부 업무망 해킹은 대미 협상 전략 등 국가 기밀이 새 나갈 수 있는 심각한 문제”라며 중장기 로드맵 마련을 촉구했다. 19일 국가정보원에 따르면 해커는 공무원 행정업무용 인증서(GPKI)와 패스워드 등을 확보해 행정안전부의 원격접속시스템(G-VPN)을 통해 온나라시스템에 접속했다. 이들은 2022년 9월부터 올해 7월까지 약 3년간 행정망 내부 자료를 열람했으며, 일부 부처의 자체 전용 시스템에도 접근했을 가능성이 제기됐다. 앞서 미국 해커 잡지 ‘프랙(Phrack)’은 지난 8월 8일 발간한 보고서에서 국내 정부 기관과 민간기업이 해킹당했다는 내용의 보고서를 발간했다. 이후 정부는 두 달여간 아무런 입장을 밝히지 않다가 지난 17일에서야 해킹 사실을 공식 인정했다. 이용석 행안부 디지털정부혁신실장은 브리핑에서 “단순히 해킹 사실을 알리기보다 인증체계 강화 등 대책까지 함께 담는 게 좋을 것 같다고 판단했다”고 설명했다. “투팩터 인증으로 부족…장기 대책 세워야”문제는 여전히 ‘무엇이, 어떻게 유출됐는지’조차 파악되지 않았다는 점이다. 국정원은 “해커가 정부 행정망에서 열람한 구체적 자료 내용과 규모를 파악 중”이라고 밝혔다. 이 실장은 인증서·비밀번호 유출 경위에 대해 “조사 중이라 명확히 말하긴 어렵다”면서도 “인증서를 집이나 (정부청사) 외부PC에 설치하는 경우가 있는데, 이 PC가 악성코드에 감염되면 정보 탈취 위험이 있다”고만 했다. 해킹 주체 역시 불분명하다. 프랙은 이번 해킹 배후로 북한 김수키(Kimsuky) 조직을 지목했지만, 국정원은 “단정할 만한 기술적 증거는 부족하다”고 했다. 국정원은 해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 발견된 만큼 모든 가능성을 열어두고 배후를 추적한다는 입장이다. 정부는 기존의 행정전자서명 기반 인증체계를 생체기반 복합인증 수단인 ‘모바일 공무원증’ 등으로 대체해 나가겠다는 계획이다. 행안부는 지난 7월 28일 온나라시스템 로그인 재사용 방지를 위한 조치를 완료한 데 이어 8월 4일에는 정부원격근무시스템 접속 시 전화인증(ARS) 단계를 추가했다. 하지만 임종인 고려대 정보보호대학원 교수는 “미국은 2021년부터 새로운 보안 패러다임인 ‘제로트러스트’ 도입을 공식화했는데, 우리는 아직 투팩터(2단계) 인증을 말하고 있다”며 “임시방편 대책이 아닌 5개년 계획을 세워 2030년까지 탐지·격리·차단 체계를 완비해야 한다”고 말했다. 김휘강 고려대 정보보호대학원 교수는 “외부에 노출된 시스템 취약점을 제거하기 위한 상시 공격표면관리(ASM, Attack Surface Management) 활동과 실전적 모의해킹 테스트 등이 필요하다”며 “특히 유출된 시스템은 이미 해커에게 정보가 많이 노출됐기에 원점에서 솔루션을 재검토해야 한다”고 했다.

공무원 업무 시스템인 ‘온나라 시스템’과 공무원 인증에 사용되는 ‘행정전자서명’(GPKI)이 외부 해킹 시도에 노출된 것으로 확인됐다. 미국 해킹 관련 매체인 ‘프랙 매거진’이 지난 8월 한국의 중앙부처와 이동통신사, 민간기업이 해킹당한 흔적이 있다는 보도를 한 후 침묵을 지켰던 정부가 뒤늦게 이를 인정하고 사후 대응 과정을 공개한 것이다. 행정안전부는 17일 정부세종청사에서 이용석 디지털정부혁신실장 주재로 브리핑을 열고 “올해 7월 국가정보원을 통해 외부 인터넷 PC에서 정부원격근무시스템(G-VPN)을 통해 업무망인 온나라시스템에 접근한 정황을 확인했다”면서 “이에 따라 8월 4일 원격근무시스템 접속 때 GPKI 인증과 더불어 전화 인증을 거치도록 보안을 강화했다”고 밝혔다. 공무원 650명의 GPKI 인증서 파일이 유출된 사실도 확인됐다. 이 실장은 “650명 정도의 인증서 파일이 (유출된 것으로) 발견되었다”며 “12명의 정보는 GPKI 자체 인증서 키와 비밀번호 같은 것들도 포함됐다”고 말했다. 유출된 인증서 대부분은 유효기간이 만료된 것으로 확인됐는데, 3명은 유효기간이 남아 있어 폐기 조치한 상황이다. 행안부는 이번 해킹의 원인으로 ‘사용자 부주의’에 따른 인증서 유출 가능성을 지목했다. 행안부는 공무원 등이 상대적으로 보안이 취약한 외부 인터넷 PC를 사용하다 인증서 정보가 유출된 것으로 추정하고, 모든 중앙부처와 지방자치단체에 인증서 공유 금지와 관리 강화를 지시했다고 밝혔다. 행안부는 탈취 및 복제 위험이 있는 GPKI 인증서의 보안 위협에 대응하기 위해 기존의 인증 체계를 생체 기반 복합 인증 수단인 모바일 공무원증 등으로 전환할 계획이다. 아울러 대국민 정부 서비스의 인증 체계에도 모바일 신분증 등 생체 인증 기반의 안전한 수단을 확대 도입할 방침이다. 이 실장은 “최근 증가하는 사이버 위협 동향을 자세히 주시하고 있으며 피싱, 악성코드, 보안 취약점 등 침해 사고의 주요 원인에 대해 점검을 강화하고 있다”면서 “같은 사고가 재발하지 않도록 예방에 최선을 다하겠다”고 밝혔다. 프랙 매거진은 지난 8월 미국 비영리단체 ‘디 도시크릿츠’가 ‘KIM’이라는 공격자의 서버를 해킹해 확보한 자료를 바탕으로 한국의 행안부, 외교부 등 중앙부처와 민간기업, 이동통신사 등에 해킹 흔적이 있다고 보도한 바 있다. 이 공격자는 북한 해킹 조직인 ‘김수키(Kimsuky)’로 추정됐다. 해킹 피해 정황이 발견된 기관에는 행안부, 외교부 등 중앙행정기관을 비롯해 군, 검찰, 다음·카카오·네이버, KT, LG유플러스 등이 포함된다. 이 중 행안부는 온나라 시스템과 GPKI에서 해킹 흔적이 확인됐다.

