“안녕하세요. 태영호 의원실 비서입니다.” 지난 5월 7일 국내 외교안보 전문가들에게 한 통의 메일이 도착했다. 태 의원실에서 주최한 세미나 ‘윤석열 시대 통일정책 제언’에서 발언한 취지를 A4 용지 1장 정도로 요약해 보내 달라는 부탁과 함께 ‘사례비 지급 의뢰서’가 첨부돼 있었다. 실제 태 의원실은 전날 서울 여의도 국회의원회관에서 해당 주제로 토론회를 열었다. 행사에 참석한 전문가가 이 메일을 받았다면 ‘피싱 메일’이라고 의심하기는 쉽지 않았을 것으로 보인다. 하지만 이 첨부파일은 PC 정보를 외부로 빼낼 수 있는 악성 프로그램이었다. 태 의원은 25일 기자회견을 열고 “북한 피싱메일을 읽어 보면서 그 정교함에 놀랐다”며 “김정은 해커부대는 의원실에서 정책 토론회를 진행한 그 다음날 메일을 배포했다”고 밝혔다. 이처럼 현역 의원을 사칭해 국내 전문가를 상대로 해킹을 시도한 북한 해킹조직이 경찰 수사로 발각됐다. 2013년부터 파악된 북한의 특정 해킹 조직으로 지난 10월에는 국립외교원을 사칭했고, 4월에도 제20대 대통령직인수위원회 출입기자라고 둘러댄 뒤 메일에 뉴스 링크라며 피싱 사이트 주소를 연결해 놓았다. 경찰청 국가수사본부는 최근 기자, 국회의원실, 국가기관을 사칭해 외교안보 분야 전문가들에게 피싱 메일을 대량 유포한 일당을 추적한 결과 2014년 ‘한국수력원자력 해킹 사건’, 2016년 ‘국가안보실 사칭 이메일 발송 사건’ 등의 범행 주체로 지목된 북한 해킹 조직과 같은 조직이라고 결론 냈다. 경찰에 따르면 메일을 받은 외교·통일·안보·국방 분야 전문가는 최소 892명이나 됐다. 메일에는 피싱 사이트로 유도하거나 악성 프로그램이 깔린 파일이 첨부돼 있었다. 이 중 피싱 사이트에 접속해 아이디와 비밀번호를 입력한 피해자는 49명으로 잠정 집계됐다. 이 조직은 서버를 장악해 데이터를 쓸 수 없게 암호화한 뒤 금전을 요구하는 ‘랜섬웨어’를 살포해 중소 쇼핑몰 등 국내 13개 업체 서버 19대가 피해를 봤다. 북한 해킹 조직이 랜섬웨어를 활용한다는 사실이 드러난 건 처음이다. 국가정보원에 따르면 올해 우리나라를 상대로 한 국제 해킹 조직의 공격 시도는 지난달 기준 하루 평균 118만건이었고 절반가량은 북한 관련이었다.

북한 해킹 조직이 최근 기자, 국회의원실, 국가기관을 사칭해 외교안보 분야 전문가들에게 이른바 ‘피싱 메일’을 대량 유포한 정황이 드러났다. 경찰청 국가수사본부는 지난 4~10월 발송된 ‘제20대 대통령직 인수위원회 출입기자 사칭 이메일’, ‘태영호 국회의원실 비서 사칭 이메일’, ‘국립외교원 사칭 이메일’ 사건 등에 대해 수사한 결과 2013년부터 파악된 북한의 특정 해킹 조직 소행으로 확인했다고 25일 밝혔다. 경찰에 따르면 메일을 받은 외교·통일·안보·국방 분야 전문가는 최소 892명에 달했다. 메일에는 피싱 사이트로 유도하거나 악성 프로그램이 깔린 파일이 첨부돼 있었다. 이 중 피싱 사이트에 접속해 아이디와 비밀번호를 입력한 피해자는 49명으로 잠정 집계됐다. 해킹 조직은 이들의 송·수신 전자우편을 실시간 모니터링하며 첨부 문서와 주소록 등을 빼낸 것으로 조사됐다. 수사기관의 추적을 피하기 위해 인터넷 프로토콜(IP) 주소를 세탁하고 26개국 326대(국내 87대)의 경유지 서버를 동원했다.경찰은 2014년 ‘한국수력원자력 해킹 사건’, 2016년 ‘국가안보실 사칭 이메일 발송 사건’ 등과 동일한 북한 해킹 조직 소행인 것으로 결론 냈다. 공격 근원지 IP 주소, 해외 사이트 가입 정보, 경유지 침입·관리 수법, ‘왁찐’(백신 북한말) 등 북한 어휘를 사용한 점, 범행 대상이 외교·통일·안보·국방 전문가인 점 등을 판단 근거로 삼았다고 경찰은 설명했다. 경찰은 국내외 민간 보안업체에서 일명 ‘김수키(Kimsuky)’ 등으로 명명한 북한의 특정 해킹조직을 여러 차례 수사했던 경험이 있다. 이 조직은 서버를 장악해 데이터를 쓸 수 없게 암호화한 뒤 금전을 요구하는 ‘랜섬웨어’를 살포해 중소 쇼핑몰 등 국내 13개 업체 서버 19대가 피해를 봤다. 북한 해킹 조직이 랜섬웨어를 활용한다는 사실이 드러난 건 처음이다. 서버를 정상화해주는 대가로 업체당 130만원 상당의 비트코인을 요구했는데 대상 업체 가운데 두 곳이 255만원 상당의 비트코인을 지불한 것으로 파악됐다. 경찰 관계자는 “북한 해킹조직이 피해자에 금전을 요구한 이메일 가상 주소를 추적하는 동시에 비트코인 해외 거래소에 대한 수사도 진행 중”이라고 말했다.

北해킹조직 APT37 사이버 공격‘이태원 사고 대응상황.docx’워드파일에 악성코드 심어 유포 북한 해킹조직이 ‘이태원 참사’ 비극을 악용해 사이버 공격을 감행한 사실이 확인됐다. 구글의 위협분석그룹(TAG)은 7일(현지시간) 보고서를 발표하고 지난 10월 말 북한 해킹조직 ‘APT37’의 소행으로 보이는 ‘이태원 참사’ 관련 사이버 공격을 발견했다고 밝혔다고 자유아시아방송(RFA)이 보도했다. 지난 10월29일 이태원 참사로 국민들이 패닉하고 있던 시기, 북한은 이를 악용해 남측에 사이버 공격을 감행한 것이다. 구글은 “이 북한 해킹조직이 한국의 비극적인 사건에 대한 대중의 관심을 악용해 해킹을 감행했다”며 “이태원 참사 대처상황 보고서로 위장한 악성문서를 한국인들에게 배포하고 피해자들이 문서를 내려받도록 만들어 악성코드를 설치했다”고 지적했다. 문제의 문서는 행정안전부 중앙재난안전대책본부 보고서로 위장한 악성파일로 사고개요와 인명피해, 조치 상황 등이 자세히 적혀 있다. 구글은 ‘APT37’이 인터넷 탐색기인 ‘인터넷 익스플로러’ 내 제로데이 취약점(CVE-2022-41128)을 악용해 공격했으며, 아직 구체적인 악성코드는 확인되지 않았지만 이 해킹조직이 과거 ‘돌핀’이나 ‘블루라이트’등의 악성코드를 배포했다고 밝혔다. 이어 ‘APT37’이 인터넷 익스플로어 제로데이의 취약점을 악용해 해킹 공격을 한 것이 이번이 처음은 아니라며 과거에도 한국인과 탈북자, 정치인, 언론인, 인권 운동가를 대상으로 해킹했다고 부연했다. 그러면서 이 사이버 공격을 발견한 뒤 수일 내로 보안 조치를 했다고 덧붙였다.

