‘금성 121’ 대남 공작 활용 차원서 정보수집 추정…공공기관 해킹 시도 건수 하루 평균 135만 건
21대 총선에서 미래통합당 간판을 달고 출마할 예정인 태영호 전 런던주재 북한대사관 공사. 사진=박은숙 기자
‘금성 121’과 ‘김수키’ 등 북한 해커 조직은 국내 언론을 통해서도 여러 차례 소개가 됐다. 한 대북 소식통은 “두 조직 모두 북한 당국 휘하의 관제 해커 조직”이라면서 “지금까지 파악된 북한 해커 조직은 인민무력부 정찰총국 산하 사이버전지도부 소속 요원들로 파악된다”고 전했다.
김흥광 NK지식인연대 대표는 북한 해커 조직을 “북한 내 일반 주민들에겐 전혀 알려지지 않은 특수한 조직”이라고 설명했다. 김 대표는 “그들은 철저한 보안 아래서 움직인다. 북한 내에선 이들의 정체를 알 방법이 없다”고 전했다. 김 대표는 “김정은은 (해커 조직들을) 자신의 별동대라고 했다. (북한 당국에선 해커 조직들을) 최고사령관 작전 예비대라고 칭할 정도로 위상이 높다. 요원들에 대한 당국의 정치적 신임이 높을 뿐 아니라 처우도 좋은 것으로 알고 있다”고 했다.
북한 해커 조직의 ‘대남 사이버 공격’ 주타깃은 국내 공공기관이다. 주된 해킹 수법은 스피어피싱(Spear Phishing)이다. 특정 개인 혹은 조직을 감시·분석한 뒤 악성코드가 담긴 ‘맞춤형 가짜 메일’을 살포하는 방식이다. 해킹에 성공할 경우 북한 해커들은 감염된 PC, 혹은 이메일 계정 정보를 실시간 모니터링할 수 있게 된다. 대북 전문가들에 따르면 북한 당국은 감염체(PC)들을 좀비 PC로 활용해 제3국 사이버전에 활용하는 것으로 알려졌다.
김승주 고려대학교 정보보호대학원 교수도 “북한의 사이버 공격 시도 빈도는 꾸준하다”면서 “주요 공공기관에 들어오는 해킹 시도 건수는 하루 평균 135만 건”이라며 “국내 해킹 사례 중 북한발이 96%, 중국 3%, 러시아 1% 순이다. 최근엔 이란과 파키스탄발 해킹 빈도도 높아지고 있는 것으로 파악된다”고 밝혔다.
정보업계 전문가는 “북한이 최근엔 스마트폰 애플리케이션(앱)을 활용한 ‘스마트폰 해킹’도 활발하게 진행 중”이라고 했다. 애플리케이션을 설치하면 스마트폰 정보가 북한 해커들에게 넘어가는 방식이다.
북한 해커들의 목적이 무엇인지는 정확히 알려진 바가 없다. 한 보안업체 관계자는 “해킹 목적은 해킹의 주체 또는 해킹을 지시한 이들만 알고 있을 것”이라면서도 “통상적으로 해커들이 해킹을 하는 목적엔 두 가지 갈래가 있다. 금전적 이익을 취하려는 목적이거나 원하는 정보를 입수하려는 것”이라고 설명했다. 이 관계자는 “북한 해커들의 타깃 역시 이 두 가지 사례에서 크게 벗어나지 않을 것”이라고 분석했다.
북한 당국이 직접 진두지휘하는 ‘해커 조직’들은 ‘김정은 별동대’라고도 불린다. 사진=연합뉴스
이와 관련해 또 다른 대북 소식통은 “북한 해커 조직은 저마다의 특수 목적을 가지고 있다”고 했다. 김흥광 NK지식인연대 대표는 “암호화폐, 사이버머니 등 각종 금전적 이익을 목적으로 사이버전 임무를 수행하는 부대는 180부대다. 91부대라는 곳도 있다. 이 조직은 미국 등 선진국의 일반·국방 과학기술을 탈취한다”고 했다.
김흥광 대표는 “사회·정치 주요 인사 혹은 공공기관 자료를 탈취하는 건 121부대의 몫”이라며 설명을 이어갔다. 121부대는 태영호 전 공사 해킹을 주도한 것으로 추정되는 해커조직 ‘금성121’의 본원이라고 볼 수 있다.
김 대표는 “121부대는 탈취한 자료를 대남공작에 활용한다. 한국 내 전반적인 사회관계망 지도를 만들고 그걸 통해서 타깃 공작을 수행하는 식”이라며 “현재 국내 전력·통신·원자력·에너지·철도 등 국가기반시설들의 시스템은 컴퓨터 폐쇄망에 의해 제어된다. 121부대는 이런 시스템들을 공격하기도 한다”고 덧붙였다.
그러면서 김 대표는 “한국이 중요한 정치적 행사인 총선을 앞두고 있는 현 시점, 앞서 설명한 121부대가 보다 활발한 활동을 펼칠 가능성이 높다”며 “정치인 등 유력인사가 스마트폰 혹은 PC를 해킹당할 경우 사적인 대화를 비롯한 개인정보가 노출된다”고도 했다.
국내 공공기관을 타깃 삼은 북한 해커들의 해킹 시도는 꾸준히 진행되고 있다. 사진=일요신문DB
정치권을 타깃으로 한 북한의 사이버 공격에 대한 정확한 집계는 이뤄지지 않고 있다. 김승주 고려대학교 정보보호대학원 교수는 “국회를 비롯한 정치권을 타깃으로 삼은 북한의 사이버 공격과 관련한 정확한 통계는 없다”고 했다.
이는 정치권에 대한 타깃 해킹 시도 자체가 극비 사안으로 분류되는 까닭이다. 정보 전문가에 따르면 국회 내부 PC 중 해킹 피해 의심 사례가 접수될 경우 국회 내 사이버안전팀이 해당 PC를 검사한다. 검사 결과 대북 관련성이 발견되면 조사 주체는 국정원으로 넘어간다. 국회 사이버안전팀과 국정원 모두 국회 내 해킹 피해 사례 관련 보안 유지에 심혈을 기울이는 것으로 알려졌다.
익명을 요구한 또 다른 정보 전문가는 “정치권에서 해킹 피해를 당할 경우 당사자가 해킹 사실을 공개하지 않는 이상 피해 내역이라든지 사례에 대한 분석이 사실상 불가능해진다”고 했다. 한 국회의원실 관계자도 “‘정치권 타깃 북한 해킹 피해 사례’ 관련 자료를 요구하더라도 국정원이 이에 응할 가능성은 없다고 봐도 무방하다”고 귀띔했다.
앞서의 정보 전문가는 “선거를 앞둔 상황에서 정치권을 타깃으로 한 해킹 시도에 각별한 주의가 필요하다”며 “모르는 메일 계정으로부터 도착한 첨부파일을 함부로 다운로드받아선 안 된다. 모바일 메신저나 문자메시지를 통해 URL을 누르기 전에도 철저한 사전 검증을 할 필요가 있다”고 당부했다.
이동섭 기자 hardout@ilyo.co.kr