[편집자주] 김정은 시대 들어 북한의 사이버 공격 능력은 더욱 강화되고 있으며 북한의 소행으로 추정되는 국제 사이버 위협 역시 증가하고 있다. 김정은 정권은 사이버전 수행 능력을 주요 비대칭 전력의 하나로 인식하고 국가적 차원에서 해커를 육성하고 있으며 이들은 전 세계를 무대로 사이버 공격을 감행하고 있다. 북한은 사이버 공격을 통해 경제적·정치적 이익을 취하려는 의도를 지닌 것으로 보인다. 이에 대해 미국을 비롯한 국제사회는 경제제재를 주요 수단으로 대북 사이버 위협에 대응하고 있으며, 북한의 상시적인 사이버 위협에 놓인 한국 정부로서는 적극적 사이버안보 활동을 통해 현실적 대비책을 마련해야 하는 상황이다.
김정은 시대 사이버 공격의 특징은 ‘경제핵무력병진노선’, ‘사회주의경제건설총력집중노선’ 등 북한의 새로운 국가전략과 연계되어 시기별로 차별성을 가진다는 것이다.
이외에도 핵실험, 경제제재, 남북 및 북미 정상회담, 코로나19, 바이든 정부 출범 등 대내외 환경 변화와 연동되어 북한 소행으로 추정되는 사이버 공격이 노출되는 경우도 심심찮게 발견된다.
◇ 경제핵무력병진노선(2013.3.31~2018.4.20) 시기
첫째, 핵능력 강화와 관련된 사이버 공격이다.
이 시기 북한은 경제핵무력병진노선을 새로운 전략노선으로 설정하고 핵능력을 꾸준히 증강하여 핵무력 완성을 선언(2017.11.)함에 따라 핵실험과 연계된 사이버 공격 감행했다. 2013년 2월 제3차 핵실험에 맞추어 방송사와 금융권에 대한 사이버 공격(2013.3.20.)과 청와대와 주요 정부기관에 대한 사이버 공격(2013.6.25.)을 시도했다.
북한은 2016년 1월, 제4차 핵실험 감행에 맞추어 청와대 사칭 이메일 공격을 감행하였고, 2016년 9월 제5차 핵실험과 연계하여 사이버사령부 및 국방통합데이터센터 서버에 해킹 공격 시도했다.
2017년 9월, 제6차 핵실험과 연계하여 다음(daum) 이메일의 취약점을 이용한 공격과 가상화폐거래소 공격했다.
핵무력 완성을 위해 국내 방산업체 전산망과 해킹(2016.6.)은 물론 대우조선해양 해킹을 통해 잠수함, 무인기, 비행기 등 핵 투발수단 관련 국방신기술 탈취(2016.4.) 시도했다.
미국 영화사 소니픽처스 해킹(2014.11.)을 통해 기밀정보를 무차별적으로 유출하는 한편, ‘워너크라이 2.0’ 랜섬웨어 공격을 통해 150여 개 국가에서 30만 대 이상의 컴퓨터를 감염시킴으로써 미국과 국제사회에 사이버 공격 능력을 과시(2017.5.)했다.
한국수력원자력의 직원 이메일을 통한 사이버 공격으로 원자력발전소 도면 등 기관 내부 자료와 청와대·국방부·국정원 작성문서로 추정되는 자료를 공개하여 국민 불안감 조성(2014.12.~2015.4.)했다.
방글라데시 중앙은행(2016.2.), 2017년 ‘워너크라이 2.0’ 랜섬웨어 공격(2017.5.) 등을 통해 핵개발 자금을 마련한 것으로 추정된다.
경제핵무력병진노선 시기 북한의 사이버 공격은 방송 통신은 물론 원자력 발전소 등 기반시설에 대한 공격과 청와대 등 정부기관에 대한 공격, 핵 투발수단과 기타 국방기술 관련 사이버 무력시위를 감행하고 핵개발 자금을 확보하는데 주력했던 것으로 분석된다.
둘째, 포괄적 경제제재에 대응한 사이버 공격이다.
2016년 3월, 북한은 UN 역사상 가장 강력한 것으로 알려진 대북제재 결의안 2270호의 통과로 무기수출과 경제교역을 통한 외화수급에 심대한 차질이 생기자 사이버 공격을 적극 활용했다.
방글라데시 중앙은행을 공격(2016.2.)해 8100만 달러를 탈취한 사건을 비롯해 ‘워너크라이 2.0’ 랜섬웨어 공격(2017.5.), 가상화폐거래소 공격 등 경제제재 회피를 위한 사이버 공격을 지속적으로 감행했다.
북한이 사이버 공격을 통해 매년 벌어들이는 수입은 최소 10억 달러로 추정되고 있으며 이는 북한의 연간 총 수출액의 1/3 수준이다.