북한이 가상자산(암호화폐) 가치 급락에도 사이버 해킹을 통한 탈취를 계속 이어 갈 것이라는 전망이 나왔다. 무기 수출, 불법 마약 거래, 위조지폐 밀매 등 기존의 불법 외화 확보 수단이 국제사회의 고강도 대북 제재에 막히면서 상대적으로 손쉬운 돈벌이인 암호화폐 해킹을 멈추지 않을 것이라는 분석이다. 28일 국가정보원 산하 국가안보전략연구원의 ‘북한의 암호화폐 공격과 미국의 대응’ 보고서에 따르면 암호화폐 공격의 저비용성과 익명성, 높은 수익성 등 3대 요인이 북한에는 확실한 이점으로 꼽혔다. 이로 인해 최근 암호화폐 가격 하락, 현금화 문제에도 불구하고 북한은 암호화폐 거래소에 대한 공격을 계속하고 있는 것으로 추정된다. 블록체인 분석업체 체이널리시스에 따르면 북한과 연계된 해킹조직이 올해(10월 현재)까지 훔친 암호화폐 가치는 총 10억 달러에 이를 것으로 추정된다. 이 중 지난 3월 북한에 연계된 해킹조직 라자루스그룹이 게임업체 엑시인피니티 해킹을 통해 탈취한 금액(6억 1500만 달러)은 올 상반기 탄도미사일 31발을 쏘는 데 쓴 비용(4억~6억 5000만 달러)에 맞먹을 정도다. 하지만 체이널리시스는 북한이 미처 현금화하지 못한 암호화폐의 가치가 지난해 기준 1억 7000만 달러에서 올해 5400만 달러 수준으로 급감했을 것으로 추정했다. 김보미 부연구위원은 “대량의 암호화폐를 현금화할 수 있는 거래소가 많지 않고, 해킹 피해 방지를 위해 주요국들이 자금 세탁 방지 규정 등 감시·제재를 강화하고 있어 북한의 어려움이 커질 것으로 본다”고 내다봤다. 다만 한국 정부가 북한의 사이버 공격으로 인한 피해에 미국보다 적극적으로 대응하지 못하는 만큼 피해국들과 함께 공동 제재를 할 필요성이 높아졌다. 이와 관련해 외교부는 최근 “북한의 사이버 활동 관여 인사에 대한 제재 대상 지정, 사이버 분야 제재 조치 부과 등도 검토할 것”이라고 밝혔다.

미국 정부가 북한의 탄도미사일 도발관 관련, 물품조달과 자금 확보를 위한 사이버 범죄에 연루된 개인 및 기업에 대해 제재를 단행했다. 미 재무부 해외자산통제국(OFAC)은 8일(현지시간) 북한의 미사일 개발 등에 관여된 의혹을 받는 리속, 양쯔융 등 고려항공의 중국인 관계자 2명을 제재 대상에 포함했다고 밝혔다. 이들은 북한 로케트 공업부와 정찰총국을 대행해 중국에서 북한으로 전자부품을 이송한 의혹을 받고 있다. 이들의 미국 내 자산은 동결되며 이들과의 직간접 거래도 모두 금지된다. 또 북한 연계 해킹조직 라자루스에게 ‘암호화폐 믹싱’ 서비스를 제공한 혐의를 받는 업체 토네이도 캐시를 제재 대상으로 다시 지정했다. 암호화폐 믹싱은 화폐를 쪼개 누가 전송했는지 알 수 없도록 만드는 기술로, 이 과정을 반복하면 자금 추적 및 사용처, 현금화 여부 등을 규명할 거래 추적이 어려워진다. 재무부는 라자루스가 지난 3월 해킹한 4억 5500만 달러(약 6218억원) 규모의 암호화폐를 세탁하는 데 토네이도 캐시를 활용했다고 보고 있다. 이와 관련해 네드 프라이스 국무부 대변인은 “불법적인 미사일 및 대량살상무기 개발을 막기 위해 물류 및 금융 자원으로의 접근을 차단하기 위한 조치를 이어가고 있다”고 말했다. 미 국방부는 북한이 러시아와의 무기거래 의혹을 부인한 데 대해 다시 반박했다. 패트릭 라이더 국방부 대변인은 “우리가 가진 정보는 북한이 러시아에 상당한 수의 포탄을 은밀하게 제공하고 있다는 것”이라면서 “그 상황을 계속 주시할 것”이라고 말했다. 북한 국방성 군사대외사업국 부국장은 지난 8일 “우리는 러시아와 ‘무기거래’를 한 적이 없으며 앞으로도 그럴 계획이 없다는 것을 다시 한번 분명히 밝힌다”고 주장했다. 한편 북한 초청으로 영변 우라늄 농축시설 내부를 살펴보기도 했던 미국의 핵 과학자 지그프리드 해커박사는 이날 윌슨 센터가 주최한 웨비나에서 북한의 7차 핵실험 가능성과 관련해 “당연히 추가핵실험이 있을 것”이라며 “그들 입장이라면 몇 번의 핵실험을 하고 싶을 것”이라고 말했다.  