폐기된 줄 알았던 KT의 ‘서버 로그’가 백업돼 있다는 게 드러나면서 해킹 조사가 탄력을 받을 것으로 보인다. KT와 롯데카드 등 통신·금융권에서 연달아 해킹 사고가 터지자 정부는 이 기업들의 정보 보호 체계를 전면 재정비하는 종합 대책을 내놓기로 했다. 22일 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원이 KT로부터 받은 자료에 따르면 KT는 지난 15일 폐기된 서버의 로그가 백업돼 있음을 확인하고 이를 18일 임원회의를 거쳐 같은 날 저녁 합동조사단과 공유했다. 서버 로그는 서버에서 발생한 모든 작업과 접근 기록을 담은 파일이다. 해킹 사고가 발생했을 때 누가, 언제, 어떤 방식으로 시스템에 접근했는지를 추적하는 데 핵심 증거가 된다. KT는 지난 5월 22일부터 이달 5일까지 외부 보안업체를 통한 자사 서버 전수조사를 진행했는데, 이 과정에서 해당 서버 로그 역시 백업된 사실을 뒤늦게 파악한 것으로 알려졌다. 당초 당국은 해당 의혹이 서버 폐기로 조사가 어렵다는 입장이었으나 관련 기록 보관이 확인돼 분석이 가능할 것으로 보인다. 다만 서버 폐기와 관련한 KT의 번복 해명은 의혹을 더욱 키우고 있다. KT는 한국인터넷진흥원(KISA)이 자료 제출을 요구한 지난달 12일 서버를 폐기해 자료 제출이 불가능하다고 했다고 했지만, 총 8대의 관련 서버 중 2대는 당시 보관 중이었으며 다음날 폐기한 것으로 드러났다. KT 측은 “담당 부서가 해당 서버의 서비스를 8월 1일 종료했다고 해 서버도 폐기한 줄 알았다”고 뒤늦게 해명했다. KT 해킹 의혹은 지난 8월 글로벌 해킹 권위지 ‘프랙 매거진’의 발표로 시작됐다. 프랙은 화이트해커의 제보를 토대로 북한 해커 그룹으로 알려진 ‘김수키’가 대한민국 주요 정부와 군 기관, 주요 통신사에 지속해서 해킹 공격을 했으며, KT의 경우 인증서(SSL 키)가 유출된 정황이 발견됐다고 전했다. 이후 무단 소액 결제 사건이 발생했는데, KT 해킹 의혹과 이번 소액 결제 사건과의 연관성은 추가 조사가 필요한 상황이다. 김민석 국무총리는 이날 통신사 및 금융사 해킹 사고와 관련한 긴급 현안점검회의에서 “관계부처 장관께서는 사태 수습과 해결에 있어서 해킹과의 전쟁에 임한다는 각오로 임해주시기 바란다”고 당부했다. 국가안보실은 전 국가적 보안 점검을 토대로 해킹 관련 종합 대책을 수립해 이달 말 관계부처 합동으로 발표할 예정이라고 밝혔다. 개인 정보를 유출했을 때 페널티는 강화될 전망이다. 국회 정무위원회 소속 민병덕 더불어민주당 의원실이 개인정보보호위원회 자료를 분석한 결과, 2021년부터 올해 7월까지 451건의 사고로 8854만 3000여건의 개인 정보가 유출된 것으로 확인됐다. 건당 평균 과징금·과태료 합산 금액은 1019원 정도였다.

KT에서 무단 소액결제 사건이 발생하면서 통신사의 보안 부실 문제가 대두되는 가운데 개인정보 유출 경로로 지목된 초소형 기지국(펨토셀)의 33%가 시스템상 잡히지 않는 것으로 나타났다. 15일 최수진 국민의힘 의원실이 이동통신 3사로부터 받은 자료에 따르면 통신 3사의 전체 펨토셀 19만 5000대 중 약 33%에 달하는 6만 4000대가 미작동해 신호가 잡히지 않고 있다. 회사별로 보면 무단 소액결제 사고가 발생한 KT에서 이러한 펨토셀이 가장 많았는데, 총 15만 7000여대의 KT 펨토셀 중 5만 7000대가 신호가 잡히지 않았다. LG유플러스는 2만 8000대 중 4000대, SK텔레콤은 1만대 중 3000대에서 신호가 잡히지 않았다. KT는 이와 관련해 “일부 초소형 기지국 신호가 잡히지 않는 이유는 전원 꺼짐, 고장 등이 주요 원인”이라면서 “잠재적 추가 악용을 막기 위해 신호가 잡히지 않는 초소형의 기지국에 대한 망 접근을 차단했다”고 밝혔다. SK텔레콤은 “신호가 잡히지 않은 3000대는 재고 수량에 해당한다”고 했다. 관리의 사각지대에 놓인 펨토셀은 해킹의 대상이 되기 쉬운데, 펌웨어가 깔려있고 외부와의 통신이 가능해서다. 공격자는 방치된 펨토셀에 접근해 기기 초기화나 펌웨어 탈취 등을 시도할 수 있다. 한편 북한 배후 추정 해킹 조직인 ‘김수키’ 그룹이 생성형 인공지능(AI)으로 만든 딥페이크 이미지로 사이버 공격에 나선 사례가 국내에서 처음 확인됐다. 지난 8월 해외 보안전문 매체 프랙은 김수키가 행정안전부 등 정부 부처와 통신사를 대상으로 공격을 시도했다고 전한 바 있다. 이날 보안 전문기업 지니언스의 시큐리티센터(GSC) 보고서에 따르면 지난 7월 김수키 그룹은 AI로 합성한 이미지를 활용해 군 관계 기관에 ‘스피어 피싱’(특정 개인·조직을 표적화한 사이버 공격)을 시도했다. 군무원 신분증의 시안을 검토해달라고 악성 파일을 심은 피싱 메일을 보낸 것인데, 신분증 시안 속 첨부한 사진이 AI로 합성한 딥페이크 이미지였다. 센터는 “AI 서비스는 업무 생산성을 높이는 강력한 도구이지만 동시에 국가 안보 차원의 사이버 위협에 악용될 수 있는 잠재적 위험 요소”라며 IT 조직 내 채용·업무·운영 전반에서 AI 악용 가능성을 고려한 대책 마련이 필요하다고 제언했다.

