대통령실 국가안보실은 16일 용산 대통령실에서 중소 방산협력업체 사이버보안 실태 긴급 점검 회의를 개최했다. 최근 우리 첨단 방산기술을 노린 북한 등 해킹조직의 공격이 늘면서 중소 방산협력업체의 사이버보안 현황 확인과 보안관리 역량 강화 방안을 강구하기 위함이다. 신용석 국가안보실 사이버안보비서관 주재로 열린 이날 회의에는 방위사업청, 중소벤처기업부, 국가정보원, 경찰청, 국군방첩사령부, 국가사이버위기관리단 등의 관계자들이 참석했다. 신 비서관은 “국가 안보와 직결되는 첨단 방산기술은 어떠한 상황에도 안전하게 보호돼야 한다”고 강조하면서 방산 분야의 보안 사각지대를 해소하기 위해 정부는 물론 관련 부처·기관의 유기적인 협력을 주문했다. 참석자들은 중소 방산협력업체의 사이버 보안관리 역량 강화를 위해 ▲위협정보공유 확대 ▲기술보호 지원제도 ▲예산 지원 ▲취약점 점검·교육 사업 확대 등의 방안을 논의했다. 국가안보실은 “국가안보, 국가 경제와 직결되는 K-방산의 위상 제고를 위해 정부 역량을 집결하여 사이버 위협 대응 태세를 지속 강화해 나갈 것”이라고 밝혔다.

북한 정찰총국 산하 ‘김수키’, ‘안다리엘’ 등 해킹조직이 우리나라 건설·기계업체 등에 악성코드를 유포한 것으로 파악된 가운데, 국가정보원은 북한이 당의 지시에 따라 방산업체 등에도 꾸준한 해킹 공격이 이뤄지고 있다고 밝혔다. 북한이 해킹한 자료를 활용하는 것은 물론 암시장에 판매한다는 것이 국정원의 시각이다. 이달 중 진행되는 한미연합 군사 연습 ‘을지 자유의 방패’(UFS·을지프리덤실드)를 앞두고 북한의 해킹 공격이 늘 수 있다는 전망도 나온다. 윤오준 국정원 3차장은 7일 국가사이버안보센터 판교캠퍼스에서 열린 기자간담회에서 “북한의 해킹조직들이 대상을 명확하게 나눠서 공격하기보다는 당의 지시에 따라 한꺼번에 공통 목표에 대해 해킹을 시도하는 분위기”라며 “전반적으로 방산업체 및 협력 업체에 대한 위협 공격이 계속 들어오고 있다”고 말했다. 그러면서 “(해킹한) 저희 자료를 북한이 사용할 수도 있지만 암시장에 판매하는 등 광범위하게 활용하고 있다”고 했다. 국정원은 북한 해킹조직 규모는 최소 8400여명 정도로, 방산업체에 대한 해킹 공격은 올해 초부터 3~4개월간 집중적으로 있었다고 설명했다. 북한은 통상 한미연합 훈련을 앞둔 시기에 방산업체 해킹을 시도하는 것으로도 알려졌다. 오는 19일부터 을지프리덤실드가 진행될 예정인데 이를 앞두고 북한의 해킹 공격 시도는 늘 수도 있다. 국정원은 전날 ‘국가사이버안보협력센터’를 ‘국가사이버안보센터 판교캠퍼스’로 이름을 변경하는 현판식을 열었다. 사이버 위협에 대해 민·관 등이 정보 및 기술 공유 협력을 확대하고, 사고 발생 시 국가 차원에서 신속하게 대응하겠다는 취지다. 국가사이버안보협력센터는 2022년 11월 문을 열었다. 윤 차장은 이날 이름을 바꾼 배경에 대해 “자유로운 환경에서 기존 민관 협력을 확대함은 물론 사이버인재 양성을 위한 교육 훈련과 정보보호 기업의 성장을 적극적으로 지원하는 등 국민과 기업에 한 걸음 더 다가가기 위한 것”이라고 설명했다. 국정원은 국가·공공기관 및 민간기업들과의 사이버 위협정보를 공유하는 전용 플랫폼인 NCTI와 KCTI를 운영 중이다. 참여기관 수는 2015년 8개로 시작해 현재는 국가·공공기관·민간기업 등 총 630개가 가입돼 있다. 2020년 약 4만건이었던 정보공유 건수도 센터 개소 이후 2023년 36만건, 올해 42만건으로 대폭 늘었다. 국정원은 오는 9월 중 범국가 사이버안보 연대인 ‘사이버 파트너스’를 출범시키고, 망 분리·공급망 보안 등 국가 사이버 보안정책 수립 과정에서 관련 업계와의 소통을 더욱 강화해 나갈 방침이다.

국방부와 군 고위급 인사들의 개인 이메일이 해킹 공격을 당해 경찰이 수사 중이다. 20일 관계당국에 따르면 경찰청 안보수사국은 최근 차관급을 포함한 국방부 고위공무원과 군 장성들의 개인 이메일 해킹 피해를 파악하고 조사에 착수했다. 경찰 관계자는 “군 관계자들을 상대로 한 북한의 해킹 활동과 관련해 수사 중”이라며 “아직 수사가 진행 중이라 구체적인 해킹 대상과 피해 규모는 밝히기 어렵다”고 말했다. 이번 사건은 개인 이메일 계정이 해킹당한 것으로, 군 서버에 대한 사이버 공격과는 무관한 것으로 알려졌다. 경찰은 이들 군 관계자와 유사한 방식으로 외교안보 전문가 등 내국인 총 100여명의 개인 이메일이 해킹당한 사실을 파악하고 수사 중이다. 지금까지 외부 노출이 적은 군 인사들의 개별 피해 사례는 있었지만, 고위직 100여명 이상이 조직적으로 해킹 피해를 당한 것은 처음이다. 국방부는 “경찰 조사에 협조 중”이라며 “당사자들에게 개인 메일 보안 조치를 강화하라는 지침을 통보했다”고 밝혔다. 한편 ‘김수키’ 등 북한 해킹조직은 우리 군과 외교안보 당국, 전문가 등 주요 인사들의 이메일 계정을 탈취하는 사이버 공격을 지속하고 있다. 지난달 경찰청 안보수사국은 김수키를 포함해 라자루스, 안다리엘 등 북한의 3대 해킹조직이 국내 방산기술 탈취를 목표로 국내 방산업체 10여곳에 전방위적인 해킹 공격을 가했다는 수사 결과를 발표했다.