최근 5년간 한국수력원자력(한수원) 등 발전 공기업 6개사에 대한 해킹 시도가 918건에 달하는 것으로 나타났다.해킹 유형으로는 악성코드 공격이 약 50%를 차지했다. 22일 국회 산업통상자원중소벤처기업위원회 국민의힘 이인선 의원실이 분석한 자료에 따르면 2018년부터 올해까지 한수원과 서부발전 등 발전 공기업 6개사에 대해 매년 100건 이상의 해킹이 시도된 것으로 집계됐다. 기관별로는 한수원이 247건으로 전체 26.9%를 차지했고 서부발전(226건), 남동발전(193건), 동서발전(121건), 남부발전(81건), 중부발전(50건) 등이다. 해킹 유형은 악성코드 공격이 전체 48.3%인 443건에 달했다. 악성코드 공격은 서부발전이 131건으로 가장 많았다. 이어 홈페이지 공격(239건)이었는 데 한수원(72건), 서부발전(65건), 동서발전(57건)에 대한 공격이 집중됐다. 공격자의 마지막 IP 주소를 바탕으로 추정한 해킹 시도 국가는 국내(309건), 유럽(220건), 아시아(160건), 미국(133건), 중국(38건) 등의 순이었다. 해킹으로 인한 피해는 없지만 철저한 대비가 필요하다는 지적이다. 지난 2015년 우크라이나 배전용 변전소 30곳이 온라인 공격을 받아 대규모 정전사태가 일어난 바 있고, 지난해 5월 미국 최대 송유관 업체인 ‘콜로니얼 파이프라인’이 랜섬웨어 공격으로 가동이 중단되기도 했다. 우리나라에서는 2014년 북한에 의해 한수원 전산망이 공격을 받아 임직원 정보와 CANDU(캐다나형 중수로) 제어 프로그램 자료, 원전 설계도 등이 유출되는 피해를 당했다. 이인선 의원은 “발전소 및 송·배전 시설 해킹으로 대규모 ‘블랙아웃’이 발생할 경우 막대한 피해가 우려된다”며 “북한의 해킹조직이 올해 미국·캐나다·일본의 에너지 기업을 공격하면서 철저한 대응 체계가 필요하다”고 강조했다.

북한이 지난해 최소 7차례 가상자산(암호화폐) 거래소 및 투자회사들을 상대로 사이버 공격을 가해 4억 달러(약 4880억원) 상당을 훔치는 등 국제사회의 대북제재를 회피한 것으로 나타났다. 유엔 안전보장이사회 산하 대북제재위원회에 따르면 지난달 31일(현지시간) 전문가패널은 “금융기관과 암호화폐 회사 및 거래소를 지속적으로 겨냥한 북한 연계 해커들에 대한 정보를 제공받았다”며 관련 보고서를 공개했다. 보고서에 따르면 블록체인 분석업체인 체이널리시스는 북한과 연계된 해커들이 지난해 암호화폐 거래소와 투자회사 등을 대상으로 최소 7건의 사이버공격을 감행해 이런 피해를 발생시킨 것으로 추정했다. 해커들은 피싱 유인, 암호 악용, 악성코드 등을 활용해 인터넷에 연결된 암호화폐 지갑에서 북한이 통제하는 주소로 자금을 빼돌렸고, 암호화폐는 현금화를 위해 세심한 자금세탁 과정을 거쳤다고 설명했다. 사이버공격은 ‘라자루스’, ‘김수키’ 등 북한 정찰총국과 연계된 것으로 알려진 해킹조직과 관련이 있는 것으로 전해졌다. 전문가패널은 “암호화폐 자산에 대한 사이버공격은 여전히 북한의 중요한 수익원”이라고 지적했다. 외교부 관계자는 “대북제재 결의가 충실히 이행될 수 있도록 국내 유관기관 및 국제사회와 긴밀히 협력하고 소통하겠다”고 했다.

한국원자력연구원이 최근 북한 소행으로 추정되는 해킹 공격에 12일간 노출된 것으로 알려졌다. 국가정보원은 올 상반기 국가 배후 해킹조직의 공격으로 인한 피해가 지난해 하반기보다 9% 증가했으며, 원자력연구원으로부터 지난달 피해 신고를 받고 조사 중이라고 8일 국회 정보위원회에 보고했다. 정보위 간사인 국민의힘 하태경 의원은 이날 “(국정원은) 원자력연구원으로부터 6월 1일 피해를 신고받고 조사 중이며, 12일 정도 해킹에 노출됐다”면서 “국정원이 그간 패스워드를 바꾸라고 했는데 연구원이 이행하지 않아 사고가 난 것”이라고 전했다. 해킹의 배후에 대해서는 북한 소행으로 추정하고 있으며, 핵심 기술자료가 유출되지는 않았다고 전했다. 한국항공우주산업(KAI)도 해킹 정황이 포착돼 조사 중이며, 항공우주연구원도 지난해 일부 자료가 유출된 것으로 보고됐다. 대우조선해양도 지난해 11월 해킹을 당했으나 북한 소행은 아닌 것으로 전해졌다. 국정원은 이날 보고에서 최근 북한 당국이 젊은 세대를 중심으로 남한식 말투와 옷차림이 유행하는 것을 극도로 경계하며 ‘오빠’라는 호칭까지도 단속한다고 밝혔다. 하 의원은 “(북한 당국이) 남편을 ‘오빠’라고 부르면 안 되고 ‘여보’라고 해야 한다고 규정했다”고 전했다. 북한에서도 오빠라는 표현을 쓰지만, 남편을 지칭할 때 사용하는 것은 남한식 표현이라는 것이다. 한국에서 흔히 쓰이는 ‘남친’(남자친구)이라는 단어와 ‘쪽팔린다’는 표현에 대해서도 각각 ‘남동무’, ‘창피하다’로 쓰도록 단속하는 것으로 전해졌다. 이 외에도 남측 옷차림이 유행하면서 북한 당국이 이를 집중 단속하고 있고, 길거리에서 남녀가 포옹하는 등 스킨십 역시 청년층의 일탈행위로 보고 ‘혁명의 원수’라며 이를 근절하자는 영상까지 제작한 것으로 국정원은 확인했다. 그만큼 북한 내에 남한의 대중문화가 광범위하게 퍼져 있다는 얘기다. 이런 가운데 북한은 ‘사회주의 수호전’을 내걸고 지난해 12월 ‘반동사상문화배격법’을 제정하는 등 남한 문물을 엄격하게 차단하고 있다. 남한 영상물 유포자는 최대 사형에 처하고, 시청자는 최대 징역 15년에 처하는 내용이 법에 포함된 것으로 알려졌다. 아울러 코로나19 방역을 위해 장마당 등 시장경제 통제를 강화하면서 주민들의 불만 표출도 증가하고 있는 것으로 보고됐다. 다만 현재까지 대규모 코로나19 발병 징후나 백신 반입은 파악되지 않았다. 하 의원은 “확진자도, 백신도 없다”며 “그래서 김정은도 백신을 맞았다는 동향이 없다”고 말했다.