◇ ‘사회주의경제건설총력집중’ 노선(2018.4.20~2021.1) 시기
북한 당국은 남북 및 북미대화에 앞서 대북전략을 탐색하고, 경제발전에 필요한 외화확보와 민생경제 활성화에 필요한 기술탈취를 목적으로 사이버 공격 감행했다.
기존의 전략노선인 경제핵무력병진노선의 승리를 선언하고 새로운 전략노선으로 사회주의경제건설총력집중노선을 제시하면서 경제제재 완화와 민생경제 활성화를 위해 사이버 공격을 적극 활용했다.
첫째, 대북전략 공략을 위한 사이버 공격이다.
2018년과 2019년 문재인 정부의 대북전략을 탐색하기 위해 통일부를 대상으로 수차례 해킹을 시도한 것으로 추정(2018, 630건: 2019, 767건)된다.
하노이 북미정상회담이 사실상 실패로 끝나면서 남북대화 역시 소강상태에 접어들자 북한은 국회 외통위, 정보위, 국방위 소속 국회의원들에 대한 사이버 공격(2019.9.)과 대북 전문가 집단에 대한 사이버 공격(2019.4.)으로 한국정부의 대북전략 탐색을 시도했다.
2020년 6월, 북한의 남북연락사무소 폭파로 남북관계가 더욱 얼어붙으면서 북한의 해커조직인 탈륨은 한국정부의 대응전략을 파악하기 위한 차원에서 남한 외교안보라인에 대한 사이버 공격 감행(2020.7.)했다.
둘째, 경제개발 관련 사이버 공격이다.
관광산업 활성화를 위한 원산갈마관광지구 건설과 주민보건을 위한 평양종합병원 건설 등 김정은의 민생경제 행보가 잇따르면서 건설사업에 필요한 외화를 획득하기 위해 빗썸 가상화폐거래소 공격(2018.6.) 및 일본 가상화폐 코인체크 자산 탈취(2018.1.)를 시도했다.
세째, 코로나19 대응 관련 사이버 공격이다.
북한은 코로나19가 전 세계적으로 확산됨에 따라 낙후된 의료체계를 고려하여 국경봉쇄와 주민들의 이동통제로 대응했다.
공식적으로 김정은 정권은 북한내 코로나19 감염자가 없다고 발표하였으나 코로나19 백신 및 치료제 기술에 접근하기 위해 존슨앤 존슨, 노바백스, 신풍제약 등 한국·미국·영국의 6개 제약사에 해킹을 시도했다.
또한 코로나19로 인한 국경봉쇄와 제재의 장기화로 외화수급과 자원조달에 차질이 생기면서 비글보이스를 비롯한 해킹 조직들의 금융기관(2020.2.)과 가상화폐거래소(2020.11.)에 대한 사이버 공격을 지속했다.
◇ 제8차 당대회 이후(2021.1.~현재)
2021년 1월 개최된 제8차 조선노동당대회에서 김정은이 국방력 강화와 국가경제발전 5개년계획의 실행을 천명하면서 핵무기 고도화를 위한 신기술 탈취, 민생경제 지원을 위한 의료정보 수집 및 남북대화 탐색을 위한 전방위적 사이버 공격 등이 발생했다.
첫째, 핵무기 고도화를 위한 신기술 탈취다.
3000t급 신형 잠수함 등 각종 함정을 건조하는 대우조선해양(2021.6.)과 원자력 추진 잠수함에 필요한 소형 원자로 개발에 관여해온 것으로 알려진 한국원자력연구원에 대한 해킹(2021.7.) 시도했다.
북한 해킹 조직인 김수키의 소행으로 알려진 한국항공우주산업(KAI)에 대한 해킹으로 인해 KF-21 보라매 전투기와 한국형 다목적 기동헬기인 수리온 헬기 관련 기술이 유출된 것으로 추정(2021.3., 2021.5)된다.
둘째, 코로나19 관련 의료정보 수집이다.
김수키가 서울대병원 서버 1대와 업무용 PC 62대를 해킹해 환자 정보 6969건 유출된 것으로 분석(2021.6)됐다. 서울대병원뿐만 아니라 다른 국가기관 및 병원에 대한 대규모 침해 시도가 있었던 것으로 미뤄 볼 때, 코로나19 관련 의료정보 탈취를 위한 공격으로 추정된다.
세째, 남북대화 탐색이다.
북한은 2021년 5월 21일 열린 한·미정상회담을 전후로 ‘스피어 피싱(spear phishing)’을 대대적으로 감행(2021.5)했으며 탈륨은 통일부 이메일을 사칭해 ‘월간북한동향’과 통일연구원의 ‘조선노동당 제8차 대회’ 분석 자료처럼 보이는 URL을 링크해 공격했다. 이들은 남북미 대화의 재개 가능성 등을 고려해 한국정부의 전략을 탐색하고자 사이버 공격을 감행한 것으로 추정된다.
민대호 기자 mdh50@koreareport.co.kr