해킹으로 5년 새 4조 턴 北…핵미사일 개발비 절반 벌었다

기업 채용담당자 위장해 악성코드 심어
北에 7700억원 털리며 기업 존립 '휘청'
공무원, 프리랜서 등 수천명 IT부대 운영
공급망 따라 침투 '계단식 해킹' 선보여

#블록체인 게임 개발사 스카이마비스에서 일하던 한 엔지니어. 그는 지난해 이직 제의를 받고 채용 담당자로부터 검토 문서를 건네받았다. 문서에 담긴 것은 면접 조건이 아닌 '트로이의 목마' 바이러스. 채용 담당자가 북한의 해킹 공작원이었던 것이다. 해커들은 스카이마비스로부터 6억달러(약 7700억원) 규모의 가상자산을 훔쳤다.

이는 지난 5년 간 북한이 시도한 해킹 중 가장 규모가 큰 건으로 평가된다. 설립 4년차 개발사였던 스카이마비스는 존립이 흔들렸다. 알렉산더 라센 스카이마비스 CEO는 "도난 규모를 보면, 우리가 이뤄낸 것을 실존적으로 위협할 수준이었다"라고 털어놨다.

북한 해커는 어디에나 있다

11일(현지시간) 월스트리트저널(WSJ)에 따르면 지난 5년 간 전세계적으로 가상자산을 노린 북한의 해킹 건수와 규모가 급등한 것으로 나타났다. 블록체인 분석업체인 체인널리시스에 따르면 2017년 3000만달러에 불과했던 북한의 해킹 규모는 2018년 5억2000만달러로 급증한 데 이어 2022년에는 16억5000만달러까지 늘었다. 이 기간 북한이 디지털 절도로 벌어들인 돈은 30억달러 이상으로 추산된다.

미국 당국자들은 북한 탄도미사일 발사 프로그램 예산의 절반 가량이 이 자금으로 조달되고 있다고 전했다. 관련 예산 3분의1을 해킹으로 벌어들이고 있다는 이전 추정치보다 급증한 것이다.

박현준 경찰청 국가수사본부 안보수사국 첨단안보수사계장이 지난 7일 서울 서대문구 경찰청에서 북한 해킹메일 유포사건 관련 수사 상황을 브리핑하고 있다. 경찰에 따르면 북한 해킹조직은 통일·안보 전문가를 사칭하며 윤석열 정부 출범에 맞춰 작년 4월부터 7월까지 전현직 고위 공무원, 대학 교수, 외교통일안보국방 전문가 등 150명에게 피싱 사이트 접속을 유도하고 계정정보를 탈취하는 악성 이메일을 발송했다. 뉴스1

미 당국에 따르면 북한은 러시아, 중국 등 전 세계에 수천명의 IT 부대를 운영하고 있다. 이들은 가짜 정부 공무원, 캐나다 IT기업 종사자, 일본 프리랜서 블록체인 개발자 등으로 활동하고 있다. 취업을 위해 화상 인터뷰를 하거나 반대로 스카이마비스 사례처럼 잠재적인 고용주로 위장하기도 한다. 2년 전부터는 북한과 연계된 해커들이 미국 병원에 랜섬웨어를 감염시키고 돈을 벌고 풀어주는 사례도 늘어나고 있다.

北, 계단식 해킹도 최초 시도

북한의 해킹 수법은 갈수록 대담하고 정교해지고 있다. 기업이 보안을 강화하면 북한 해커들이 이를 뚫기 위해 새로운 기법을 개발하는 모습이 전통적인 '군비 경쟁'과 같다는 평가도 나온다.

북한은 올해 초 기업의 공급망을 따라 차례로 보안망을 뚫는 '계단식 공격'을 펼쳤다. 은행, 브로커, 헤저펀드 등을 대상으로 트레이딩 소프트웨어를 개발해 판매하는 회사 '트레이딩테크놀로지'가 그 대상이었다. 트레이딩테크놀로지에 설치된 악성코드는 다른 소프트웨어 개발사인 3CX로 옮겨갔고, 3CX의 고객사인 암호화폐 거래소 등으로 전파됐다. 보안 전문가들은 이 공격을 최초의 '계단식 공격' 사례로 보고 있다.

에린 플란테 체인널리시스 부사장은 "북한은 암호화폐에 정말 일찍 뛰어들었고, 초기에 암호화폐를 가장 잘 사용하는 이들 중 하나였다"고 평가했다.

각국이 사이버안보의 초점을 '국가 대 국가 정보전' 맞춰온 만큼 북한의 변칙성 공격에는 속수무책으로 당하고 있다. 안 노이버그 백악관 사이버·신흥기술 부보좌관은 "대부분의 국가 사이버 프로그램은 전통적인 지정학적 목적을 위한 스파이 활동이나 공격 능력에 초점을 맞추고 있는 반면 북한은 엄격한 국제 제재를 피하기 위한 절도를 강화하고 있다"고 했다.

유엔은 2020년 보고서를 통해 북한 정권의 수익창출 해킹에 대해 "저위험-고보상이며 탐지하기 어려운 것으로 입증됐다"며 "점점 더 정교해져 예방 노력을 좌절시킬 수 있다"고 분석했다.

김인엽 기자 inside@hankyung.com