‘해킹전사’ 그룹 9곳 중국서 위장 영업중
북한은 2002년께 해커 전문가 양성에 박차를 가하기 시작했고, 현재는 상당 수준의 공격 전력을 갖춘 것으로 파악된다. 그래픽=장영석 기자 zzang@ilyo.co.kr
2월 18일 국회에서 안보점검 긴급 당정협의회가 열렸다. 역시 가장 흥미를 끄는 부분은 북한의 추가 도발 가능성과 관련한 내용이었다. 이 자리에서 국정원의 보고 내용이 공개됐다. 주요 내용은 사이버테러에 대한 가능성 여부였다. 국정원은 보고서를 통해 북한의 김정은이 남한에 대한 테러를 지시했고, 특히 사이버테러에 역량을 집중하라고 명했다고 밝혔다.
사이버테러를 이용한 도발은 이제 북한 정권의 대남도발전략 중 하나의 핵심적인 도구로 자리 잡았다. 북한 정권은 1986~1987년 기간 일찌감치 고등교육기관 및 군 정보화 작업을 꾀했고, 1991년 정찰총국 산하에 전자전 전담 부서를 두면서 근간을 다졌다. 이에 발맞춰 총참모부 정찰국(현재 정찰총국)은 2002년께 별도의 교육기관인 일명 미림대학(전자지휘자동화대학)을 마련해 해커 전문가 양성에 박차를 가하기 시작했고, 현재는 상당 수준의 공격(방어능력은 아주 미미한 것으로 파악됨) 전력을 갖추게 됐다.
우리가 이를 실제 체감하기 시작한 때는 역시 지난 2009년 7·7분산디도스(일명 7·7DDoS) 사태 때다. 이어 2011년 3·4 디도스 대란과 4·12 농협해킹 사건까지 굵직한 대남 사이버전을 전개해왔고 실제적으로 대한민국에 피해를 적지 않게 주었다.
2009년 당시 필자는 디도스 테러가 직접 일어나기 전 국내 보안기관의 한 담당 간부에게 테러 가능성에 대해 전달한 바 있다. 하지만 당시 해당 간부는 북한의 기술력에 대해 상당히 과소평가했고, 경고를 무시했었다. 당시 한국은 속수무책으로 당했다. 군, 경찰, 검찰, 국정원, 방송통신위원회, 인터넷심의위원회 등 관련 유관기관들은 상호간 협조는커녕 엇박자와 뒷전 대응으로 피해를 더욱 키운 바 있다.
7·7디도스는 2009년 2월 전면 개편된 정찰총국 산하 작전국(1국)과 기술국(3국)이 중심으로 거의 수개월 이상 좀비컴퓨터를 이용해 해킹프로그램을 만들었다는 것을 상기시키고 싶다. 필자는 당시 2009년 4월~6월에 대련(大連)과 톈진(天津) 부근 북한 해커들의 상황을 직접 지켜볼 수 있는 기회가 있었다. 실제로 동원되었던 해킹전사(그들은 자칭 그렇게 부르고 있음)들의 말에 의하면 “미사일이 날아오는 것은 혹 유도미사일로 요격할 수는 있을는지는 몰라도 인터넷을 통한 정보유통이 필연적 과정인 현 네트워크시대에서 악성바이러스를 이용한 사이버 상 공격을 절대적으로 막을 수는 절대로 없을 것”이라고 자신하였을 정도다.
최근 정찰총국 산하를 중심으로 한 북한의 사이버전 주요 기관들에 또 다른 변화의 조짐이 목격되고 있다. 필자가 최근 북한 내부 소식통을 통해 입수한 정보에 따르면 북한군은 2015년 1월께 사단급 규모의 이른바 ‘전자전 부대’를 새롭게 정비하고 창설한 것으로 확인됐다. 북한의 각 20여 개의 군단 및 군단 급 사령부들에 1개 대대급의 전자전 부대를 분산 창설한 것. 이들을 통합 지휘하는 전술지휘는 해당 군단에서 맡기로 했지만 이 전술부대들에 대한 전략지휘는 역시 사이버전 핵심 기관인 정찰총국(기술국·3국)이 관할하는 형태다.
해당 군단 산하 전자전 부대들의 주요임무는 기존의 사이버 대응과 더불어 전파탐지 및 전파방해, 전파장애에 대한 극복 등 보다 종합적인 전략작전을 가능케 했다. 부대 창설 이후 2015년 2월까지 부대의 인원 선발이 진행됐는데 전자지휘자동화대학(전 미림대학), 압록강대학, 김책공업종합대학, 리과대학, 조선컴퓨터센터(KCC), 평양정보센터(PIC), 금성학원 등에서 교수 수준의 고급 지휘관들과 소프트웨어 전공 졸업자들을 직접 차출됐다. 이렇게 차출된 해킹전사들은 대부분 중국과 러시아 및 동유럽 국가들의 관련 아지트들에서 훈련을 받은 것으로 파악된다.