한국원자력연구원이 북한 소행으로 추정되는 해킹 공격에 12일간 노출됐던 것으로 알려졌다. 국가정보원은 8일 국회 정보위원회에서 “올해 상반기 국가 배후 해킹조직의 공격으로 인한 피해가 지난해 하반기보다 9% 증가했다”면서 이같이 밝혔다고 정보위 간사인 더불어민주당 김병기 의원과 국민의힘 하태경 의원이 전했다. “한국항공우주산업 등도 해킹 정황”하 의원은 “원자력연구원으로부터 6월 1일 피해를 신고받고 조사 중”이라면서 “12일 정도 북한에 노출됐다”고 전했다. 국정원은 해킹 공격 배후에 대해서는 “제3국 연계 조직으로 북한 소행으로 추정한다”면서 “핵심 기술자료가 유출되지는 않았다”고 설명한 것으로 전해졌다. 그 밖에도 “한국항공우주산업(KAI)도 해킹 정황이 포착돼 며칠간 노출됐는지 조사 중”이라며 “대우조선해양은 지난해 11월 해킹당했다. 북한의 소행은 아니라고 한다”고 전했다. 이어 “6월 7일쯤 핵융합연구원 PC 2대가 감염된 사실이 확인돼 조사 중”이라며 “항공우주연구원도 지난해 일부 자료가 유출됐다”고 말했다. “김정은, 10~20㎏ 감량…활동에 문제 없어”한편 국정원은 김정은 북한 국무위원장의 건강과 관련해선 “최근 10∼20㎏ 체중을 감량하고 정상적인 통치 활동을 하고 있다”며 “몇 시간씩 (회의) 주재를 하고 걸음걸이도 활기차 활동에 전혀 문제가 없는 것으로 파악된다”고 보고했다. 하 의원은 “약 4개월간 다이어트를 한 것으로 본다. 건강하다”고 전했다.

미국 법무부가 전 세계 은행과 기업에서 13억 달러(약 1조 4000억원) 이상의 현금 및 가상화폐를 빼돌리거나 이를 요구한 혐의로 북한 정찰총국 소속 3명의 해커를 기소했다고 17일(현지시간) 밝혔다. 지난해 12월에 법원에 제출된 공소장에 따르면 기소된 해커는 박진혁, 전창혁, 김일이란 이름을 쓰고 있으며 북한군 정보기관인 정찰총국 소속이다. 정찰총국은 ‘라자루스 그룹’, ‘APT38’ 등 다양한 명칭으로 알려진 해킹부대를 운용하고 있다. 　검찰은 이들이 2017년 5월 파괴적인 랜섬웨어 바이러스인 워너크라이(Wannacry)를 만들어 은행과 가상화폐 거래소를 해킹하는 등 관련 음모가 광범위하게 이뤄졌다고 밝혔다. 당시 영국 국민건강서비스(NHS) 컴퓨터가 완전히 파괴되고 150개국이 심대한 타격을 입었다. 이들은 2018년 3월부터 적어도 지난해 9월까지 피해자 컴퓨터에 침입할 수 있는 수단인 여러 개의 악성 가상화폐 앱을 개발해 해커들에게 제공한 혐의를 받고 있다. 또 2017년 슬로베니아 기업에서 7500만 달러, 2018년에는 인도네시아 기업으로부터 2500만 달러, 뉴욕의 한 은행으로부터 1180만 달러를 훔치는 등 가상화폐 거래소를 집중적으로 노렸고, ‘크립토뉴로 트레이더’라는 앱을 침투 경로로 이용했다. 　미국 국무부와 국방부뿐 아니라 미국 방산업체들과 에너지, 항공우주 기업들에게 악성코드를 심은 이메일을 보내 정보를 훔쳐가는 ‘스피어 피싱’ 행각도 시도했다고 법무부는 밝혔다. 로스앤젤레스 검찰과 미국 연방수사국(FBI)도 뉴욕의 한 은행에서 해커들이 훔쳐 2곳의 가상화폐 거래소에 보관 중이던 190만 달러의 가상화폐를 압수하기 위해 영장을 발부받았다. 이 화폐는 은행에 반환될 예정이라고 당국은 밝혔다. 　아울러 미국 법무부는 돈세탁을 통해 북한 해커들을 도운 것으로 알려진 캐나다 온타리오주 미사사우가에 사는 미국인 갈렙 알라우메리(37)가 관련 혐의를 인정했다고 밝혔다. 　법무부가 지난해 12월 기소된 사건에 대한 공소장을 이날 공개하면서 북미관계에 미칠 영향도 주목된다. 도널드 트럼프 전 행정부 때 기소된 사건이라 해도 조 바이든 새 행정부가 대북정책을 전면 재검토하는 와중에 기소 사실을 공개하고 해커 3명의 얼굴까지 공개했기 때문이다. 중국 이슈나 북한 이슈에 대해 트럼프 전 대통령보다 훨씬 정교하고도 힘들게 대북 압박을 할 것이란 세간의 관측과도 부합하는 측면이 있다. 　이번 기소는 2014년 발생한 소니픽처스 상대 사이버 공격에 연루된 박진혁을 미국 정부가 2018년 기소한 사건을 토대로 이뤄졌다. 미국이 사이버 범죄와 관련해 북한 공작원을 기소한 것은 박진혁이 처음이었다. 당시 북한은 소니픽처스가 북한 지도자 암살을 소재로 한 코미디 영화 ‘인터뷰’를 제작·배급하는 것에 강력 반발한 바 있다. 버락 오바마 당시 대통령은 해킹 사태 이듬해인 2015년 북한 정찰총국을 대상으로 고강도 대북 제재를 담은 행정명령을 발동했다. 　박진혁은 소니픽처스 외에도 2016년 8100만 달러를 빼내 간 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 공격, 2016∼2017년 미 방산업체인 록히드마틴에 대한 해킹을 시도한 혐의도 받은 일이 있다. 그는 북한의 대표적 해킹조직으로 알려진 ‘라자루스 그룹’ 멤버이자 북한이 내세운 위장회사 ‘조선 엑스포 합영회사’ 소속으로 알려졌다. 　WP는 이번 사례는 북한이 유엔과 미국의 제재를 받고 있는 그들의 주요 수출국에서의 금융 사이버 절도에 의존하는 정도가 심화하고 있음을 보여준다고 전했다. 　존 데머스 법무부 국가안보담당 차관보는 “총이 아닌 키보드를 사용해 현금 다발 대신 가상화폐 지갑을 훔치는 북한 공작원들은 세계의 은행 강도”라고 비난했다. 캘리포니아 중부지검 트레이시 윌키슨 검사장 대행은 “북한 해커들의 범죄 행위는 광범위하고 오랫동안 지속됐다”며 “이는 정권을 지탱할 돈을 얻기 위해 어떤 일도 서슴지 않는 국가적인 범죄 행위”라고 말했다. 미국기업연구소 분석가인 니콜러스 에버하트는 13억 달러는 2019년 북한 민수용 수입상품 총액의 거의 절반이라면서 “북한 경제에 엄청난 비중”이라고 했다. 임병선 평화연구소 사무국장 bsnim@seoul.co.kr