북한 해킹 조직이 우리나라 법원 내부 전산망에 침투해 2년여간 개인정보가 담긴 1000기가바이트(GB) 규모의 자료를 빼낸 사실이 뒤늦게 확인됐다. 사상 초유의 사법부 해킹 사태로 주민등록번호, 병력 기록 등 국민의 내밀한 정보가 포함된 소송 관련 파일 약 100만개가 유출된 것으로 추산된다. 법원의 부실 대응 여파로 서버 자료 대부분이 삭제돼 전체 피해자 중 0.5%의 자료만 확인할 수 있다는 점도 문제다. 이런 민감 정보는 보이스피싱이나 신용카드 복제, 휴대전화 개통 등에 악용될 위험이 크다는 게 전문가들 지적이다. 12일 경찰청 국가수사본부에 따르면 경찰·국가정보원·검찰이 지난해 12월부터 합동수사를 진행한 결과 ‘라자루스’로 추정되는 북한 해킹 조직이 2021년 1월 7일 이전부터 악성코드가 처음으로 탐지된 지난해 2월 9일까지 법원 전산망에 침입한 것으로 조사됐다. 이 기간 유출된 자료만 총 1014GB에 달한다. 일반적인 컴퓨터 문서 파일이라고 가정했을 때 파일 100만개에 상당하는 분량이며 대략 650만쪽에 달하는 것으로 알려졌다. 유출된 자료는 8대(국내 4대, 해외 4대) 서버를 거쳐 외부로 유출된 것으로 파악됐다. 해커는 2021년 6월부터 11월까지는 국내 영세업체 서버를 장악해 672GB 규모의 자료를 우회시키는 방법으로 빼돌렸다. 2022년 4월부터 지난해 1월까지는 가상자산(암호화폐)으로 해외 서버 4대를 임대해 썼다. 국수본은 “발각되지 않고 안정적으로 자료를 탈취하기 위해 서버를 임대한 것으로 보인다”고 설명했다. 수사당국은 이 중 2021년에 쓰인 국내 서버 1대에서 기록을 복원해 회생 사건 관련 파일 5171개(4.7GB)가 유출된 사실을 확인했다. 여기에는 개인회생에 필요한 이름, 주민등록번호, 금융정보, 병력 기록 등이 담긴 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이 다수 포함됐다. 경찰은 추가 피해를 막기 위해 지난 8일 법원행정처에 유출된 파일 5171개를 전달했다. 법원은 개인정보가 유출된 피해자들에게 통지하기 위해 자료를 분석 중이다. 다만 나머지 7대 서버는 이미 자료 저장 기간이 만료된 탓에 탈취된 자료의 99.5%가 구체적으로 무엇이었는지 확인되지 않았다. 이 때문에 보안장비에서도 기록이 삭제돼 해커가 처음으로 법원 전산망에 침투한 시점과 경로도 확인하기 어렵다는 게 경찰의 설명이다. 대법원은 앞서 지난해 11월 언론보도로 해킹 사실이 알려지자 개인정보보호위원회에 신고했고 지난해 12월부터 정부 합동 조사가 시작됐다. 내부망에서 백신이 악성코드를 감지해 차단한 시점은 지난해 2월이지만 대법원이 자체 대응에 먼저 나서며 수사가 늦어졌다. 그사이 그나마 서버에 남아 있던 유출 자료와 침입 흔적도 삭제됐다. 해커가 파고든 전산망의 취약점을 점검해 보완하는 데도 차질을 빚을 전망이다. 수사당국은 법원 전산망을 해킹한 배후가 북한 해킹조직인 ‘라자루스’라고 결론을 내렸다. 라자루스는 북한 정찰총국 소속으로 ‘김수키’, ‘안다리엘’과 함께 북한 3대 해킹 조직으로 불린다. 이번 범행에 쓰인 악성 프로그램의 유형이나 서버 임대료를 결제한 암호화폐, 인터넷 프로토콜(IP) 주소 등이 라자루스가 과거 사용한 수법과 일치하는 모습을 보였다. 국수본 관계자는 “유출된 개인정보를 이용한 명의 도용, 보이스피싱, 스팸메일 전송 등 2차 피해를 방지하기 위해 출처가 불분명한 이메일이나 문자메시지, 전화가 올 때 주의하고 각종 계정 비밀번호를 주기적으로 바꿔 달라”고 당부하면서 “국내외 관계기관과 협력해 해킹조직의 행동자금인 가상자산도 추적해나가겠다”고 밝혔다.

북한 해킹조직 ‘라자루스’로 추정되는 집단이 국내 법원 전산망에 침투해 2년 넘게 개인정보 등이 포함된 총 1014GB(기가바이트) 규모의 자료를 빼낸 사실이 정부 합동조사 결과 드러났다. 수사당국은 이번 범행에 사용된 악성 프로그램 유형, 가상자산을 이용한 임대서버 결제내역, IP 주소 등을 바탕으로 이번 사건을 북한 해킹조직의 소행으로 결론 내렸다. 국민의 민감한 개인정보를 다루는 사법부가 긴 시간 동안 해킹 사실조차 탐지하지 못한 점이 문제로 지적되고 있다. 경찰청 국가수사본부는 지난해 말 불거진 법원 전산망 해킹·자료유출 사건을 국가정보원,검찰과 합동 조사·수사한 결과를 11일 공개했다. 수사 결과 법원 전산망에 대한 침입은 2021년 1월 7일 이전부터 2023년 2월 9일까지 이뤄진 것으로 파악됐다. 이 기간에 총 1014GB의 법원 자료가 8대의 서버(국내 4대·해외 4대)를 통해 법원 전산망 외부로 전송됐다. 수사당국은 이 중 1대의 국내 서버에 남아 있던 기록을 복원해 회생 사건 관련 파일 5171개(4.7GB)가 유출된 사실을 확인했다. 나머지 7개의 서버는 이미 자료 저장 기간이 만료돼 흔적을 찾을 수 없었던 것으로 전해졌다. 유출이 확인된 자료 5171개는 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이다. 여기에는 이름, 주민등록번호, 금융정보, 병력기록 등 개인정보가 다수 포함됐다. 경찰은 2차 피해를 막기 위해 유출된 파일 5171개를 지난 8일 법원행정처에 제공하고 유출 피해자들에게 통지하도록 했다. 수사당국은 이번 범행에 사용된 악성 프로그램 유형, 가상자산을 이용한 임대서버 결제내역, IP 주소 등을 바탕으로 이번 사건을 북한 해킹조직의 소행으로 결론 내렸다.