김정은 국방위원회 제1위원장. 연합뉴스
한편 이 과정에서 약간의 소란이 있었다고 한다. 군 내부에서 한 쪽에선 해당 부대를 총참모부 작전국 소속으로 두어야 한다는 주장이 있었고, 또 다른 한 쪽에선 애초 주요기관으로 있었던 정찰총국 직속으로 해야 한다는 의견이 대립됐다고 한다. 이는 역시 현대전에서 점차 핵심 분야로 거듭나고 있는 사이버전 및 전자전과 관련한 부대를 서로 두기 위한 조직간 경쟁의 측면이라고 해석할 수 있다. 물론 2015년 9월 현재 결과적으로 이 부대는 정찰총국이 관할하게 됐다. 해당 부대 창설이 대남 사이버전에 어떤 영향을 끼칠지는 분명 주목해야 할 대목이다. 뿐만 아니라 이들의 선제공격 이후 특전사들의 직접적인 우리 후방에 대한 교란작전을 동시에 합동작전으로 진행할 가능성에 대해 특별히 관심을 기울일 필요가 있다.
현재 정찰총국은 다양한 형태의 사이버그룹을 국내외에서 운영하고 있는데 당연히 그 정체 노출을 피하기 위해 갖가지 위장술을 동원하고 있다. 대표적인 간판이 바로 원봉무역기술회사다. 정찰총국 산하의 각종 그룹들은 바로 이 원봉무역기술회사의 간판을 단 핵심조직을 중심으로 갖가지 작업을 벌이고 있다. 이 핵심조직은 원봉무역기술회사 이외의 다른 위장간판을 달기도 한 것으로 보인다.
필자가 중국을 중심으로 포착한 2015년 8월 이전 북한의 사이버 해킹을 위해 움직이는 그룹(팀)은 베이징(北京) 2개, 대련(大連) 4개, 심양(瀋陽) 1개, 단동(丹東) 2개 그룹 정도다. 이 사이버그룹은 국가안전보위부 기술국, 내각 225국(통전부 직속부서, 기존 대외연락부), 인민무력부 적공국, 인민무력부 정찰총국 직속 평양정보센터, 중앙당 군수공업부 조선컴퓨터센터, 국방위원회 직속 군수동원총국 기술무역국 등 북한의 안보관련 주요 기관 소속으로 파악된다. 북한은 김정은 정권에 들어서면서 위에서 언급한 각 안보관련 주요 부서들에 기술무역회사라는 간판을 가진 소프트웨어 회사들을 집중적으로 확장시켰다. 가령 실례를 들자면 군수동원총국은 선봉기술무역총회사라는 간판으로 움직이고 있는 것으로 파악된다.
물론 이들을 실제 관할하는 핵심조직은 앞서 밝혔듯 정찰총국 3국이고 실제로 이 모든 상황을 정확히 조종하는 기관은 바로 김정은의 당 서기실이다. 1개 사이버그룹은 약 4~6명 정도로 구성되며 이 그룹 내에 해킹 관련 행정책임자와 당 세포비서가 있으며 요원 평균 나이는 20대 초반 안팎이다. 필자가 이중 유심히 관찰하고 있는 사이버그룹 중 한 곳은 중국 심양(瀋陽)을 근간으로 한 6.15봉사소의 운영관련 그룹이다. 해당 그룹은 심양 심부대로 00빌딩에 사무실을 두고 있으며 약 50평 규모의 오피스텔인 것으로 파악된다. 이곳을 6.15봉사소라 부르는 까닭은 지난 2012년까지 이 같은 이름의 간판을 달고 활동했기 때문이다. 물론 현재 간판은 다른 간판으로 바뀐 것으로 파악된다.
6.15봉사소를 대표하고 있는 인물은 중앙당에서 파견된 50대 간부로 전해지며 이곳에 약 6명의 요원이 통제된 생활을 하고 있다. 사무실 입구는 2중 잠금장치로 통제되며 사무실 내부엔 책상 6~7대, PC 6대와 FAX 및 프린터 등이 배치된 것으로 전해진다.