미국 법무부는 17일(현지시간) 북한 해커 3명을 기소했다고 밝혔다. AP통신 등에 따르면 미 법무부는 전 세계의 은행과 기업에서 13억 달러(약 1조 4000억원) 이상의 현금 및 가상화폐를 빼돌리고 요구한 혐의로 북한 정찰총국 소속 3명의 해커를 기소했다. 작년 12월에 제출된 공소장에 따르면 기소된 해커는 박진혁, 전창혁, 김일이라는 이름을 쓰고 있으며 북한군 정보기관인 정찰총국 소속이다. 정찰총국은 ‘라자루스 그룹’, ‘APT38’ 등 다양한 명칭으로 알려진 해킹부대를 운용하고 있다. 미 검찰은 이들이 2017년 5월 파괴적인 랜섬웨어 바이러스인 워너크라이를 만들어 은행과 가상화폐 거래소를 해킹하는 등 관련 음모가 광범위하게 이뤄졌다고 밝혔다. 이들은 2018년 3월부터 적어도 작년 9월까지 피해자 컴퓨터에 침입할 수 있는 수단인 여러 개의 악성 가상화폐 앱을 개발해 해커들에게 제공한 혐의를 받고 있다. 또 2017년 슬로베니아 기업에서 7500만 달러, 2018년에는 인도네시아 기업으로부터 2500만 달러, 뉴욕의 한 은행으로부터 1180만 달러를 훔치는 등 가상화폐 거래소를 겨냥했고, ‘크립토뉴로 트레이더’라는 앱을 침투경로로 사용했다. 미 국무부와 국방부뿐 아니라 미 방위산업체들과 에너지, 항공우주 기업들을 대상으로 악성코드를 심은 이메일을 보내 정보를 훔쳐가는 ‘스피어 피싱’ 행각도 시도했다고 법무부는 밝혔다. 로스앤젤레스 검찰과 미 연방수사국(FBI)도 뉴욕의 한 은행에서 해커들이 훔쳐 2곳의 가상화폐 거래소에 보관 중이던 190만 달러의 가상화폐를 압수하기 위해 영장을 발부받았다. 이 화폐는 은행에 반환될 예정이라고 당국은 밝혔다.법무부가 작년 12월 기소된 사건에 대한 공소장을 이날 공개하면서 북미관계에 미칠 영향도 주목된다. 도널드 트럼프 전 행정부 때 기소된 사건이라 해도 그 공개 시점이 조 바이든 신행정부가 대북정책을 검토하는 와중에 나왔기 때문이다. 이번 기소는 2014년 발생한 소니픽처스에 사이버 공격에 연루된 박진혁을 미 정부가 2018년 기소한 사건을 토대로 이뤄졌다. 당시 박진혁에 대한 기소는 미국이 사이버 범죄와 관련해 북한 공작원을 상대로 처음 기소한 사례였다. 소니픽처스 해킹이 발생했던 당시 북한은 소니픽처스가 북한 지도자 암살을 소재로 한 코미디 영화 ‘인터뷰’를 제작·배급하는 것에 강력히 반발한 바 있다. 버락 오바마 당시 미 대통령은 해킹 사태 이듬해인 2015년 북한 정찰총국을 대상으로 고강도 대북 제재를 담은 행정명령을 발동하기도 했다.박진혁은 소니픽처스 외에도 2016년 8100만 달러를 빼내 간 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 공격, 2016∼2017년 미 방산업체인 록히드마틴에 대한 해킹을 시도한 혐의도 받은 바 있다. 그는 북한의 대표적 해킹조직으로 알려진 ‘라자루스’ 그룹의 멤버이자 북한이 내세운 위장회사 ‘조선 엑스포 합영회사’ 소속으로 알려졌다. 존 데머스 법무부 국가안보담당 차관보는 “총이 아닌 키보드를 사용해 현금 다발 대신 가상화폐 지갑을 훔치는 북한 공작원들은 세계의 은행 강도”라고 비난했다. 캘리포니아 중부지검 트레이시 윌키슨 검사장 대행은 “북한 해커들의 범죄 행위는 광범위하고 오랫동안 지속됐다”며 “이는 정권을 지탱할 돈을 얻기 위해 어떤 일도 서슴지 않는 국가적인 범죄 행위”라고 말했다. 미국기업연구소 분석가인 니콜러스 에버하트는 13억 달러는 2019년 북한의 민수용 수입상품 총액의 거의 절반이라면서 “북한 경제에 있어 엄청난 것”이라고 했다. 윤창수 기자 geo@seoul.co.kr　

미 정부 ‘北 패스트캐시 해킹’ 경고문수많은 ATM에서 현금 인출 및 착폭한번 해킹으로 30여개국 영향 사례도정찰총국 금융해킹팀 비글보이즈 명명잠잠했다가 올해 2월부터 활동 재개 북한 해킹팀 ‘비글보이즈’가 지난 2월부터 현금자동입출금기(ATM)를 이용한 금융 해킹을 재개했다고 미국 정부가 경고했다. 비글보이즈는 북한 정보기관인 정찰총국의 해킹팀을 의미한다. 미 국토안보부 산하인 사이버안보·기간시설안보국(CISA)과 재무부, 연방수사국(FBI), 사이버사령부 등 4개 기관은 26일(현지시간) 경고문을 통해 북한의 비글보이즈가 ‘패스트캐시 2.0’이라고 명명한 ATM 해킹으로 지난 2015년 이후 약 20억 달러를 훔치려 시도한 것으로 추정된다고 밝혔다. 패스트캐시란 은행의 소매결제시스템을 감염시킨 뒤 ATM에서 현금을 빼돌리는 수법을 말한다. 북한의 ATM 해킹 한 번으로 30여개국이 영향을 받은 사례가 있다는 내용도 경고문에 포함됐다. 또 각국 은행 간에 사용하는 국제금융전산망(SWIFT·스위프트) 해킹을 이용한 사기 인출도 우려된다고 했다. 2016년 북한의 스위프트 해킹으로 방글라데시 중앙은행은 뉴욕 연방준비은행에 예치했던 1억 100만 달러 중 8100만 달러를 잃었다. 미국은 2018년 10월에도 북한 해킹조직이 ATM을 활용해 현금인출 사기를 실행하는 악성코드를 확인했다며 경보를 발령한 바 있다. 이번 경고는 이후 22개월만에 처음이다. CISA는 이날 경고문에서 “북한이 해킹 자금을 핵무기와 탄도미사일을 개발하는데 투입할 수 있다”고 명시했다. 또 비글보이즈가 2015년부터 타깃으로 삼은 국가로 한국, 일본, 스페인, 대만, 싱가포르, 아르헨티나 등을 포함해 38개국을 지목했다. 워싱턴 이경주 특파원 kdlrudwn@seoul.co.kr