KT 무단 소액결제 피해 사례에 대한 과학기술정보통신부 민관 합동 조사단의 조사가 진행 중인 가운데 개인정보보호위원회가 KT와 LG유플러스의 이용자 정보 유출 의혹 조사에 착수했다. 무단 소액결제가 개인정보 유출에 따른 것인지 확인하기 위해서인데, 과기정통부는 두 사건의 연관성에 대해선 아직 말하기 어렵다는 입장이다. 과기정통부는 10일 정부서울청사에서 현안 브리핑을 열어 KT 무단 소액결제 피해 건수가 이날 기준 278건, 피해 금액은 1억 7000여만원에 이르는 것으로 KT의 자체 집계 결과 파악됐다고 밝혔다. 피해 건수 모두 자동응답시스템(ARS) 인증을 통해 결제가 이뤄진 것으로 파악됐다. KT는 아직 피해 사실을 인지하지 못한 이용자들에게 개별 연락을 취하고 있으며 무단 소액결제로 인한 모든 피해액에 대해선 이용자에게 청구하지 않기로 했다. 민관 합동 조사단의 조사 과정에서 KT 시스템에 등록되지 않은 불법 초소형 기지국(펨토셀)이 KT 통신망에 접속한 사실이 확인됐다. 인증되지 않은 불법 기지국이 어떻게 코어망에 접속하고 인증 절차를 거쳐 소액결제를 진행했는지가 조사의 쟁점이 될 것으로 보인다. SK텔레콤과 LG유플러스에 불법 기지국 접속 여부와 접속 차단 확인을 요구한 결과 두 회사에서는 불법 기지국이 발견되지 않았다. 류제명 과기정통부 2차관은 “만일의 사태에 대비해 통신 3사 모두 신규 초소형 기지국의 통신망 접속을 전면 제한하고 있다”며 “KT가 파악한 불법 기지국에서의 이상 트래픽 정보를 다른 통신사들과 점검용으로 공유할 것”이라고 밝혔다. 개보위는 같은 날 KT와 LG유플러스에 대한 조사에 들어가면서 “KT 이용자를 대상으로 한 무단 소액결제 사건이 다수 발생해 개인정보 유출 의혹이 제기되고 있다”며 조사 착수 배경을 설명했다. 앞서 미국의 보안전문지 프랙(Phrack)은 최근 북한 정찰총국 소속으로 추정되는 해커 조직 ‘김수키’가 KT와 LG유플러스를 해킹했다는 의혹을 제기한 바 있다. 다만 과기정통부는 이번 무단 소액결제 사건과 김수키 해킹의 연관성에 대해 현 단계에서는 말하기 어렵다는 입장이다. 무단 소액결제 피해가 경기와 서울 일부 지역을 중심으로 급속히 확산하면서 시민들의 불안도 커지고 있다. 현재까지 피해가 확인된 지역은 경기 광명시와 부천시, 서울 금천구 등이며 인천 부평구, 경기 과천시, 서울 영등포구에서도 유사한 피해 신고가 접수되고 있다. KT는 “지난 5일 이후 피해 사례가 추가로 나오지 않고 있다”며 시스템적으로 차단해 현재는 안전하다는 입장이다. 소액결제 차단을 희망하는 이용자는 앱이나 홈페이지에서 이용을 중단하거나 고객센터로 직접 연락하면 된다.

계엄령 관련 검색이 급증한 틈을 노려 계엄 문건으로 위장한 해킹 메일이 기승을 부린다. 당국도 비상이 걸렸다. 비상계엄 정보를 가장한 악성메일이 무차별 유포되고 있다며 정부는 첨부파일을 열거나 링크를 클릭하지 말라고 주의를 당부했다. 이런 형태의 해킹을 일컫는 말이 ‘스피어피싱’(Spearfishing)이다. 원래는 창이나 작살(spear)로 물고기를 꿰뚫어 잡는 낚시 방법을 말한다. 일반적인 피싱이 불특정 다수를 노린다면 스피어피싱은 특정 개인이나 조직을 겨냥한 맞춤형 공격이다. 스피어피싱의 무기는 ‘시의성’이다. 코로나19 대유행 초기에는 세계보건기구(WHO) 사칭 이메일이, 러시아·우크라이나 전쟁이 터졌을 때는 구호단체를 가장한 문자들이 골칫거리였다. 북한 해커조직 ‘김수키’는 학자나 언론인을 사칭해 북한 전문가들을 노린 이메일을 보냈다. 국제 택배 배송지연이 빈번하던 시기에는 택배 조회 링크로 위장한 메시지 피싱이 성행했다. 먹잇감으로 삼는 사건은 다르지만 하나같이 사회적 관심사나 불안 심리를 교묘히 이용한다는 공통점이 있다. 계엄과 같은 중대한 상황에서 정보를 놓칠지 모른다는 불안감, 코로나 시기에 WHO의 중요 지침을 놓치면 안 된다는 조급함, 혹은 업무 관련 메일을 무시했다가 경쟁에 뒤처질까 하는 조바심. 평소 정보보안 위험성을 잘 알면서도 혹시나 하는 마음에 링크를 클릭하게 된다. 스피어피싱에 낚이지 않겠다고 단단히 마음먹어도 순간의 방심으로 낚이는 실수는 흔하다. 순식간에 치명적인 악성코드에 감염될 수 있다. 스피어피싱은 사회의 불안과 공포를 끊임없이 자양분 삼아 앞으로도 건재할 듯하다. 불안한 마음에 계엄령이나 전쟁 같은 자극적인 키워드 앞에서는 누구든 반사적으로 반응한다. 스피어피싱이 완전히 사라질 수 없다면 해법은 하나뿐이다. 우리 사회가 좀더 건강하고 안정된 모습을 되찾는 것. 쉽지 않은 숙제다. 홍희경 논설위원

북한 정찰총국 산하 ‘김수키’, ‘안다리엘’ 등 해킹조직이 우리나라 건설·기계업체 등에 악성코드를 유포한 것으로 파악된 가운데, 국가정보원은 북한이 당의 지시에 따라 방산업체 등에도 꾸준한 해킹 공격이 이뤄지고 있다고 밝혔다. 북한이 해킹한 자료를 활용하는 것은 물론 암시장에 판매한다는 것이 국정원의 시각이다. 이달 중 진행되는 한미연합 군사 연습 ‘을지 자유의 방패’(UFS·을지프리덤실드)를 앞두고 북한의 해킹 공격이 늘 수 있다는 전망도 나온다. 윤오준 국정원 3차장은 7일 국가사이버안보센터 판교캠퍼스에서 열린 기자간담회에서 “북한의 해킹조직들이 대상을 명확하게 나눠서 공격하기보다는 당의 지시에 따라 한꺼번에 공통 목표에 대해 해킹을 시도하는 분위기”라며 “전반적으로 방산업체 및 협력 업체에 대한 위협 공격이 계속 들어오고 있다”고 말했다. 그러면서 “(해킹한) 저희 자료를 북한이 사용할 수도 있지만 암시장에 판매하는 등 광범위하게 활용하고 있다”고 했다. 국정원은 북한 해킹조직 규모는 최소 8400여명 정도로, 방산업체에 대한 해킹 공격은 올해 초부터 3~4개월간 집중적으로 있었다고 설명했다. 북한은 통상 한미연합 훈련을 앞둔 시기에 방산업체 해킹을 시도하는 것으로도 알려졌다. 오는 19일부터 을지프리덤실드가 진행될 예정인데 이를 앞두고 북한의 해킹 공격 시도는 늘 수도 있다. 국정원은 전날 ‘국가사이버안보협력센터’를 ‘국가사이버안보센터 판교캠퍼스’로 이름을 변경하는 현판식을 열었다. 