북한의 대표적 해킹 조직으로 꼽히는 ‘라자루스’·‘안다리엘’·‘김수키’ 등 3개 조직이 최근 국내 방산업체들을 조직적으로 공격한 사실이 뒤늦게 드러났다. 피해 업체 대부분은 특별점검 시까지 해킹을 당했다는 사실을 알지 못했던 것으로 조사돼 보안 관리에 대한 우려가 제기된다. 23일 경찰청 국가수사본부 안보수사국은 국가사이버위기관리단과 공조해 수사한 결과 2022년 10월부터 지난해 7월까지 10여개 방산업체가 북한 해킹조직으로부터 기술자료를 탈취당한 사실이 확인됐다고 밝혔다. 감염된 PC에서 과거 북한 해커가 사용한 악성코드가 발견됐고, 2014년 한국수력원자력 공격 때 쓰인 IP 주소도 확인됐다. 경찰청·방위사업청·국가정보원이 방산업체들을 대상으로 지난 1월 15일부터 2월 16일까지 방산업체를 대상으로 특별점검을 진행한 결과, 일부 업체에선 악성코드가 남아 있어 최근까지 추가 피해가 발생했을 가능성도 열려있다. 국수본은 해외클라우드에서 탈취된 자료 파일 등을 통해 피해 기간을 추정했으나 통신 로그 보관 주기나 탈취 흔적 삭제 등을 이유로 전체적인 범행 기간이나 피해 규모는 파악하기 어렵다고 설명했다. 그동안 북 해킹조직인 김수키는 정부 기관이나 정치인, 라자루스는 금융기관이나 정부, 안다리엘은 방산업체나 군을 주로 공격한다고 알려졌다. 이들이 전방위적으로 방산기업이나 방산협력업체를 공격한 정황이 드러난 것은 처음이라는 게 경찰의 설명이다. 국수본 관계자는 “방산기술을 탈취하기 위해 여러 북한 해킹조직이 총력전 형태로 공격한 형태”라고 덧붙였다. 해킹 조직별로 주요 피해사례를 보면, 라자루스는 2022년 11월부터 A 방산업체의 직원 컴퓨터를 먼저 해킹한 뒤 외부망에 있는 중계·메일·웹서버로 악성코드를 퍼뜨렸다. 이 회사는 외부망과 내부망을 분리하고 있었지만, 테스트하기 위해 열어 둔 망 연계 시스템의 포트를 통해 내부망까지 침투해 개발팀 직원 컴퓨터 등 6대에 보관된 중요 기술 자료에 접근할 수 있었다. 라자루스는 이러한 자료를 회사 메일 서버 등을 통해 해외 클라우드 서버로 빼돌렸다. 또한 안다리엘은 2022년 10월쯤 여러 방산 협력업체의 서버를 원격으로 유지·보수하는 B 업체부터 공격하는 수법을 썼다. B 업체 직원이 포털 이메일과 같은 회사 업무용 계정을 쓰고 있는 허점을 파고들어 업무용 계정을 탈취한 뒤, 원격으로 여러 방산 협력업체에 악성 코드를 퍼뜨려 자료를 빼냈다. 김수키는 2023년 4월부터 7월까지 C 방산 협력업체로부터 기술자료를 탈취한 것으로 조사됐다. C 업체에서 쓰는 그룹웨어 전자우편 서버에는 이메일로 주고받은 대용량 첨부 파일이 저장돼 있었는데, 로그인하지 않고도 이 파일을 받을 수 있었다. 국수본은 국가 보안 사항이라는 이유로 북한이 탈취한 구체적인 방산기술 유형이나 국가전략기술 유형 여부는 밝히지 않았다. 국수본은 방사청과 추가 피해를 예방하기 위해 협력하겠다는 계획이다. 방산업체뿐만 아니라 방산 협력업체에도 철저한 내·외부망 분리하도록 권고했다. 직원 이메일 계정 등 비밀번호는 주기적으로 변경하고 해외 IP도 차단하도록 당부했다. 그러면서 국수본 관계자는 “해킹된 사실만으로 방산업체를 수사할 수 없다”면서 “방사청에서 관련 법령에 따라 처리하게 될 것”이라고 덧붙였다. 국수본 관계자는 “방산기술을 대상으로 한 북한의 해킹 시도가 이어질 것으로 보인다”면서 “북한 등 해킹 조직에 대한 추적 수사를 지속하고 방위사업청, 국가사이버위기관리단 등 관계기관과 사이버 공격 동향 등을 적극 공유하겠다”고 강조했다.

“북한이 해킹과 사이버 공격을 통해 탈취한 자금으로 핵무기 등 대량살상무기(WMD) 개발 재원의 40%를 충당했다.” 유엔 안전보장이사회 산하 대북제재위원회가 20일(현지시간) 공개한 보고서에서 전문가 패널들이 내린 분석은 최근 크게 늘어난 북한의 사이버 공격의 규모를 가늠하게 합니다. 북한은 유엔 안보리의 제재와 코로나19 여파 등으로 정상적인 무역 활동을 할 수 없게 되자 최근 몇 년간 사이버 공격을 외화벌이의 주 수입원으로 삼아왔습니다. 보고서에는 해킹, 사이버 공격 등의 불법 활동이 전체 외화 수입의 50%를 조달했다는 유엔 회원국의 보고 내용도 담겨있습니다. 그밖에 약 10만명의 북한 노동자가 40여개국에서 식당 종업원이나 재봉, 건설, 의료, 정보기술(IT) 분야에 종사 중이고 이를 통해 연간 약 5억달러(약 6689억원)의 수입을 올리고 있다는 분석도 더해졌습니다. 보고서는 또 지난해 북한의 소행으로 의심되는 가상화폐 탈취 사건 17건(총 7억 5000만달러 상당·약 1조원)을 조사 중이라고 밝혔습니다. 2017~2023년 북한이 가상자산 관련 회사를 상대로 사이버 공격을 벌여 총 30억 달러(약 4조원)를 탈취한 것으로 추정하고 있으며 이와 관련된 58건의 불법행위에 대한 조사도 진행 중이라고 했습니다. 대북제재위 전문가 패널은 국제사회의 안보리 대북제재의 이행 상황을 점검해 1년에 두 차례 활동 결과를 유엔에 보고합니다. 615쪽에 달하는 분량의 이번 보고서는 지난해 7월부터 지난 1월까지의 활동을 담았습니다.유엔 안보리를 비롯해 우리 정부의 독자 제재 등은 주로 북한의 핵·무기 개발을 막기 위해 ‘돈줄’을 끊기 위한 조치들입니다. 제재 대상으로 지정된 개인 또는 단체와는 금융거래나 외환거래를 할 수 없습니다. 우리 국민이 제재 대상자와 금융거래나 외환거래를 하려면 각각 금융위원회나 한국은행 총재에게 사전 허가를 받아야 하고 허가를 받지 않으면 처벌될 수 있습니다. 최근 사이버 불법 활동과 암호화폐 탈취가 늘면서 한국과 미국 정부 등은 더욱 다양한 방식의 제재를 가하고 있습니다. 미국은 2022년 5월 믹서 기업 중 처음으로 ‘블렌더’를, 8월에는 ‘토네이도 캐시’를 각각 제재 대상으로 올렸습니다. 믹서(또는 텀블러)는 가상화폐를 쪼개 누가 전송했는지 알 수 없게 만드는 기술로, 이를 반복하면 자금 추적 및 사용처, 현금화 여부 등 가상화폐 거래 추적이 어려워집니다. 한 마디로 ‘세탁’ 작업을 하는 수단인데, 재무부 제재 대상으로 오르면 미국 내 자산이 동결되고 미국인과 거래하는 것이 금지됩니다. 북한이 탈취한 가상화폐의 ‘세탁’이 어려워지고 현금화가 어려워지는 것입니다. 당시 미 재무부는 믹서 기업인 ‘토네이도 캐시’가 2019년 설립한 이래 70억 달러가 넘는 가상화폐 세탁을 도운 혐의로 제재했다고 밝혔습니다. 특히 북한 정찰총국과 연계된 것으로 알려진 해커 조직 ‘라자루스 그룹’이 4억 5500만 달러의 가상화폐를 세탁하는 데 토네이도 캐시가 사용됐다고도 했습니다. ‘블렌더’는 라자루스가 블록체인 비디오 게임에서 탈취한 가상화폐 6억 2000만 달러 중 일부를 세탁하는 데 사용된 것으로 알려졌습니다. 지난해 12월 앤 뉴버거 백악관 국가안보회의(NSC) 사이버·신기술 부문 부보좌관은 폴리티코와의 인터뷰에서 “미국의 최우선 순위는 (북한의) 가상자산 탈취 근절에 있다”고도 밝혔습니다. 우리 정부도 지난해 12월 김수키, 라자루스, 안다리엘 등 북한 해킹조직의 ‘배후’ 조직인 정찰총국의 수장인 북한 리창호 정찰총국장을 불법 사이버 활동을 통한 외화벌이 및 기술 탈취에 관여한 이유로 독자 제재 대상으로 지정했습니다. 라자루스와 안다리엘은 지난해 2월, 김수키는 지난해 6월 각각 우리 정부의 독자 제재 대상으로 오르기도 했습니다. 정부는 또 지난해 9월에는 북한의 무인무장장비 개발과 IT 인력 송출에 관여한 류경프로그램개발회사와 관계자 5명을 독자 제재 대상으로 최초로 지정했는데요. 북한에 각종 제재와 코로나19 여파로 해외 노동자 파견이 어려워지면서 IT 인력을 활용해 외화를 벌어들이는 것을 고려해 돈줄을 막으려는 조치로 해석됩니다. 북한 IT 인력들은 비대면으로 업무를 처리할 수 있는 데다 해외 기업들은 보다 저렴한 인건비로 ‘가성비 좋은’ 인력을 활용할 수 있다는 점이 맞물려 해외 IT 업체들에서 많은 외화를 벌어들이고 있다고 합니다. 문제는 대부분 거래 과정을 추적할 수 있는 가상화폐와 달리 겉으로는 돈을 받고 업무를 처리해주거나 취업하는 형태가 되는 IT 인력들의 경우 자금이나 거래 내용이 명확하게 추정하기 쉽지 않다는 것입니다. 게다가 해당 기업 등의 기밀정보를 탈취하는 통로가 될 수 있는 우려도 이어집니다. 이 때문에 한미 정부가 합동으로 실리콘밸리를 중심으로 IT 관련 업체들에 ‘북한 IT 인력에 대한 주의 안내’ 주의보를 발표하는 등 여러 활동을 통해 주의를 당부하고 있다고 합니다. 지난해 10월 한미 양국이 낸 ‘사이버안보 분야 한미 정부 공동 주의보’에는 북한 인력들이 IT 업체에 취업하기 위한 과정에서 어떻게 신분을 위장하는지 등 여러 수법을 소개하기도 했습니다. 이번 보고서에서 한 사이버 업체는 북한을 “세계에서 가장 왕성하게 활동하는 사이버 도둑”이라고도 표현한 것으로 전해집니다. 제재가 이뤄질수록 북한도 새로운 ‘꼼수’를 더해가겠지만 불법 사이버 탈취 등을 통한 핵·무기 개발 자금 확보를 막기 위한 국제사회의 노력은 더욱 필요해 보입니다.