이스트시큐리티는 청와대 관련 파일로 위장한 악성 파일을 발견했다고 19일 밝혔다. 이날 새벽 제작된 이 악성 파일의 이름은 ‘bmail-security-check.wsf’로, 실행하면 ‘보안메일 현시에 안전합니다’라는 문구가 뜬다. 회사 측은 “‘bmail’ 보안 체크 프로그램으로 위장하고 있다”며 “청와대 보안 이메일 검사를 사칭해 관련자를 현혹한 다음 지능형 지속위협(APT) 공격을 수행할 목적으로 제작된 것으로 추정된다”고 분석했다. 또 윈도 화면보호기 파일로 위장한 변종 ‘bmail-security-check.scr’도 함께 발견됐다. 문종현 시큐리티대응센터장은 “공격자의 명령 제어 서버 일부 주소가 청와대 사이트로 연결되는 등 청와대를 사칭해 관련자를 공격할 의도가 다수 포착됐기에 각별히 주의해야 한다”며 “사이버 범죄 조직 ‘김수키(Kimsuky) 그룹’의 공격과 유사성이 매우 높다”고 진단했다. 김수키는 북한과 연계설이 제기되는 해킹조직으로, 2014년 한국수력원자력 해킹 사건에 이어 작년 통일부와 경찰청, 암호화폐 거래소 등 지속적인 사이버 공격을 감행해왔다는 의혹을 받고 있다. 신진호 기자 sayho@seoul.co.kr

“北, 대한민국 일상적으로 해킹하고 있을 것” 미래통합당 소속으로 4·15 총선 출마를 준비하는 태영호 전 주영 북한대사관 공사가 북한과 연관됐다고 추정되는 조직이 자신의 스마트폰을 해킹했다고 밝혔다. 그는 입장문을 통해 “이번 해킹 건을 통해 드러났듯이 지난 몇 년 간 저에게 있어 한국에서의 삶은 결국 김정은과의 싸움이었다”고 밝혔다. 그는 “이번에 보도된 해킹은 통신비밀보호법 제3조에 위반되는 불법행위이며, 북한은 대한민국의 주요 기관이나 주요 인사에 대해 일상적으로 해킹을 하고 있다고 생각한다”며 “앞으로도 물러섬 없이 정의의 싸움을 계속해 나갈 것”이라고 강조했다. 태 전 공사는 “제가 어떠한 위치와 상황에 있는지 알기 때문에 정보 접근이 원천 불가하도록 이중삼중의 대비를 하고 있다”고 전했다. 또 “익히 알고 있는 해킹 위협이기 때문에 정보 가치가 있는 내용을 휴대폰에 남기지 않았고, 전화 통화 또한 철저한 보안 의식 아래 하는 등 남다른 보안 의식으로 대비해왔다”고 설명했다. 그는 “아무리 사소한 것이라도 혹시 민감한 내용에 대한 대화가 휴대폰을 통해 이뤄지려 할 때는 별도의 조치를 통해 대응해왔다. 뿐만 아니라 정기적, 비정기적으로 보안 전문가와 상의해 대처하고 있다”고 덧붙였다. 앞서 문종현 이스트시큐리티 ESRC센터장은 이날 연합뉴스와의 통화에서 “지난해 하순 해킹 피해를 조사하는 과정에서 해커의 서버에서 ‘태구민’이란 이름을 발견했다”며 “태 전 공사의 가명임을 확인하고 본인에게 직접 연락을 해 해킹 사실을 알렸다”고 말했다. 해킹 주체는 북한과 관련이 있는 것으로 의심받아온 해킹조직 ‘금성121’로 알려졌다. 태 전 공사는 본인의 신변 보호 차원에서 실명 대신 ‘태구민’이라는 가명을 주민등록상 이름으로 등록하고 생활해왔으며, 이번 총선도 가명으로 치를 계획이다. 정현용 기자 junghy77@seoul.co.kr

북한과 연계된 것으로 추정되는 해킹단체가 자유한국당 산하 기관인 여의도연구원을 사칭한 피싱메일을 살포한 사실이 드러났다. 보안 전문기업 이스트시큐리티는 2일 시큐리티대응센터(ESRC) 블로그에 게시한 리포트에서 “해킹조직 ‘금성121’(Geumseong121)이 여의도연구원 안보 관련 연구위원이 작성한 문서처럼 꾸며 지능형지속위협(APT) 공격을 수행한 정황이 포착됐다”고 밝혔다. 금성121은 최신 보안 취약점을 이용해 국내 대북단체와 국방 분야 관계자들을 집중적으로 공격한 것으로 알려졌다. 2017년에도 대북 관련 관계자에게 HWP 취약점을 공격한 것도 전해졌다. 이번에 발견된 이메일의 첨부파일을 실행하면 자유한국당 산하 여의도연구원이 작성한 ‘북의 우리당에 대한 정치공작 실상과 대책’이라는 제목의 문서가 나온다. 이 이메일은 감염된 컴퓨터의 정보를 수집하고 탈취할 수 있으며 여러 자유한국당 의원실에 뿌려진 것으로 알려졌다. 일부 매체는 이날 여의도연구원에서 보낸 것처럼 꾸며진 바이러스 첨부 메일이 한국당 외통위, 정보위, 국방위 소속 의원실에 집중적으로 발송됐다고 보도했다. 이스트시큐리티는 APT 공격이 HWP 취약점을 개선한 최신 한컴오피스에서는 감염되지 않는다며 최신 버전을 유지하는 것이 중요하다고 조언했다. 정현용 기자 junghy77@seoul.co.kr

보안 전문기업 이스트시큐리티는 2일 시큐리티대응센터(ESRC) 리포트를 통해 “해킹조직 ‘금성121’(Geumseong121)이 여의도연구원 안보 관련 연구위원이 작성한 문서처럼 꾸며 지능형지속위협(APT) 공격을 수행한 정황이 포착됐다”고 밝혔다. 발견된 이메일 첨부파일을 실행하면 자유한국당 산하 여의도연구원의 ‘북의 우리당에 대한 정치공작 실상과 대책’이라는 제목의 문서가 나타난다. 이 이메일은 감염된 컴퓨터의 정보를 탈취할 수 있으며 한국당 외통위, 정보위, 국방위 소속 의원실에 집중적으로 발송된 것으로 알려졌다. 정현용 기자 junghy77@seoul.co.kr