사이버 위협에 대해 민·관 등이 정보 및 기술 공유 협력을 확대하고, 사고 발생 시 국가 차원에서 신속하게 대응하겠다는 취지다. 국가사이버안보협력센터는 2022년 11월 문을 열었다. 윤 차장은 이날 이름을 바꾼 배경에 대해 “자유로운 환경에서 기존 민관 협력을 확대함은 물론 사이버인재 양성을 위한 교육 훈련과 정보보호 기업의 성장을 적극적으로 지원하는 등 국민과 기업에 한 걸음 더 다가가기 위한 것”이라고 설명했다. 국정원은 국가·공공기관 및 민간기업들과의 사이버 위협정보를 공유하는 전용 플랫폼인 NCTI와 KCTI를 운영 중이다. 참여기관 수는 2015년 8개로 시작해 현재는 국가·공공기관·민간기업 등 총 630개가 가입돼 있다. 2020년 약 4만건이었던 정보공유 건수도 센터 개소 이후 2023년 36만건, 올해 42만건으로 대폭 늘었다. 국정원은 오는 9월 중 범국가 사이버안보 연대인 ‘사이버 파트너스’를 출범시키고, 망 분리·공급망 보안 등 국가 사이버 보안정책 수립 과정에서 관련 업계와의 소통을 더욱 강화해 나갈 방침이다.

국방부와 군 고위급 인사들의 개인 이메일이 해킹 공격을 당해 경찰이 수사 중이다. 20일 관계당국에 따르면 경찰청 안보수사국은 최근 차관급을 포함한 국방부 고위공무원과 군 장성들의 개인 이메일 해킹 피해를 파악하고 조사에 착수했다. 경찰 관계자는 “군 관계자들을 상대로 한 북한의 해킹 활동과 관련해 수사 중”이라며 “아직 수사가 진행 중이라 구체적인 해킹 대상과 피해 규모는 밝히기 어렵다”고 말했다. 이번 사건은 개인 이메일 계정이 해킹당한 것으로, 군 서버에 대한 사이버 공격과는 무관한 것으로 알려졌다. 경찰은 이들 군 관계자와 유사한 방식으로 외교안보 전문가 등 내국인 총 100여명의 개인 이메일이 해킹당한 사실을 파악하고 수사 중이다. 지금까지 외부 노출이 적은 군 인사들의 개별 피해 사례는 있었지만, 고위직 100여명 이상이 조직적으로 해킹 피해를 당한 것은 처음이다. 국방부는 “경찰 조사에 협조 중”이라며 “당사자들에게 개인 메일 보안 조치를 강화하라는 지침을 통보했다”고 밝혔다. 한편 ‘김수키’ 등 북한 해킹조직은 우리 군과 외교안보 당국, 전문가 등 주요 인사들의 이메일 계정을 탈취하는 사이버 공격을 지속하고 있다. 지난달 경찰청 안보수사국은 김수키를 포함해 라자루스, 안다리엘 등 북한의 3대 해킹조직이 국내 방산기술 탈취를 목표로 국내 방산업체 10여곳에 전방위적인 해킹 공격을 가했다는 수사 결과를 발표했다.

북한 해킹 조직이 우리나라 법원 내부 전산망에 침투해 2년여간 개인정보가 담긴 1000기가바이트(GB) 규모의 자료를 빼낸 사실이 뒤늦게 확인됐다. 사상 초유의 사법부 해킹 사태로 주민등록번호, 병력 기록 등 국민의 내밀한 정보가 포함된 소송 관련 파일 약 100만개가 유출된 것으로 추산된다. 법원의 부실 대응 여파로 서버 자료 대부분이 삭제돼 대다수 피해자는 어떤 정보가 유출됐는지조차 알 수 없게 됐다. 보이스피싱이나 신용카드 복제, 휴대전화 개통 등에 악용될 위험성이 크다는 지적도 나온다. 12일 경찰청 국가수사본부에 따르면 경찰·국가정보원·검찰이 지난해 12월부터 합동수사를 진행한 결과 ‘라자루스’로 추정되는 북한 해킹 조직이 2021년 1월 7일 이전부터 악성코드가 처음으로 탐지된 지난해 2월 9일까지 법원 전산망에 침입한 것으로 조사됐다. 이 기간 유출된 자료만 총 1014GB에 달한다. 일반적인 컴퓨터 문서 파일이라고 가정했을 때 파일 100만개에 상당하는 분량이며 대략 650만쪽에 달하는 것으로 알려졌다. 유출된 자료는 8대(국내 4대, 해외 4대) 서버를 거쳐 외부로 유출된 것으로 파악됐다. 해커는 2021년 6월부터 11월까지는 해킹 등으로 국내 영세업체 서버를 장악해 672GB 규모의 자료를 우회시키는 방법으로 빼돌렸다. 2022년 4월부터 지난해 1월까지는 가상자산(암호화폐)으로 해외 서버 4대를 임대해 썼다. 국수본은 “발각되지 않고 안정적으로 자료를 탈취하기 위해 서버를 임대한 것으로 보인다”고 밝혔다. 수사당국은 이 중 2021년에 쓰인 국내 서버 1대에서 기록을 복원해 회생 사건 관련 파일 5171개(4.7GB)가 유출된 사실을 확인했다. 여기에는 개인회생에 필요한 이름, 주민등록번호, 금융정보, 병력 기록 등이 담긴 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이 다수 포함됐다. 경찰은 추가 피해를 막기 위해 지난 8일 법원행정처에 유출된 자료 중 0.5%인 파일 5171개를 전달했다. 법원은 개인정보가 유출된 피해자들에게 통지하기 위해 자료를 분석 중이다. 다만 나머지 7대 서버는 이미 자료 저장 기간이 만료된 탓에 탈취된 자료의 99.5%가 구체적으로 무엇이었는지 확인되지 않았다. 이 때문에 보안장비에서도 기록이 삭제돼 해커가 처음으로 법원 전산망에 침투한 시점과 경로도 확인하기 어렵다는 게 경찰의 설명이다. 대법원은 앞서 지난해 11월 언론보도로 해킹 사실이 알려지자 개인정보보호위원회에 신고했고 지난해 12월부터 정부 합동 조사가 시작됐다. 내부망에서 백신이 악성코드를 감지해 차단한 시점은 지난해 2월이지만 대법원이 자체 대응에 먼저 나서며 수사가 늦어졌다. 그사이 그나마 서버에 남아 있던 유출 자료와 침입 흔적도 삭제됐다. 해커가 파고든 법원 전산망의 취약점을 점검해 보완하는 데도 차질을 빚을 전망이다. 수사당국은 법원 전산망을 해킹한 배후가 북한 해킹 조직인 ‘라자루스’라고 결론을 내렸다. 라자루스는 북한 정찰총국 소속으로 ‘김수키’, ‘안다리엘’과 함께 북한 3대 해킹 조직으로 불린다. 이번 범행에 쓰인 악성 프로그램의 유형이나 서버 임대료를 결제한 암호화폐, 인터넷 프로토콜(IP) 주소 등이 라자루스가 과거 사용한 수법과 일치하는 모습을 보였다. 국수본 관계자는 “유출된 개인정보를 이용한 명의 도용, 보이스피싱, 스팸메일 전송 등 2차 피해를 방지하기 위해 출처가 불분명한 이메일이나 문자메시지, 전화가 올 때 주의하고 각종 계정 비밀번호를 주기적으로 바꿔 달라”고 당부하면서 “국내외 관계기관과 협력해 해킹 조직의 행동자금인 가상자산도 추적해 나가겠다”고 밝혔다.