북한이 해킹으로 훔친 암호화폐를 대북 제재 때문에 현금화하지 못하고 있다고 있다는 미국 정부 고위관계자의 분석이 나왔다. 브라이언 넬슨 미 재무부 차관은 재무부의 믹서 업체와 장외거래 업자 제재가 성공적이었다며 이렇게 밝혔다고 미국 자유아시아방송(RFA)이 지난달 29일 보도했다. 넬슨 차관은 인터뷰에서 “북한이 암호화폐를 믹싱해 현금화하는 데 많은 어려움을 겪고 있다”며 아무리 암호화폐를 많이 훔쳐도 살 수 있는 게 없다는 뜻이라고 설명했다. 북한은 가상화폐의 자금 사용처와 현금화 추적을 어렵게 만드는 믹서 업체를 통해 훔친 가상화폐를 세탁해왔다. 따라서 재무부는 지난해 8월과 11월 믹서 업체 ‘토네이도 캐시’와 ‘신바드’를 각각 제재했다. 북한이 훔친 암호화폐의 현금화 과정을 도운 장외거래 암호화폐 업자들도 지난해 4월 재무부의 제재 명단에 올랐다. 넬슨 차관은 믹서 업체와 장외거래 업자뿐 아니라 바이낸스 등 가상자산거래소에서도 북한의 암호화폐 현금화를 막기 위한 단속이 이뤄지고 있다고 전했다. 블록체인 추적업체 TRM 랩스는 북한이 지난해 해킹으로 훔친 암호화폐가 7억달러(약 9355억원)로 2022년 8억 5000만달러(약 1조 1360억원)보다 18% 감소했다고 파악했다. 또 다른 블록체인 분석업체 체이널리시스는 북한 연계 해킹조직이 지난해 가상화폐 플랫폼 20곳을 해킹해 약 10억달러(약 1조 3365억원)를 빼냈다고 추산했다. 2022년과 비교하면 북한에 해킹당한 플랫폼은 15곳에서 5곳 늘어났지만 금액은 17억달러(약 2조 2720억원)에서 41% 줄었다.

중국 해커, “충남 A대학 개인정보 등 해킹”충북 지자체, 지리정보 파일 유출 추정 국내 지방자치단체와 대학 등 3곳이 중국 출신으로 추정되는 해커로부터 공격받았다는 정보가 입수돼 관련 기관 등이 정보 유출 여부와 피해 등을 확인 중이다. 충남의 A대학은 지난 27일 중국 해커가 대학 내 홈페이지에서 학교 관련 정보를 해킹했다는 정보가 입수돼 자체 조사를 진행 중이라고 29일 밝혔다. 대학생 온라인 커뮤니티 ‘에브리타임(에타)’에는 해커가 텔레그램을 통해 공개한 압축파일에는 학교 자료뿐 아니라 일부 학생과 교직원들의 개인 정보까지 유출됐다는 주장이 제기됐다. 이 해커는 A대학 해킹을 알리며 250MB 가량의 유출 데이터 공개를 예고했다. A대학은 현재까지 자체 파악 결과 27일 오후 7시쯤 약 1시간 외부에서 학교 홈페이지 접속에 지연됐고 현재 정보 유출 여부 등을 확인하고 있다. A대학 관계자는 “정확한 정보 유출 여부와 피해 등을 확인 중이며 보안 강화 등 방지 대책을 마련 중”이라며 “대학과 특정한 원한이나 목적을 위한 것은 아닌, 해커가 자기 실력을 과시하기 위한 것으로 추정한다”고 말했다. 해커가 공격했다는 충북의 한 지자체는 개인 정보가 아닌 지리정보 관련 파일이 해커로부터 유출된 것으로 파악되고 있다. 이 해커는 텔레그램을 통해 압축파일 형태로 유출 자료를 공개하는 것으로 알려졌다. 지자체 관계자는 “해커가 지리정보공개플랫폼을 공격해 지리정보와 관련된 일부 파일이 유출된 것으로 의심된다”며 “행정안전부에 유출 의심 파일 분석을 의뢰했다”고 말했다. 중국인으로 추정된 이 해커는 충북의 한 지자체와 부산지역의 한 대학도 공격했다고 주장했다. 국정원에 따르면 지난해 국가 및 국제 해킹조직이 한국 공공기관, 지방자치단체 등 공공분야를 공격 시도한 건수는 하루 평균 162만여건이었다. 2022년 대비 36% 증가한 수치다.