“탄도미사일 추가 발사 가능성… 풍계리 2번 갱도는 손상된 듯” “김정은, 본보기 숙청·처형 재개… 국내 금융기관 해킹 시도 포착” 국가정보원은 2일 국회 정보위원회 비공개 국정감사에서 북한이 연말 영변 원자로에서 폐연료봉 인출과 재처리 활동을 진행할 가능성이 있다고 보고했다. 김정은 노동당 위원장은 한동한 자제했던 본보기식 숙청과 처형을 최근 재개한 것으로 전해졌다.국정원은 이날 국감에서 북한의 핵·미사일 개발 동향과 관련, 평양 소재 미사일 연구시설에서 차량이 활발히 움직이는 등 탄도미사일을 추가 발사할 가능성이 있다고 보고했다고 정보위 관계자가 밝혔다. 북한이 추가 핵실험 및 핵탄두 소형화·다종화를 지속적으로 추진할 수 있다는 전망도 내놨다. 영변 원자로의 폐연료봉 인출과 재처리 활동 가능성이다. 우리 군 당국은 북한이 영변 핵시설에서 여러 차례 폐연료봉을 재처리해 50여㎏의 플루토늄을 보유하고 있다고 올 초 국방백서에서 밝힌 바 있다. 이는 10여개의 핵탄두를 만들 수 있는 분량이다. 국정원 분석대로 북한이 연말에 폐연료봉 인출과 재처리 활동을 진행한다면 이는 추가적인 플루토늄을 확보해 추가 핵실험을 시도하거나 다종의 핵탄두를 보유하려는 의도로 볼 수 있다. 국정원은 북한의 핵실험장 갱도 상태에 대해선 “풍계리 핵실험장의 3번 갱도는 언제든지 핵실험이 가능한 상태”라면서 “4번 갱도는 최근 굴착공사를 재개했고 핵실험이 가능한 정도로 굴착하려면 상당한 시간이 소요될 것”이라고 전망했다. 6차 핵실험 이후 3차례의 후속 지진이 발생해 2번 갱도는 손상 가능성이 높다고 분석했다. 공포정치와 관련, 국정원은 김정은이 최근 ‘미사일 발사 축하행사를 1면에 게재하지 않았다’는 죄목으로 노동신문사 간부 여러 명을 혁명화 교육 조치했으며 평양 고사포부대 정치부장을 부패 혐의로 처형했다고 보고했다. 국정원은 이날 국감에서 “북한이 최근에도 가상화폐거래소, 은행·증권사 등 여러 금융 관련 기관을 공격 타깃으로 선정하고 해킹에 필요한 정보를 수집하는 정황이 지속적으로 포착되고 있다”면서 “최근 비자 연장 불허 등 여건이 악화되면서 정찰총국 산하 해킹조직 주도로 인력 파견이 필요 없는 ‘금전탈취 해킹’을 기도하고 있다”고 설명했다고 정보위 관계자가 밝혔다. 국정원은 이어 “향후 북한의 해킹은 자금 추적이 불가능한 가상화폐에 집중될 것”이라고 전망했다. 국정원은 북한 경제가 국제 사회의 대북 제재에도 불구하고 “그럭저럭 버티기 수준”을 유지하고 있으나 제재가 지속되면 ‘고난의 행군’ 수준의 경제난을 맞을 것이라고 예측했다. 국정원은 “북한 경제성장률은 2016년 3.9%에서 내년엔 최대 -5%까지 하락할 가능성이 있는 것으로 분석된다”면서 “북한은 이럴 경우 일단 비핵화 협상에 호응해 제재 완화를 도모하거나 더욱 강력한 통제로 내부 불만을 억누르며 핵무력 완성도를 높여 나갈 것”이라고 설명했다. 김민석 기자 shiho@seoul.co.kr

국가정보원은 2일 국회 정보위원회 국정감사에서 국내 금융기관에 대한 북한의 해킹 시도가 여러 차례 포착되고 있다고 밝혔다. 북한은 또 미사일을 추가 발사할 가능성이 있으며 김정은 노동당 위원장은 한동안 자제했던 본보기식 숙청과 처형을 재개한 것으로 전해졌다. 국정원은 이날 국감에서 “북한이 최근에도 가상화폐거래소, 은행·증권사 등 여러 금융 관련 기관을 공격 타깃으로 선정하고 해킹에 필요한 정보를 수집하는 정황이 지속적으로 포착되고 있다”면서 “전문 정보기술(IT) 인력을 해외에 파견해 외화벌이에 나서고 있지만 최근 비자 연장 불허 등 여건이 더욱 악화되면서 정찰총국 산하 해킹조직 주도로 인력 파견이 필요 없는 ‘금전탈취 해킹’을 기도하고 있다”고 설명했다고 정보위 관계자가 전했다. 이 관계자는 이어 “향후 북한의 해킹은 자금 추적이 불가능한 가상화폐에 집중되고 사회 혼란을 조장할 수 있는 금융시스템 파괴 시도도 예상된다”면서 “유관기관과 공조해 금융 분야 보안 취약요인에 대한 예방 보완활동에 주력하고 북한 해킹조직에 대한 정보활동 및 우방국 정보협력도 강화해 나갈 계획”이라고 국정원이 밝혔다고 말했다. 　북한의 핵·미사일 개발 동향과 관련, 국정원은 평양 소재 미사일 연구시설에서 차량이 활발히 움직이는 등 미사일을 또다시 발사할 가능성이 있다고 정보위에 보고한 것으로 알려졌다. 여야 간사들은 “국정원은 북한이 추가 핵실험과 핵탄두의 소형화·다종화를 지속적으로 추진할 것으로 전망하며, 연말 영변 원자로에서 폐연료봉 인출과 재처리 활동을 진행할 가능성도 있다고 설명했다”고 전했다. 　국정원은 또 김정은이 최근 ‘미사일 발사 축하행사를 1면에 게재하지 않았다’는 죄목으로 노동신문사 간부 여러 명을 혁명화 교육 조치했으며 평양 고사포부대 정치부장을 부패 혐의로 처형한 것으로 보고했다고 정보위 관계자가 밝혔다. 국정원은 정보위에 “(김정은이) 최근 열린 당중앙위원회 전원회의를 열고 여동생 김여정과 최룡해, 최휘 등 측근을 중용했고 리병철, 홍영칠 등 군수 분야 책임자들을 요직에 발탁했다”면서 “특히 최룡해는 당조직지도부장에 임명된 것으로 추정된다”고 보고했다. 　여야 정보위 간사들은 북한 경제가 국제사회의 대북제재에도 불구하고 ‘그럭저럭 버티기 수준’을 유지하고 있으나 제재가 지속되면 ‘고난의 행군’ 수준의 경제난을 맞을 것이라고 국정원이 예측했다고 설명했다. 특히 “북한 경제성장률은 2016년 3.9%에서 내년엔 최대 마이너스 5%까지 하락할 가능성이 있는 것으로 분석된다”면서 “북한은 이럴 경우 일단 비핵화 협상에 호응해 제재 완화를 도모하거나 더욱 강력한 통제로 내부 불만을 억누르며 핵무력 완성도를 높여 나갈 것”이라고 설명했다고 정보위 관계자가 전했다. 　김민석 기자 shiho@seoul.co.kr