북한 해킹 조직이 우리나라 법원 내부 전산망에 침투해 2년여간 개인정보가 담긴 1000기가바이트(GB) 규모의 자료를 빼낸 사실이 뒤늦게 확인됐다. 사상 초유의 사법부 해킹 사태로 주민등록번호, 병력 기록 등 국민의 내밀한 정보가 포함된 소송 관련 파일 약 100만개가 유출된 것으로 추산된다. 법원의 부실 대응 여파로 서버 자료 대부분이 삭제돼 전체 피해자 중 0.5%의 자료만 확인할 수 있다는 점도 문제다. 이런 민감 정보는 보이스피싱이나 신용카드 복제, 휴대전화 개통 등에 악용될 위험이 크다는 게 전문가들 지적이다. 12일 경찰청 국가수사본부에 따르면 경찰·국가정보원·검찰이 지난해 12월부터 합동수사를 진행한 결과 ‘라자루스’로 추정되는 북한 해킹 조직이 2021년 1월 7일 이전부터 악성코드가 처음으로 탐지된 지난해 2월 9일까지 법원 전산망에 침입한 것으로 조사됐다. 이 기간 유출된 자료만 총 1014GB에 달한다. 일반적인 컴퓨터 문서 파일이라고 가정했을 때 파일 100만개에 상당하는 분량이며 대략 650만쪽에 달하는 것으로 알려졌다. 유출된 자료는 8대(국내 4대, 해외 4대) 서버를 거쳐 외부로 유출된 것으로 파악됐다. 해커는 2021년 6월부터 11월까지는 국내 영세업체 서버를 장악해 672GB 규모의 자료를 우회시키는 방법으로 빼돌렸다. 2022년 4월부터 지난해 1월까지는 가상자산(암호화폐)으로 해외 서버 4대를 임대해 썼다. 국수본은 “발각되지 않고 안정적으로 자료를 탈취하기 위해 서버를 임대한 것으로 보인다”고 설명했다. 수사당국은 이 중 2021년에 쓰인 국내 서버 1대에서 기록을 복원해 회생 사건 관련 파일 5171개(4.7GB)가 유출된 사실을 확인했다. 여기에는 개인회생에 필요한 이름, 주민등록번호, 금융정보, 병력 기록 등이 담긴 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이 다수 포함됐다. 경찰은 추가 피해를 막기 위해 지난 8일 법원행정처에 유출된 파일 5171개를 전달했다. 법원은 개인정보가 유출된 피해자들에게 통지하기 위해 자료를 분석 중이다. 다만 나머지 7대 서버는 이미 자료 저장 기간이 만료된 탓에 탈취된 자료의 99.5%가 구체적으로 무엇이었는지 확인되지 않았다. 이 때문에 보안장비에서도 기록이 삭제돼 해커가 처음으로 법원 전산망에 침투한 시점과 경로도 확인하기 어렵다는 게 경찰의 설명이다. 대법원은 앞서 지난해 11월 언론보도로 해킹 사실이 알려지자 개인정보보호위원회에 신고했고 지난해 12월부터 정부 합동 조사가 시작됐다. 내부망에서 백신이 악성코드를 감지해 차단한 시점은 지난해 2월이지만 대법원이 자체 대응에 먼저 나서며 수사가 늦어졌다. 그사이 그나마 서버에 남아 있던 유출 자료와 침입 흔적도 삭제됐다. 해커가 파고든 전산망의 취약점을 점검해 보완하는 데도 차질을 빚을 전망이다. 수사당국은 법원 전산망을 해킹한 배후가 북한 해킹조직인 ‘라자루스’라고 결론을 내렸다. 라자루스는 북한 정찰총국 소속으로 ‘김수키’, ‘안다리엘’과 함께 북한 3대 해킹 조직으로 불린다. 이번 범행에 쓰인 악성 프로그램의 유형이나 서버 임대료를 결제한 암호화폐, 인터넷 프로토콜(IP) 주소 등이 라자루스가 과거 사용한 수법과 일치하는 모습을 보였다. 국수본 관계자는 “유출된 개인정보를 이용한 명의 도용, 보이스피싱, 스팸메일 전송 등 2차 피해를 방지하기 위해 출처가 불분명한 이메일이나 문자메시지, 전화가 올 때 주의하고 각종 계정 비밀번호를 주기적으로 바꿔 달라”고 당부하면서 “국내외 관계기관과 협력해 해킹조직의 행동자금인 가상자산도 추적해나가겠다”고 밝혔다.