여기서 주목할 점 하나가 있다. 이 6.15봉사소의 평소 임무는 극단적인 사이버테러 작전 수행이 아니다. 이곳의 주요 임무는 외부 의뢰인의 수주를 받아 소프트웨어를 개발하고 판매하는 영업을 총괄하는 임무를 맡고 있다. 더 주요임무는 사실 상부에서 내려오는 지시에 따라 위에서 언급한 각 해킹관련 그룹들에 대한 작전 지휘이다. 평소에는 이러한 외화벌이에 주력하다가도 윗선의 특정 임무가 하달되면 실제 해킹을 비롯한 이른바 ‘전자(사이버)전’에 나선다는 것이다.
북한의 이러한 형태의 위장 개발을 통한 해외작전능력은 언제 어떤 식으로 사이버전 임무에 나설지 가늠하기가 쉽지 않다. 문제는 여기서부터 시작된다. 중국과 옛 공산권 국가들을 주요 고객으로 삼고 있지만 소프트웨어 개발은 하청에 재하청의 형태도 꽤 많다. 최초 의뢰자가 하청업체에 소프트웨어 개발을 의뢰하고 이 하청업체는 또 다른 재하청업체에 개발의 특정부분을 의뢰하는 형태도 즐비하다. 만약 북한의 이러한 위장을 소프트 개발 회사들이 작전 수행을 염두에 두고 특별한 코드를 묻혀 발주회사들이 예약한 특정 소프트웨어를 유통시킨다면 일은 커질 수밖에 없다.
이를 의뢰한 기업이나 정부는 개발사가 특정한 목적으로 코드를 묻힌다고 하여도 이를 감지하기가 현실적으로 아주 어렵다. 유감스럽게도 현재 북한 당국은 이러한 방식의 사이버 임무 수행을 꾀하고 있다. 앞서의 북한 당국이 진행했다고 판단된 여러 형태의 사이버 상에서의 공격 형태를 벗어나 좀 더 계획적이고 은밀한 작전 수행이 가능한 대목이다. 게다가 북한의 이러한 사이버 그룹의 위장 개발사들 중 일부는 동구권 몇몇 국가들의 정부 인트라넷 구축작업까지 수주 받아 진행한 것으로 확인된다.
필자가 강조하고 싶은 점이 있다. 현재 미국을 비롯한 서방에선 북한의 금융거래 및 광물을 비롯한 무역거래 제재를 강조하고 있다. 여기에 각국에서 수주하고 있는 소프트웨어를 통한 북한 위장 개발사들의 영업 및 거래에도 제재가 있어야 한다는 점이다. 이는 북한의 외화벌이 차단뿐 아니라 유사시 안보의 위험성을 염두에 둔 조치이다.
이윤걸 북한전략정보서비스센터 대표
정리=한병관 기자 wlimodu@ilyo.co.kr
| 북한 주민 정보화 실태 국내 브랜드 PC도 유통 중 현재 북한 주민들은 외부에서 반입되는 PC를 상점 및 장마당을 통해 구입하고 있다. 이중에는 삼성, LG, TG삼보를 비롯한 국내 PC도 제법 많이 유통되고 있다고 한다. 과거에야 이러한 남한 컴퓨터 사용에 제재가 있었지만, 최근엔 일반 주민들도 인민반과 각 지역 보안소에 관련 출처에 대해 공개 및 확인서 발급 과정만 밟는다면 사용하는 데 큰 지장이 없다고 한다. 현재 북한 주민들은 PC운영체제로 주로 윈도우를 사용하고 있는데 한국어 버전이 아닌 영문버전이 유통되고 있다. 이밖에 주로 사용하는 소프트웨어도 워드, 엑셀, 포토샵 등 한국과 별반 차이가 없다는 후문이다. 다만 북한 당국은 주민들이 반체제 선전물을 인쇄할 가능성을 사전 차단하기 위해 개인의 프린터 보유를 엄격히 통제한다고 한다. 한편 북한은 ‘광명망’이란 북한 내 비공개 통신망을 사용한다. 김정은은 지난 2013년 3월 광명망의 개인사용을 금했지만, 지난해 2015년 1월경 다시금 개인이 광명망을 사용할 수 있게끔 허용했다고 한다. 참고로 현재 광명망은 북한 중앙과학기술통보사가 국방위원회의 정책국의 지휘 하에 운영하는 일종의 국가 인트라넷이다. 북한엔 이외에도 기능과 운영주체가 상이한 20개 정도의 인트라넷이 운영되고 있는 것으로 파악된다. 진달래, 선구자, 내나라, 남산, 리상, 아침, 정보21, 고학기술전자전시관, 기둥, 만방, 새세기, 방역, 래일, 발명, 클락새, 한마음, 북극성, 고려의술 등이 대표적이다. [걸] |
필자 이윤걸은?
|