북한이 올해 연말까지 영변 원자로에서 폐연료봉 인출과 재처리 활동을 진행할 가능성이 있다고 국가정보원이 2일 비공개 국정감사 자리에서 밝혔다. 또 또 6차 핵실험 이후 3차례 후속 지진이 발생해 풍계리 2번 갱도는 손상 가능성이 있는 반면 3번 갱도는 핵실험 가능 상태를 유지하고 있는 것으로 파악됐다고 덧붙였다.국정원의 비공개 국정감사를 진행한 국회 정보위원회의 여야 간사들에 따르면 국정원은 “앞으로 북한은 추가 핵실험과 핵탄두의 소형화·다종화를 지속적으로 추진할 것”이라면서 “북한이 올 연말 영변 원자로에서 폐연료봉 인출과 재처리 활동을 진행할 가능성이 있다”고 밝혔다. 또 “평양 소재 미사일 연구시설에서 차량이 활발히 움직이는 등 미사일 발사 가능성이 있다”고 말했다. 국정원은 “풍계리 핵실험장의 3번 갱도는 언제든지 핵실험이 가능한 상태”라면서 “4번 갱도는 최근 굴착공사를 재개했고, 핵실험이 가능한 정도로 굴착하려면 상당한 시간이 소요될 것”이라고 내다봤다. 또 “풍계리 핵실험장의 2번 갱도는 6차 핵실험이 끝나고 8분 후 여진이 있었으며 이후에도 후속 지진이 3차례나 발생해 손상됐을 가능성이 있다”고 설명했다. 국정원은 김정은 북한 노동당 위원장이 한동안 중단했던 본보기식 숙청을 재개해 노동신문사 간부 수명을 ‘미사일 발사 축하행사를 1면에 게재하지 않았다’는 죄목으로 혁명화 조치했고, 평양 고사포부대 장치부장을 부패 혐의로 처형했다고도 밝혔다. 현재 개혁발전위원회 산하 ‘적폐청산 태스크포스(TF)’의 조사 활동을 통해 적폐청산을 포함한 개혁 과제를 추진 중인 국정원은 “남은 사건을 이달 중 마무리 짓고 재발방지책 마련 등 후속조치를 이행해 나가겠다”면서 “새롭게 ‘제2기 국정원’ 시대를 열어나가겠다는 각오로 대내외 안보현안에 빈틈없이 대처하고 국가경쟁력 제고에도 총력을 기울이겠다”고 보고했다. 서훈 국정원장은 국정원의 적폐가 발생하는 원인과 관련해 “대통령과 국정원장의 문제가 가장 크다”면서 “권력이 정보기관을 권력의 도구로 쓰려는 부분이 가장 큰 원인”이라고 말했다. 국정원은 또 박근혜 정부의 국정원이 이재만 전 총무비서관과 안봉근 전 청와대 국정홍보비서관, 정호성 전 청와대 부속비서관 등에 상납한 돈의 성격과 관련해선 특수공작사업비였다고 밝혔다. 이 돈의 성격이 통치자금인지 뇌물인지를 묻는 상임위원들의 질문엔 “검찰 수사 중이라 수사 결과를 보고 판단하겠다”고 밝혔다. 서 원장은 “현 상황을 무겁고 참담하게 받아들인다. 적폐청산을 하기 위해 시기를 가리지 않고 발본색원하고 내부 문제에 대해서도 철저히 하겠다”면서 “정치적 행위와 절연해 정권 비호기관이 아닌 국가와 국민을 위해 신뢰받는 기관으로 재탄생하겠다”고 강조했다. 국내·외 금융기관을 겨냥한 북한의 해킹 시도도 여러 차례 있었던 것으로 드러났다. 국정원은 “최근에도 가상화폐거래소, 은행·증권사 등 다수 금융 관련 기관을 공격 타깃으로 선정하고 해킹에 필요한 정보를 수집하는 정황이 지속적으로 포착되고 있다”면서 “북한이 다수 전문 정보기술(IT) 인력을 해외에 파견해 외화벌이에 나서고 있지만 최근 비자 연장 불허 등 여건이 더욱 악화되고 있다”고 설명했다. 이어 국정원은 “이에 대한 타개책으로 인력 파견이 필요 없는 ‘금전탈취 해킹’을 기도하고 있으며, 이는 정찰총국 산하 해킹조직이 주도하고 있다. 향후 북한의 해킹은 자금 추적이 불가능한 가상화폐에 집중되고 사회 혼란을 조장할 수 있는 금융시스템 파괴 시도도 예상된다”고 전망했다. 온라인뉴스부 iseoul@seoul.co.kr

미국 캘리포니아주에 본부가 있는 사이버보안 업체 파이어아이는 중국 정부 또는 인민해방군과 연관된 해킹조직 2곳이 사드(고고도미사일방어체계) 배치 결정에 대한 보복으로 한국 정부 기관과 주요 웹사이트를 공격하고 있다고 월스트리트저널(WSJ)이 지난 21일(현지시간) 보도했다. 파이어아이는 해킹그룹 중 하나를 ‘톤토팀’으로 명명했다. 랴오닝성 선양을 근거지로 활동 중인 이 그룹은 인민해방군과 연결돼 있다. ‘ATP10’으로 불리는 또 다른 해킹그룹은 중국의 다른 군대 조직 또는 정보부대와 관련돼 있다. WSJ는 이 두 그룹과 ‘판다정보국’ 혹은 ‘롯데 그룹 비난하기’ 같은 이름을 지닌 민족주의 성향이 강한 해커가 연계된 것으로 추정된다고 지적했다. 존 헐트퀴스트 파이어아이 사이버공격 분석국장은 이들 해킹 그룹이 웹 기반 침투를 통해 목표로 정한 기관의 웹사이트에 접속하며 개인에게는 첨부된 이메일을 클릭하도록 유도한다고 전했다. 이에 따라 중국의 사드 보복이 거세진 지난달 초부터 주중 한국대사관을 비롯한 중국 내 한국 공관과 중국 내 롯데 공식홈페이지 등이 해킹으로 추정되는 공격으로 자주 마비됐다. WSJ는 중국 해킹 조직이 구체적으로 한국의 어떤 기관을 타깃으로 하고 있는지는 밝히지 않았다. 외교부 홈페이지 디도스 공격을 포함해 최근 한국의 주요 기관을 대상으로 진행된 사이버공격은 이들 해킹그룹의 소행이었을 가능성이 제기된다. 사이버보안 전문가들은 한국 기관에 대한 중국발 사이버공격이 이전부터 있었지만 한국의 사드 배치 결정 이후 공격 횟수가 늘고 강도도 세졌다고 말했다. 그러나 한국 정부가 갈수록 심해지는 중국발 해킹 문제에 대해 강력히 항의해도 중국 정부는 “모든 해킹 공격에 반대한다”는 원론적인 입장만 되풀이하며 모르쇠로 일관하고 있다. 중국 국방부는 “해킹에 반대한다는 입장을 꾸준히 표명해 왔다. 인민해방군은 어떤 해킹도 지지하지 않는다”고 밝혔지만 중국의 해커 조직이 중국 정부 또는 중국군과 관련된 것이 주목된다고 WSJ는 전했다. 김규환 선임기자 khkim@seoul.co.kr