북한의 대표적 해킹 조직 3곳(라자루스·안다리엘·김수키)이 최근 무기·탄약·군사 장비 등 방산기술 탈취를 목표로 국내 방산업체 10여곳을 조직적으로 공격한 사실이 뒤늦게 확인됐다. 국내 방산업체가 83곳이라는 점을 감안하면 10분의1이 넘는 업체가 해킹 공격을 당한 것이다. 특히 피해업체 대부분은 경찰 수사 전까지 해킹당한 사실조차 알지 못했던 것으로 드러나 방산업계의 보안 관리가 허술하다는 지적이 나온다. 경찰청 국가수사본부 안보수사국은 2022년 10월부터 지난해 7월까지 방산업체 10여곳이 북한 해킹 조직에 기술 자료를 탈취당했다고 23일 밝혔다. 국수본 관계자는 “새롭게 변형된 악성 코드를 사용하면 기존의 백신 프로그램이 탐지하지 못해 (업체가) 해킹 사실을 모르는 경우가 있다”고 말했다. 일부 업체에는 악성 코드가 여전히 남아 있는 것으로 확인됐다. 최근까지도 기술 탈취 등 피해가 발생했을 가능성이 있다는 얘기다. 감염된 PC에서는 과거 북한 해킹 조직이 사용한 악성 코드가 발견됐고 2014년 한국수력원자력 해킹 공격 때 쓰인 IP 주소도 확인됐다. 국수본은 국가 보안 사항이라는 이유로 북한이 탈취한 구체적인 방산기술 유형이나 국가전략기술 유출 여부는 밝히지 않았다. 그동안 북한 해킹 조직은 ▲김수키-정부 기관이나 정치인 ▲라자루스-금융기관 ▲안다리엘-방산업체나 군 등으로 역할을 나눠 공격을 펼쳤다. 하지만 이번엔 해킹 조직이 ‘방산기술 탈취’에 대거 동원된 것이다. 국수본 관계자는 “여러 조직이 총력전 형태로 공격한 정황이 드러난 것은 처음”이라며 “김정은 북한 국무위원장의 구체적인 지시가 있었을 것”이라고 추정했다. 북한 해킹 조직은 주로 방산업체를 직접 침투했지만 상대적으로 보안이 취약한 방산 협력업체나 서버 유지·보수업체 등을 먼저 해킹하기도 했다. 안다리엘은 2022년 10월쯤 여러 방산 협력업체의 서버를 원격으로 유지·보수하는 업체부터 공격했다. 이 회사 직원의 업무용 계정을 탈취한 뒤 원격으로 여러 방산 협력업체에 악성 코드를 퍼뜨려 자료를 빼냈다. 김수키는 지난해 4~7월 방산 협력업체에서 사용하는 그룹웨어 전자우편 서버를 해킹해 기술 자료를 빼낸 것으로 조사됐다. 국수본 관계자는 “통신 로그 보관 주기가 짧고 탈취 흔적이 삭제돼 전체적인 범행 기간은 특정하기 힘들다”고 말했다. 경찰은 방산업체뿐 아니라 방산 협력업체의 내외부망을 분리하고 직원 이메일 계정 등 비밀번호의 주기적인 변경과 해외 IP 차단 등을 권고했다.

북한의 대표적 해킹 조직으로 꼽히는 ‘라자루스’·‘안다리엘’·‘김수키’ 등 3개 조직이 최근 국내 방산업체들을 조직적으로 공격한 사실이 뒤늦게 드러났다. 피해 업체 대부분은 특별점검 시까지 해킹을 당했다는 사실을 알지 못했던 것으로 조사돼 보안 관리에 대한 우려가 제기된다. 23일 경찰청 국가수사본부 안보수사국은 국가사이버위기관리단과 공조해 수사한 결과 2022년 10월부터 지난해 7월까지 10여개 방산업체가 북한 해킹조직으로부터 기술자료를 탈취당한 사실이 확인됐다고 밝혔다. 감염된 PC에서 과거 북한 해커가 사용한 악성코드가 발견됐고, 2014년 한국수력원자력 공격 때 쓰인 IP 주소도 확인됐다. 경찰청·방위사업청·국가정보원이 방산업체들을 대상으로 지난 1월 15일부터 2월 16일까지 방산업체를 대상으로 특별점검을 진행한 결과, 일부 업체에선 악성코드가 남아 있어 최근까지 추가 피해가 발생했을 가능성도 열려있다. 국수본은 해외클라우드에서 탈취된 자료 파일 등을 통해 피해 기간을 추정했으나 통신 로그 보관 주기나 탈취 흔적 삭제 등을 이유로 전체적인 범행 기간이나 피해 규모는 파악하기 어렵다고 설명했다. 그동안 북 해킹조직인 김수키는 정부 기관이나 정치인, 라자루스는 금융기관이나 정부, 안다리엘은 방산업체나 군을 주로 공격한다고 알려졌다. 이들이 전방위적으로 방산기업이나 방산협력업체를 공격한 정황이 드러난 것은 처음이라는 게 경찰의 설명이다. 국수본 관계자는 “방산기술을 탈취하기 위해 여러 북한 해킹조직이 총력전 형태로 공격한 형태”라고 덧붙였다. 해킹 조직별로 주요 피해사례를 보면, 라자루스는 2022년 11월부터 A 방산업체의 직원 컴퓨터를 먼저 해킹한 뒤 외부망에 있는 중계·메일·웹서버로 악성코드를 퍼뜨렸다. 이 회사는 외부망과 내부망을 분리하고 있었지만, 테스트하기 위해 열어 둔 망 연계 시스템의 포트를 통해 내부망까지 침투해 개발팀 직원 컴퓨터 등 6대에 보관된 중요 기술 자료에 접근할 수 있었다. 라자루스는 이러한 자료를 회사 메일 서버 등을 통해 해외 클라우드 서버로 빼돌렸다. 또한 안다리엘은 2022년 10월쯤 여러 방산 협력업체의 서버를 원격으로 유지·보수하는 B 업체부터 공격하는 수법을 썼다. B 업체 직원이 포털 이메일과 같은 회사 업무용 계정을 쓰고 있는 허점을 파고들어 업무용 계정을 탈취한 뒤, 원격으로 여러 방산 협력업체에 악성 코드를 퍼뜨려 자료를 빼냈다. 김수키는 2023년 4월부터 7월까지 C 방산 협력업체로부터 기술자료를 탈취한 것으로 조사됐다. C 업체에서 쓰는 그룹웨어 전자우편 서버에는 이메일로 주고받은 대용량 첨부 파일이 저장돼 있었는데, 로그인하지 않고도 이 파일을 받을 수 있었다. 국수본은 국가 보안 사항이라는 이유로 북한이 탈취한 구체적인 방산기술 유형이나 국가전략기술 유형 여부는 밝히지 않았다. 국수본은 방사청과 추가 피해를 예방하기 위해 협력하겠다는 계획이다. 방산업체뿐만 아니라 방산 협력업체에도 철저한 내·외부망 분리하도록 권고했다. 직원 이메일 계정 등 비밀번호는 주기적으로 변경하고 해외 IP도 차단하도록 당부했다. 그러면서 국수본 관계자는 “해킹된 사실만으로 방산업체를 수사할 수 없다”면서 “방사청에서 관련 법령에 따라 처리하게 될 것”이라고 덧붙였다. 국수본 관계자는 “방산기술을 대상으로 한 북한의 해킹 시도가 이어질 것으로 보인다”면서 “북한 등 해킹 조직에 대한 추적 수사를 지속하고 방위사업청, 국가사이버위기관리단 등 관계기관과 사이버 공격 동향 등을 적극 공유하겠다”고 강조했다.