지난해 공공기관을 대상으로 한 국제 해킹조직의 사이버 공격 시도가 하루 평균 162만여건으로 2022년(119만건)보다 36% 증가했다. 특히 북한과 중국 해킹조직에 의한 공격이 전체의 90%에 달한 것으로 파악됐다. 국가정보원은 24일 경기 성남시 국가사이버안보협력센터에서 기자간담회를 갖고 “북한의 공격 건수가 80%로 가장 많았고 중국은 5%였다”면서 “피해의 심각도를 반영하면 북한이 68%, 중국이 21%로 중국의 비중이 크다”고 밝혔다. 국정원 분석 결과 북한 해킹조직은 ‘김정은 지시’에 따라 빠르게, 중국 해킹조직은 천천히 깊숙이 공격하는 특징을 보였다. 지난해 초 김정은 북한 국무위원장이 식량난 해결을 지시하자 해커들은 국내 농수산기관 3곳을 공격해 식량연구자료를 빼갔다. 지난해 8~9월 김 위원장의 해군력 강화 지시 이후엔 국내 조선업체 4곳을 해킹해 도면과 설계자료를, 10월 무인기 생산 강화를 지시하자 국내외 업체에서 무인기 엔진 자료를 각각 수집했다. 김 위원장의 관심과 지시에 따라 빠르게 목표물을 바꿔 움직인 것이다. 국정원은 또 북한이 2020년부터 지난해까지 4년간 한국을 포함해 최소 25개국의 방산 분야를 해킹했다고 밝혔다. 해킹 시도 분야는 항공(25%), 전차(17%), 위성(16%), 함정(11%) 순이었다. 특히 북한은 우방국인 러시아 방산업체를 여러 차례 해킹했다. 북한이 개발한 전차와 지대공 미사일은 해킹으로 빼낸 설계도면 등을 활용해 러시아산과 매우 유사한 것으로 국정원은 보고 있다. 중국은 천천히, 은밀하게 침투해 생존력을 높였다. 일부 해커는 한 국내업체의 서버를 해킹하고 공개 소프트웨어(SW)로 위장한 악성코드를 숨겨놨다가 수년에 걸쳐 여러 고객사를 해킹했다. 중국인으로 추정되는 해커가 국내 기관이 사용하는 위성통신 신호를 수집·분석한 뒤 정상 장비인 것처럼 위장해 지상의 위성망 관리시스템에 무단으로 접속하고 최초로 정부 행정망을 침투하려다 적발되기도 했다. 중국 언론홍보 업체들이 국내 언론사로 위장한 사이트 200여개를 열어 친중·반미 성향 콘텐츠를 올린 뒤 소셜미디어(SNS) 인플루언서를 통해 확산시킨 정황도 확인됐다. 국정원은 특히 ‘슈퍼 선거의 해’인 올해 북한이 선거 개입과 정부 불신 조장을 위한 가짜뉴스 유포나 선거시스템 해킹 공격 가능성이 크다고 전망했다. 백종욱 국정원 3차장은 “남북관계가 경색되고 대남 비난 강도가 높을 때 사이버 공격이 잇따라 발생했다”고 말했다.

지난해 공공기관을 대상으로 한 국제 해킹조직의 사이버 공격 시도가 하루 평균 162만여건으로 2022년(119만건)보다 36% 증가했다. 특히 북한과 중국 해킹조직에 의한 공격이 전체의 90%에 달한 것으로 파악됐다. 국가정보원은 24일 경기 성남시 국가사이버안보협력센터에서 기자간담회를 갖고 “북한의 공격 건수가 80%로 가장 많았고 중국은 5%였다”면서 “피해의 심각도를 반영하면 북한이 68%, 중국이 21%로 중국의 비중이 크다”고 밝혔다. 국정원 분석 결과 북한 해킹조직은 ‘김정은 지시’에 따라 빠르게, 중국 해킹조직은 천천히 깊숙이 공격하는 특징을 보였다. 지난해 초 김정은 북한 국무위원장이 식량난 해결을 지시하자 해커들은 국내 농수산기관 3곳을 공격해 식량연구자료를 빼갔다. 지난해 8~9월 김 위원장의 해군력 강화 지시 이후엔 국내 조선업체 4곳을 해킹해 도면과 설계자료를, 10월 무인기 생산 강화를 지시하자 국내외 업체에서 무인기 엔진 자료를 각각 수집했다. 김 위원장의 관심과 지시에 따라 빠르게 목표물을 바꿔 움직인 것이다. 국정원은 또 북한이 2020년부터 지난해까지 4년간 한국을 포함해 최소 25개국의 방산 분야를 해킹했다고 밝혔다. 해킹 시도 분야는 항공(25%), 전차(17%), 위성(16%), 함정(11%) 순이었다. 특히 북한은 우방국인 러시아 방산업체를 여러 차례 해킹했다. 북한이 개발한 전차와 지대공 미사일은 해킹으로 빼낸 설계도면 등을 활용해 러시아산과 매우 유사한 것으로 국정원은 보고 있다. 중국은 천천히, 은밀하게 침투해 생존력을 높였다. 일부 해커는 한 국내업체의 서버를 해킹하고 공개 소프트웨어(SW)로 위장한 악성코드를 숨겨놨다가 수년에 걸쳐 여러 고객사를 해킹했다. 중국인으로 추정되는 해커가 국내 기관이 사용하는 위성통신 신호를 수집·분석한 뒤 정상 장비인 것처럼 위장해 지상의 위성망 관리시스템에 무단으로 접속하고 최초로 정부 행정망을 침투하려다 적발되기도 했다. 중국 언론홍보 업체들이 국내 언론사로 위장한 사이트 200여개를 열어 친중·반미 성향 콘텐츠를 올린 뒤 소셜미디어(SNS) 인플루언서를 통해 확산시킨 정황도 확인됐다. 국정원은 특히 ‘슈퍼 선거의 해’인 올해 북한이 선거 개입과 정부 불신 조장을 위한 가짜뉴스 유포나 선거시스템 해킹 공격 가능성이 크다고 전망했다. 백종욱 국정원 3차장은 “남북관계가 경색되고 대남 비난 강도가 높을 때 사이버 공격이 잇따라 발생했다”고 말했다. 국정원은 관계기관과 협력을 통해 선거철 ‘정부 흔들기’를 위한 공격에 대응하고 전문 연구소 설립 등을 통해 AI 활용 해킹 등에 대한 대응할 계획이다. 지난해 7~9월 투·개표 관리 시스템의 해킹 취약점이 다수 발견된 것과 관련, 전날 선거관리위원회의 합동 보안점검 후속 보안 조치의 적절성 여부 확인에 들어갔다. 또 북한 해킹그룹의 대법원 전산망 해킹 피해 범위와 공격 주체 등을 파악하기 위해 지난 22일부터 법원행정처와 현장 조사를 진행하고 있다. 백 차장은 “정부 전산망 장애 발생 시 해킹 가능성을 배제하지 않고 사고 초기부터 적극 관여해 대응할 것”이라고 강조했다.

지난해 대한민국 공공분야를 대상으로 한 사이버 공격의 80%가 북한인 것으로 전해졌다. 국가정보원(국정원)은 24일 경기도 성남시에 있는 국가사이버안보협력센터에서 ‘사이버위협 동향과 국정원의 대응 활동’ 언론 간담회를 열고 “김정은이 해킹 목표를 진두지휘하고 있다”고 밝혔다. 국정원에 따르면 지난해 국가 및 국제 해킹조직이 한국 공공기관, 지방자치단체 등 공공분야를 공격 시도한 건수는 하루 평균 162만여건이었다. 2022년 대비 36% 증가한 수치다. 공격 주체는 북한이 80%로 대부분을 차지했으며 중국은 5%였다. 다만 사건별 피해 규모, 중요도 등을 고려한 심각성을 반영하면 북한과 중국의 비중이 각각 68%, 21%로 중국의 위협도 작지 않았다. 국정원은 북한이 김정은 국무위원장의 지시와 관심에 따라 공격 대상을 변경하고 있다고 했다. 지난해 8~9월 북한은 국내 조선업체를 해킹해 도면과 설계 자료를 훔쳤다. 김 위원장이 해군사령부를 방문하고 첫 전술핵 공격잠수함이라고 밝힌 ‘김군옥영웅함’ 진수식에 참석하며 해군 전력 강화 의지를 밝힌 시기다. 지난해 초반엔 김 위원장의 식량난 해결 지시에 따라 농수산 기관을 집중적으로 공격하고, 10월엔 무인기 생산 강화 지시 이후 국내외 관련 기관에서 무인기 엔진 자료를 수집했다고 한다. 백종욱 국정원 3차장은 “비대면 사이버상에선 남북관계가 경색되고 대남 비난 강도가 높을 때 사이버 공격이 잇따라 발생했음을 잊지 말고 경계해야 한다”고 했다. 특히 4월 한국 총선, 11월 미국 대선을 앞두고 우리 정부 흔들기 목적의 북한 사이버 도발, 선거 개입 및 정부 불신 조장을 위한 영향력 공작 등이 현실화할 수 있다고 우려했다. 중국 추정 해커가 A기관이 사용 중인 위성통신망에 침입해 지상 위성망 관리시스템에 무단 접속한 이후 정부 행정망 침투를 시도하다가 차단된 사례도 있었다. 국정원 관계자는 중국 정부와 연관성이 있다고 확정하진 않았지만 “위성 수신 범위와 공격 수법으로 봐서 중국발로 추정된다”고 했다.

정부가 북한 해킹조직의 배후 조직인 정찰총국의 수장 리창호 정찰총국장을 비롯한 8명을 독자제재 대상으로 올렸다. 외교부는 북한의 대륙간탄도미사일(ICBM) 발사에 대응해 무기를 포함한 제재물자 거래와 불법 사이버 활동에 관여한 북한인 8명을 대북 독자제재 대상으로 지정했다고 27일 밝혔다. 윤석열 정부 들어 열네 번째 대북 독자제재다. 새롭게 제재 대상이 된 리창호는 지난해 6월 정찰총국장으로 임명됐다. 정부는 정찰총국이 김수키, 라자루스, 안다리엘 등 북한 해킹조직의 배후 조직으로 불법 사이버 활동을 통해 외화벌이와 기술 탈취를 해 왔다고 봤다. 유엔 안전보장이사회 산하 대북제재위원회 전문가패널은 지난 4월 리창호를 제재 대상으로 지정할 것을 안보리에 권고하기도 했다. 김수키, 라자루스, 안다리엘도 이미 제재 대상이다. 북한 무기수출회사인 조선광업개발무역회사(KOMID)를 대리해 무기 관련 물품을 거래한 박영한, 핵 관련 광물이자 유엔 대북 제재물자인 리튬-6의 거래에 관여한 윤철 전 주중국북한대사관 3등 서기관도 이번에 추가됐다. 북한산 무기와 관련 물품을 거래하는 ‘팬 시스템스 평양’ 소속 량수녀, 김승수, 배원철, 리신성, 김병철도 대상에 올랐다. 팬 시스템스 평양과 위장회사인 글루콤은 지난 9월 정부가 독자제재 대상으로 지정했다. 우리 국민이 제재 대상자와 금융거래를 하려면 금융위원회, 외환거래 땐 한국은행 총재의 사전 허가를 각각 받아야 한다. 정부는 “북한이 도발에는 반드시 대가가 따른다는 사실을 깨달아 도발을 중단하고 비핵화 대화에 나오도록 앞으로도 미국, 일본을 비롯한 국제사회와 더욱 긴밀하게 공조해 나가겠다”고 밝혔다.

북한의 사이버 공격이 날이 갈수록 거세지고 있다. 정부와 민간 부문을 가리지 않는 북한의 사이버 공격에 빠르게 대응할 수 있도록 사이버 안보 ‘컨트롤 타워’가 필요하다는 의견이 나오지만, 정보 기관의 권한이 강화될 수 있다는 우려도 제기돼 논의가 지지부진한 상황이다.8일 국회 의안정보시스템에 따르면 현 국가안보실장인 조태용 전 미래통합당(국민의힘 전신) 의원이 지난 2020년 6월 대표 발의한 ‘사이버안보 기본법안’이 정보위원회에 계류 중이다. 해당 법안은 민·관이 협력해 사이버 공격을 사전에 탐지하고 조기 차단해 신속한 대처를 할 수 있도록 시스템을 구축하는 내용이 핵심이다. 사이버 공격이 갈수록 조직화되고, 공격 대상이 금융 등 민간 영역까지 확대되자 민·관의 협력을 통한 효율적 대처가 필요하다는 의견이 나온 데 따른 것이다. ‘사이버안보 기본법안’ 3년째 국회 계류與 “사이버 안보 국가 차원 관리해야”21대 국회에서도 법안 처리 여부 불투명 서울경찰청 안보수사지원과는 지난 4일 북한 정찰총국 내 해킹조직인 ‘안다리엘’이 국내 방산업체와 연구소, 제약업체 등의 컴퓨터 시스템에 침투해 바이러스를 퍼트린 이후 4억원이 넘는 비트코인을 가로챘다고 밝혔다. 또한 유엔 안전보장이사회(안보리) 산하 대북제재위원회가 지난 10월 공개한 보고서에 따르면 북한은 지난해에만 2조 3000억원에 달하는 가상자산을 탈취했다.여당은 사이버안보 기본법안 제정을 통해 사이버 안보 컨트롤 타워를 조속히 마련해야 한다는 입장이다. 유의동 국민의힘 정책위의장은 지난 5일 원내대책회의에서 “미국·일본·중국 등 주요 나라들은 사이버안보를 국가 차원에서 관리하고 있다. 우리나라도 사이버안보 컨트롤 타워를 두고 체계적인 관리에 나서야 한다”며 “사태의 심각성과 중대성을 고려한다면 민주당도 전향적인 자세로, 초당적인 자세로 법안 제정에 나서주실 것을 간곡하게 요청드린다”고 발언했다. 반면 법안 제정을 반대하는 목소리도 있다. 국회 정보위원회 검토보고서에는 사이버 위협에 대한 정보 공유가 민간에 대한 감시권한을 확대하는 수단으로 이용될 수 있다는 시민단체의 우려가 담겼다. 또한 법안 제정으로 국가정보원의 권한이 강화되고 그에 따라 관련 기관에 부당한 영향력을 행사할 가능성이 있다는 일부 시민단체의 의견도 포함됐다.사이버 안보 관련 법안의 제정 시도는 17대 국회에서부터 있었지만 법안은 모두 통과되지 못했다. 21대 국회에서도 해당 법안이 처리가 가능할지 여부는 불투명하다. 정보위 핵심 관계자는 서울신문과의 통화에서 “사이버안보 기본법은 야당과의 협상이 필요한 상황”이라며 “이번 대수에서 통과하기는 어려울 것 같다”고 밝혔다.