“북한이 해킹과 사이버 공격을 통해 탈취한 자금으로 핵무기 등 대량살상무기(WMD) 개발 재원의 40%를 충당했다.” 유엔 안전보장이사회 산하 대북제재위원회가 20일(현지시간) 공개한 보고서에서 전문가 패널들이 내린 분석은 최근 크게 늘어난 북한의 사이버 공격의 규모를 가늠하게 합니다. 북한은 유엔 안보리의 제재와 코로나19 여파 등으로 정상적인 무역 활동을 할 수 없게 되자 최근 몇 년간 사이버 공격을 외화벌이의 주 수입원으로 삼아왔습니다. 보고서에는 해킹, 사이버 공격 등의 불법 활동이 전체 외화 수입의 50%를 조달했다는 유엔 회원국의 보고 내용도 담겨있습니다. 그밖에 약 10만명의 북한 노동자가 40여개국에서 식당 종업원이나 재봉, 건설, 의료, 정보기술(IT) 분야에 종사 중이고 이를 통해 연간 약 5억달러(약 6689억원)의 수입을 올리고 있다는 분석도 더해졌습니다. 보고서는 또 지난해 북한의 소행으로 의심되는 가상화폐 탈취 사건 17건(총 7억 5000만달러 상당·약 1조원)을 조사 중이라고 밝혔습니다. 2017~2023년 북한이 가상자산 관련 회사를 상대로 사이버 공격을 벌여 총 30억 달러(약 4조원)를 탈취한 것으로 추정하고 있으며 이와 관련된 58건의 불법행위에 대한 조사도 진행 중이라고 했습니다. 대북제재위 전문가 패널은 국제사회의 안보리 대북제재의 이행 상황을 점검해 1년에 두 차례 활동 결과를 유엔에 보고합니다. 615쪽에 달하는 분량의 이번 보고서는 지난해 7월부터 지난 1월까지의 활동을 담았습니다.유엔 안보리를 비롯해 우리 정부의 독자 제재 등은 주로 북한의 핵·무기 개발을 막기 위해 ‘돈줄’을 끊기 위한 조치들입니다. 제재 대상으로 지정된 개인 또는 단체와는 금융거래나 외환거래를 할 수 없습니다. 우리 국민이 제재 대상자와 금융거래나 외환거래를 하려면 각각 금융위원회나 한국은행 총재에게 사전 허가를 받아야 하고 허가를 받지 않으면 처벌될 수 있습니다. 최근 사이버 불법 활동과 암호화폐 탈취가 늘면서 한국과 미국 정부 등은 더욱 다양한 방식의 제재를 가하고 있습니다. 미국은 2022년 5월 믹서 기업 중 처음으로 ‘블렌더’를, 8월에는 ‘토네이도 캐시’를 각각 제재 대상으로 올렸습니다. 믹서(또는 텀블러)는 가상화폐를 쪼개 누가 전송했는지 알 수 없게 만드는 기술로, 이를 반복하면 자금 추적 및 사용처, 현금화 여부 등 가상화폐 거래 추적이 어려워집니다. 한 마디로 ‘세탁’ 작업을 하는 수단인데, 재무부 제재 대상으로 오르면 미국 내 자산이 동결되고 미국인과 거래하는 것이 금지됩니다. 북한이 탈취한 가상화폐의 ‘세탁’이 어려워지고 현금화가 어려워지는 것입니다. 당시 미 재무부는 믹서 기업인 ‘토네이도 캐시’가 2019년 설립한 이래 70억 달러가 넘는 가상화폐 세탁을 도운 혐의로 제재했다고 밝혔습니다. 특히 북한 정찰총국과 연계된 것으로 알려진 해커 조직 ‘라자루스 그룹’이 4억 5500만 달러의 가상화폐를 세탁하는 데 토네이도 캐시가 사용됐다고도 했습니다. ‘블렌더’는 라자루스가 블록체인 비디오 게임에서 탈취한 가상화폐 6억 2000만 달러 중 일부를 세탁하는 데 사용된 것으로 알려졌습니다. 지난해 12월 앤 뉴버거 백악관 국가안보회의(NSC) 사이버·신기술 부문 부보좌관은 폴리티코와의 인터뷰에서 “미국의 최우선 순위는 (북한의) 가상자산 탈취 근절에 있다”고도 밝혔습니다. 우리 정부도 지난해 12월 김수키, 라자루스, 안다리엘 등 북한 해킹조직의 ‘배후’ 조직인 정찰총국의 수장인 북한 리창호 정찰총국장을 불법 사이버 활동을 통한 외화벌이 및 기술 탈취에 관여한 이유로 독자 제재 대상으로 지정했습니다. 라자루스와 안다리엘은 지난해 2월, 김수키는 지난해 6월 각각 우리 정부의 독자 제재 대상으로 오르기도 했습니다. 정부는 또 지난해 9월에는 북한의 무인무장장비 개발과 IT 인력 송출에 관여한 류경프로그램개발회사와 관계자 5명을 독자 제재 대상으로 최초로 지정했는데요. 북한에 각종 제재와 코로나19 여파로 해외 노동자 파견이 어려워지면서 IT 인력을 활용해 외화를 벌어들이는 것을 고려해 돈줄을 막으려는 조치로 해석됩니다. 북한 IT 인력들은 비대면으로 업무를 처리할 수 있는 데다 해외 기업들은 보다 저렴한 인건비로 ‘가성비 좋은’ 인력을 활용할 수 있다는 점이 맞물려 해외 IT 업체들에서 많은 외화를 벌어들이고 있다고 합니다. 문제는 대부분 거래 과정을 추적할 수 있는 가상화폐와 달리 겉으로는 돈을 받고 업무를 처리해주거나 취업하는 형태가 되는 IT 인력들의 경우 자금이나 거래 내용이 명확하게 추정하기 쉽지 않다는 것입니다. 게다가 해당 기업 등의 기밀정보를 탈취하는 통로가 될 수 있는 우려도 이어집니다. 이 때문에 한미 정부가 합동으로 실리콘밸리를 중심으로 IT 관련 업체들에 ‘북한 IT 인력에 대한 주의 안내’ 주의보를 발표하는 등 여러 활동을 통해 주의를 당부하고 있다고 합니다. 지난해 10월 한미 양국이 낸 ‘사이버안보 분야 한미 정부 공동 주의보’에는 북한 인력들이 IT 업체에 취업하기 위한 과정에서 어떻게 신분을 위장하는지 등 여러 수법을 소개하기도 했습니다. 이번 보고서에서 한 사이버 업체는 북한을 “세계에서 가장 왕성하게 활동하는 사이버 도둑”이라고도 표현한 것으로 전해집니다. 제재가 이뤄질수록 북한도 새로운 ‘꼼수’를 더해가겠지만 불법 사이버 탈취 등을 통한 핵·무기 개발 자금 확보를 막기 위한 국제사회의 노력은 더욱 필요해 보입니다.