국민의힘이 4일 북한의 사이버 위협에 대비한 사이버안보 기본법을 제정해야 한다며, 법 제정을 위한 더불어민주당의 초당적 협력을 촉구했다. 북한 해킹조직이 국내 방산업체·연구소·대학·제약사·금융사 등 수십 곳을 공격해 주요 기술 자료와 개인정보를 탈취한 사실이 밝혀진 데 따른 것이다. 유의동 정책위의장은 이날 국회에서 열린 원내대책회의에서 “현재 국회에서 잠자고 있는 사이버안보 기본법을 조속히 제정해 국가 사이버안보 대응체계를 구축해야 한다”며 “사태의 심각성과 중대성을 고려한다면, 민주당도 전향적인 자세로 초당적인 자세로 법안 제정에 나서주실 것을 간곡하게 요청드린다”고 발언했다. 이어 유 정책위의장은 대한민국의 사이버보안 의식이 허술하다는 점을 지적했다. 그는 “(북한 해킹조직이) 랜섬웨어를 유포해 서버를 망가트리고 시스템을 복구해 주는 대가로 비트코인을 받아 갔다. 더 충격적인 것은 해킹당한 업체 대부분이 피해를 입었다는 사실을 인지하지 못했다는 점”이라며 “심지어 기업 신뢰도 하락을 우려해 피해 신고를 하지 않은 곳도 있다. 우리 기업과 연구소, 대학의 사이버안보 인식이 얼마나 허술했는지 여실히 보여준다”고 언급했다. 이어 유 정책위의장은 대한민국이 북한의 지속적인 해킹 위협에 노출돼 있다고 지적했다. 그는 “정부 당국에 따르면 북한은 우리나라를 대상으로 올 상반기에 하루 평균 90만에서 100만 건의 사이버 공격을 시도했다고 한다”며 “북한의 먹잇감이 되어 정보를 탈취해 가도 빼앗겼다는 사실조차도 모르는 이런 현실을 그냥 두고만 볼 수 없다”고 말했다. 그러면서 유 정책위의장은 해외 사례를 언급해 사이버안보 컨트롤 타워의 필요성을 설명했다. 그는 “미국, 일본, 중국 등 주요 나라들은 사이버안보를 국가 차원에서 관리하고 있다”면서 “우리나라도 사이버안보 컨트롤 타워를 두고 체계적인 관리에 나서야 한다”고 밝혔다. 현재 국회에는 현 국가안보실장인 조태용 전 의원이 2020년 6월 발의한 사이버안보 기본법안과 민주당 소속 김병기 의원이 2021년 11월 발의한 국가 사이버보안법이 계류 중이다.

북한 해킹 조직이 국내 방산업체·연구소·제약업체 등의 서버에 침투해 레이저 대공무기를 비롯한 중요 기술 자료와 개인 정보를 탈취했다. 이후 시스템 복구 명목으로 피해 업체로부터 4억원이 넘는 가상자산(암호화폐)을 갈취했고 이 중 일부는 자금 세탁을 거쳐 북한으로 흘러간 정황도 포착됐다. 서울경찰청 첨단안보수사계는 미국 연방수사국(FBI)과 공조해 북한 정찰총국 내 해킹 조직인 ‘안다리엘’이 보안·정보기술(IT) 서비스 업계 국내 대기업 자회사와 첨단과학기술·식품·생물학 등을 다루는 국내 기술원·연구소, 대학교, 제약회사, 방산업체, 금융회사 등 수십여곳을 해킹한 사실을 확인했다고 4일 밝혔다. 특히 경찰에 따르면 안다리엘은 국내 서버 임대업체가 신원이 명확하지 않은 가입자에게도 서버를 임대해 주는 점을 악용해 이곳을 경유지 서버로 삼은 뒤 지난해 12월부터 올해 3월까지 평양 류경동에서 83차례 접속한 것으로 조사됐다. 류경동은 북한 최고층 건물인 류경호텔과 류경정주영체육관이 있는 도심 지역으로 국제통신국과 평양정보센터도 이곳에 자리잡고 있다. 안다리엘은 랜섬웨어를 감염시킨 뒤 국내 업체 3곳에서 시스템 복구 명목으로 암호화폐인 비트코인 4억 7000만원 상당을 받아 내기도 했다. 경찰은 빗썸, 바이낸스 등 국내외 가상자산 거래소 거래 내역을 압수해 분석한 결과 외국인 여성 A씨의 계좌를 거쳐 약 63만 위안(약 1억 1000만원)이 중국 K은행으로 보내졌고 이 돈이 북·중 접경지역에 위치한 지점에서 출금됐다며 자금이 북한으로 흘러 들어간 것으로 보인다고 설명했다. A씨는 경찰 진술에서 자금 세탁 연루 혐의를 부인했지만 경찰은 A씨를 피의자로 입건해 금융계좌·휴대전화를 압수수색하는 등 보완 수사를 이어 가고 있다.

북한 해킹조직이 국내 방산업체, 연구소, 제약업체 등의 컴퓨터 시스템에 침투해 바이러스를 퍼트린 이후 4억원이 넘는 비트코인을 가로챘다. 바이러스 감염 이후 이를 인질로 삼아 금전을 요구하는 랜섬웨어 공격으로 챙긴 비트코인 중 일부는 세탁을 거쳐 북한과 중국 접경지역의 한 은행에서 인출됐다. 서울경찰청 첨단안보수사계는 미국 연방수사국(FBI)과 공조해 북한 정찰총국 내 해킹조직인 ‘안다리엘’이 국내 방산업체, 연구소, 제약업체 등을 해킹해 레이저 대공무기와 같은 기술자료를 탈취한 정황을 포착했다고 4일 밝혔다. 경찰에 따르면 안디리엘은 신원이 불분명한 가입자에게도 서버를 임대하는 국내 업체를 이용해 랜섬웨어 공격을 벌였다. 해커가 사용한 구글 메일 계정을 수사한 결과, 국내 서버 임대업체를 경유지로 삼아 지난해 12월부터 지난 3월까지 평양 류경동에서 모두 83회나 접속한 것으로 파악됐다. 평양 류경동은 국제통신국과 평양 정보센터 등이 있는 지역이다. 안다리엘의 랜섬웨어 공격으로 피해를 본 업체들은 컴퓨터 시스템 복구의 대가로 4억 7000여만원 상당의 비트코인을 갈취당한 것으로 파악됐다. 경찰은 레이저 대공무기, 탐지기, 제작계획서와 같은 주요 기술자료를 포함해 서버 이용자 계정 정보 등 모두 1.2TB(테라바이트)에 달하는 정보가 탈취된 것을 확인했다. 업체들 대부분은 피해 사실을 모르고 있거나, 알고 있어도 신뢰도 하락 등을 우려해 피해 신고는 별도로 하지 않은 것으로 파악됐다.안다리엘이 갈취한 비트코인 중 1억 1000만원은 외국인 명의 계좌를 거쳐 북·중 접경지역에 있는 한 은행에서 출금된 것으로 조사됐다. 경찰은 계좌 명의자인 A씨를 피의자로 입건하고, A씨의 금융계좌, 휴대전화, 주거지 등에 대한 압수수색을 진행했다. A씨는 경찰 조사에서 “과거 홍콩 소재 환전업체 직원으로 근무했고, 편의상 계좌를 거래에 제공해 준 것일 뿐”이라며 범죄 연루 사실을 부인했다. 경찰은 국제 공조 등을 통해 추가 피해 사례와 유사한 해킹 시도가 있었는지에 대한 수사를 이어갈 방침이다.

정부가 북한의 군사정찰위성 발사에 대응해 1일 위성 개발 및 관련 물자 조달, 탄도미사일 연구·개발 등에 관여한 북한 개인 11명을 대북 독제제재 대상으로 지정했다고 외교부가 밝혔다. 제재 대상에는 우선 북한의 지난달 21일 정찰위성 ‘만리경 1호’ 및 이를 탑재한 운반로켓 ‘천리마 1형’ 발사를 주도한 국가항공우주기술총국 관계자 4명이 포함됐다. 리철주 국가항공우주기술총국 부국장과 김인범, 고관영, 최명수 등이다. 강선 룡성기계연합기업소 지배인도 위성 개발과 관련 물자 조달, 무기 개발에 관여한 이유로 제재 대상에 올랐다. 김용환 727연구소장, 최일환 군수공업부 부부장, 최명철 군수공업부 부부장, 김춘교 조선인민군 중장, 최병완 태성기계종합공장 지배인, 진수남 주러시아대사관 무역서기관 등 6명은 북한의 탄도미사일 연구·개발·운용에 관여했다고 정부는 지적했다. 이 가운데 유럽연합(EU) 제재 명단에도 있는 진수남을 제외한 10명은 우리나라가 세계에서 최초로 대북 제재 대상으로 지정했다. 정부는 “지속적인 대북 독자제재 부과를 통해 북한의 불법 핵·미사일 개발과 무기거래를 포함한 대북제재 위반·회피 활동을 차단하려는 국제사회의 노력을 선도해 나갈 것”이라고 밝혔다. 이번 조치로 지난해 10월 이후 우리 정부가 지정한 대북 독자제재 대상은 개인 75명과 기관 53개로 늘어났다. 한국 국민이 제재 대상으로 지정된 개인·기관과 외환거래 또는 금융거래를 하려면 각각 한국은행 총재 또는 금융위원회의 사전 허가가 필요하다. 허가 없이 거래하는 경우 관련법에 따라 처벌받을 수 있다. 특히 이날 미국과 일본, 호주가 같은 날 연쇄적으로 대북 제재 대상을 지정했다. 미국 재무부 해외자산통제국(OFAC)도 북한 정찰총국 제3국(기술정찰국) 산하 해커조직 ‘김수키’와 강경일, 서명 등 북한 국적자 8명에 대해 대북 독자제재를 발표했다. 일본도 개인 5명과 단체 4개, 호주도 개인 7명과 단체 1개에 대해 각각 제재를 가했다. 지난해 12월과 지난 9월 한미일 3국이 사전 공조를 통해 동시에 대북 제재를 발표한 사례가 있지만 호주까지 함께하는 것은 이번이 처음이다. 외교부는 “호주가 처음으로 동참한 것은 북한의 거듭된 도발을 좌시하지 않겠다는 국제사회의 의지가 강화되고 있음을 보여준다”고 평가했다. 한국이 지난 6월 제재한 해킹조직 김수키가 이번에 미국 OFAC 제재에 포함되는 등 우방국들이 같은 대상에 중첩적으로 제재를 하는 경향도 뚜렷해지고 있다. 유엔 안전보장이사회(안보리)에서는 중국과 러시아의 반대로 새로운 제재를 사실상 추진하기 어려운 상황이지만, 이처럼 우방국의 중첩적 독자제재로 제재망을 촘촘히 하는 것으로 나름대로 효과를 낼 수 있다고 정부는 보고 있다. 외교부는 ”앞으로도 우리의 안보를 위협하는 군사정찰위성 발사를 포함한 북한의 불법 활동에 적극 대응해 나갈 것“이라고 강조했다.

미국 재무부가 30일(현지시간) 북한 해킹조직 ‘김수키(Kimsuky)’와 최성철, 최은혁 등 개인 8명을 제재 대상 리스트(SDN)에 추가했다. 김수키는 피싱 이메일이나 인터넷주소(URL)를 보내 정부 기관인 것처럼 피해자를 속인 뒤 이들이 이메일 등에 첨부된 파일을 열람하면 PC 내부의 정보를 유출할 수 있는 악성 프로그램을 심는 것으로 알려졌다. 앞서 경찰청 국가수사본부는 지난달 21일 김수키의 활동 내용을 추적·수사한 결과 내국인 1468명의 이메일 계정이 탈취된 사실을 확인했다고 밝혔다. 피해자는 전직 전직 장관급 1명을 비롯해 외교·통일·국방·안보 분야의 전·현직 공무원 등 전문가 57명이 포함됐다. 또 회사원·자영업자·무직자 등 다양한 직군의 일반인 1411명도 피해를 봤다.

이른바 ‘김수키’로 불리는 북한 해킹조직이 외교·국방 분야 전문가뿐만 아니라 직장인이나 자영업자에게도 사칭 이메일을 보내 1000여명이 피해를 당한 것으로 확인됐다. 이들은 국민건강보험이나 국민연금공단 통지서, 국세청 국세 납부 안내서로 위장해 피싱 사이트로 유도한 뒤 가상자산(암호화폐) 계정까지 노린 것으로 드러났다. 경찰청 국가수사본부는 지난해 북한 해킹조직의 소행으로 파악된 ‘국회의원실·기자실 사칭 전자우편(이메일) 발송사건’을 추적·수사한 결과 올해는 일반인을 포함한 1468명이 이메일 계정을 탈취당했다고 21일 밝혔다. 이들은 전직 장관 1명을 포함해 외교·통일·국방·안보 분야의 전·현직 공무원 등 전문가 57명으로부터 업무 관련 정보를 빼내려 한 것으로 파악됐다. 회사원 587명 등 일반인 피해자 1411명을 상대로는 가상자산을 노리고 사칭 이메일을 보낸 것으로 조사됐다. 북한 해킹조직은 이렇게 탈취한 정보를 바탕으로 피해자 19명의 가상자산 거래소 계정에 접속했으나 추가 보안 절차를 넘지는 못했다. 경찰 관계자는 “금전적 피해는 발생하지 않았다”고 말했다. 또 IP(인터넷주소)를 숨기기 위해 해킹한 경유지 서버 147대에서 ‘가상자산 채굴 프로그램’을 몰래 가동하기도 했다. 북한 해킹조직은 경찰청, 국세청, 건강보험 등 정부 기관이나 기자, 연구소를 사칭해 안내문이나 질의서를 이메일로 보냈다. 이메일에 첨부된 파일을 열람하면 문서 파일이 열리면서 개인용컴퓨터 내부 정보를 유출할 수 있는 악성 프로그램이 설치·실행되는 방식이다. 대형 포털사이트를 모방한 가짜 홈페이지 등으로 접속을 유도해 정보를 탈취한 경우도 있었다. 경찰 관계자는 “추가 피해가 발생하지 않도록 사이트 주소가 정상적인 주소인지 확인하고, 2단계 인증이나 일회용 패스워드(OTP) 설정 등 보안 설정을 강화해달라”고 말했다.