정부가 북한 해킹조직의 배후 조직인 정찰총국의 수장 리창호 정찰총국장을 비롯한 8명을 독자제재 대상으로 올렸다. 외교부는 북한의 대륙간탄도미사일(ICBM) 발사에 대응해 무기를 포함한 제재물자 거래와 불법 사이버 활동에 관여한 북한인 8명을 대북 독자제재 대상으로 지정했다고 27일 밝혔다. 윤석열 정부 들어 열네 번째 대북 독자제재다. 새롭게 제재 대상이 된 리창호는 지난해 6월 정찰총국장으로 임명됐다. 정부는 정찰총국이 김수키, 라자루스, 안다리엘 등 북한 해킹조직의 배후 조직으로 불법 사이버 활동을 통해 외화벌이와 기술 탈취를 해 왔다고 봤다. 유엔 안전보장이사회 산하 대북제재위원회 전문가패널은 지난 4월 리창호를 제재 대상으로 지정할 것을 안보리에 권고하기도 했다. 김수키, 라자루스, 안다리엘도 이미 제재 대상이다. 북한 무기수출회사인 조선광업개발무역회사(KOMID)를 대리해 무기 관련 물품을 거래한 박영한, 핵 관련 광물이자 유엔 대북 제재물자인 리튬-6의 거래에 관여한 윤철 전 주중국북한대사관 3등 서기관도 이번에 추가됐다. 북한산 무기와 관련 물품을 거래하는 ‘팬 시스템스 평양’ 소속 량수녀, 김승수, 배원철, 리신성, 김병철도 대상에 올랐다. 팬 시스템스 평양과 위장회사인 글루콤은 지난 9월 정부가 독자제재 대상으로 지정했다. 우리 국민이 제재 대상자와 금융거래를 하려면 금융위원회, 외환거래 땐 한국은행 총재의 사전 허가를 각각 받아야 한다. 정부는 “북한이 도발에는 반드시 대가가 따른다는 사실을 깨달아 도발을 중단하고 비핵화 대화에 나오도록 앞으로도 미국, 일본을 비롯한 국제사회와 더욱 긴밀하게 공조해 나가겠다”고 밝혔다.

정부가 북한의 군사정찰위성 발사에 대응해 1일 위성 개발 및 관련 물자 조달, 탄도미사일 연구·개발 등에 관여한 북한 개인 11명을 대북 독제제재 대상으로 지정했다고 외교부가 밝혔다. 제재 대상에는 우선 북한의 지난달 21일 정찰위성 ‘만리경 1호’ 및 이를 탑재한 운반로켓 ‘천리마 1형’ 발사를 주도한 국가항공우주기술총국 관계자 4명이 포함됐다. 리철주 국가항공우주기술총국 부국장과 김인범, 고관영, 최명수 등이다. 강선 룡성기계연합기업소 지배인도 위성 개발과 관련 물자 조달, 무기 개발에 관여한 이유로 제재 대상에 올랐다. 김용환 727연구소장, 최일환 군수공업부 부부장, 최명철 군수공업부 부부장, 김춘교 조선인민군 중장, 최병완 태성기계종합공장 지배인, 진수남 주러시아대사관 무역서기관 등 6명은 북한의 탄도미사일 연구·개발·운용에 관여했다고 정부는 지적했다. 이 가운데 유럽연합(EU) 제재 명단에도 있는 진수남을 제외한 10명은 우리나라가 세계에서 최초로 대북 제재 대상으로 지정했다. 정부는 “지속적인 대북 독자제재 부과를 통해 북한의 불법 핵·미사일 개발과 무기거래를 포함한 대북제재 위반·회피 활동을 차단하려는 국제사회의 노력을 선도해 나갈 것”이라고 밝혔다. 이번 조치로 지난해 10월 이후 우리 정부가 지정한 대북 독자제재 대상은 개인 75명과 기관 53개로 늘어났다. 한국 국민이 제재 대상으로 지정된 개인·기관과 외환거래 또는 금융거래를 하려면 각각 한국은행 총재 또는 금융위원회의 사전 허가가 필요하다. 허가 없이 거래하는 경우 관련법에 따라 처벌받을 수 있다. 특히 이날 미국과 일본, 호주가 같은 날 연쇄적으로 대북 제재 대상을 지정했다. 미국 재무부 해외자산통제국(OFAC)도 북한 정찰총국 제3국(기술정찰국) 산하 해커조직 ‘김수키’와 강경일, 서명 등 북한 국적자 8명에 대해 대북 독자제재를 발표했다. 일본도 개인 5명과 단체 4개, 호주도 개인 7명과 단체 1개에 대해 각각 제재를 가했다. 지난해 12월과 지난 9월 한미일 3국이 사전 공조를 통해 동시에 대북 제재를 발표한 사례가 있지만 호주까지 함께하는 것은 이번이 처음이다. 외교부는 “호주가 처음으로 동참한 것은 북한의 거듭된 도발을 좌시하지 않겠다는 국제사회의 의지가 강화되고 있음을 보여준다”고 평가했다. 한국이 지난 6월 제재한 해킹조직 김수키가 이번에 미국 OFAC 제재에 포함되는 등 우방국들이 같은 대상에 중첩적으로 제재를 하는 경향도 뚜렷해지고 있다. 유엔 안전보장이사회(안보리)에서는 중국과 러시아의 반대로 새로운 제재를 사실상 추진하기 어려운 상황이지만, 이처럼 우방국의 중첩적 독자제재로 제재망을 촘촘히 하는 것으로 나름대로 효과를 낼 수 있다고 정부는 보고 있다. 외교부는 ”앞으로도 우리의 안보를 위협하는 군사정찰위성 발사를 포함한 북한의 불법 활동에 적극 대응해 나갈 것“이라고 강조했다.