북한 핵무기의 새로운 돈줄은 '사이버공격'.."한국도 국가적 대응 체계 마련해야"

[IT동아 정연호 기자] 지난 2022년 5월, 한미정상회담에서 조 바이든 미국 대통령은 공동성명을 통해 ‘사이버 보안’을 12번 강조했다. 북한의 사이버 공격에 대한 위기감을 느끼는 세계 주요국들의 상황을 그대로 보여주는 장면이다. 북한의 사이버 공격은 핵･미사일 개발을 위한 주요 외화 수입원이 됐다는 분석이 나온다. 보안 전문가들은 국내외에서 북한의 사이버 공격이 심화하고 있지만, 한국은 여전히 국가적인 대응 시스템이 부재하다고 경고하고 있다.

북한의 사이버 공격은 2004년 5건에서 작년까지 300배 이상 늘어난 것으로 알려졌다. 2016년 국제사회의 대북제재로 외화 부족에 처하자 북한은 사이버 공격에 본격적으로 나선 것으로 분석된다.

최근 북한의 사이버 공격은 해외 금융기관과 암호화폐 거래소에 집중되는 양상을 보인다. 미국의 앤 뉴버거 백악관 사이버·신기술 담당 부보좌관은 “북한이 핵과 미사일 개발에 필요한 자금 3분의 1을 북한 출신 해외 IT종사자 노동과 불법적 암호화폐 탈취로 확보하고 있다”고 말했다.

아일랜드의 암호화폐 분석업체 코인컵은 2017년부터 2021년까지 북한이 탈취한 암호화폐 가치가 총 16억 달러(한화 약 2조 원)에 달한다고 밝혔다. 2021년 한해 동안 북한이 연루된 해킹 피해 액수는 약 4억 달러(한화 약 5000억 원)라는 통계도 있다. 북한이 석탄 수출로 연간 4억 달러를 확보하는 걸 고려하면 '암호화폐 탈취'가 북한에게 매우 중요한 수입원이 됐음을 알 수 있다.

미국은 북한의 사이버 인프라는 취약하지만, 사이버 공격 능력은 세계 최고 수준이라고 평가한다. 미국 하버드대 케네디스쿨 벨퍼센터(Belfer Center)가 발표한 ‘국가별 사이버 역량지표(NCPI) 2022’에 따르면, 북한의 사이버 금융해킹 능력은 전 세계 1위였다. 블록체인 업계에선 북한이 ‘크립토 슈퍼강자 (crypto superpower)’라고 불릴 정도로 암호화폐 해킹에 전문성을 갖추고 있다는 평가가 나온다.

북한의 주요 해킹 공격으로는 블록체인 게임 업체 액시 인피니티가 6억 달러(한화 약 7400억 원)를 탈취당한 사건이 있다. 이 사건의 배후로 북한 해커 조직인 라자루스 그룹이 지목되고 있다. 라자루스는 북한의 대남공작 조직인 정찰총국 소속 ‘121국’의 산하 조직 110호 연구소에 소속된 그룹이다.

최근 국내에선 북한의 사이버 공격이 암호화폐 거래소에 집중되고 있다. 국내 암호화폐 거래소 2위 업체인 빗썸이 700만 달러를 해킹당한 것도 북한의 소행으로 추정된다. 이외에도 2019년 북한은 업비트를 공격해 570억 원가량의 이더리움을 탈취한 것으로 알려졌다.

바이든 정부는 다양한 국제회의, 정상회담을 통해 북한 사이버위협에 대응한 국제 협력의 필요성을 주장하고 있다. 한국도 지난해 미국이 개최한 다국적 사이버 방어훈련인 사이버 플래그에 참여해 영국, 캐나다, 호주 등 20여 개국과 함께 국방 사이버 대응역량을 강화했다.

이외에도 미국은 암호화폐 탈취와 관련된 기업에 제재를 가하며, 불법자금을 회수하는 카운터 해킹으로 북한의 돈줄을 차단하고 있다. 미국 법무부는 액시 인피니티에서 해킹한 달러를 세탁하는 행위에 가담한 혐의가 있는 기업 ‘블렌더’에 제재를 부과했다. 또한, 미국 FBI는 라자루스 그룹이 액시 인피니티에서 훔친 암호화폐를 현금화하려는 시도를 파악하고 거래를 동결해 3천만 달러 이상을 회수했다고 밝혔다.

한국 정부도 북한의 사이버 위협에 대응하기 위해 법령을 제정하고 기업이 보안 사안을 위반하면 제재하며, 국제공조를 강화하는 상황이다. 국가정보원(이하 국정원)은 업비트, 빗썸, 코빗(Korbit), 코인원(Coinone)에 국내외 주요 사이버 위협정보를 제공하며, 이들이 위험에 대응하도록 하고 있다.

다만, 한국은 북한의 사이버 공격에 적극적으로 대응하지 않고 있다는 지적이 나온다. 국가안보전략연구원의 ‘북한의 암호화폐 공격과 미국의 대응’ 보고서는 “미국을 비롯한 국제 사회 주요국들 및 기관과 국제 협력으로 미비점을 보완해야 한다.”고 제언했다. 외교 전문가들은 초국가적으로 발생하는 문제에 대응하기 위해서, 동맹과 우호국의 다양한 기관과 전방위적 소통 창구를 가진 외교부가 사이버 공격에 대한 전략 커뮤니케이션 채널을 만드는 것을 주도해야 한다고 말한다.

관련 기업들이 해킹 피해에 대한 신고를 의무화하는 법령도 제정해야 한다는 지적도 나온다. 현재 민간의 경우엔 정보보호 관리체계 인증제도 의무 대상을 제외하고는 사이버 보안 의무를 강제하는 법적 기반이 없어, 기업의 자체 노력에만 의존하는 실정이라는 게 보안 전문가들의 지적이다.

국정원은 지난해 11월 국가사이버안보 기본법 입법 예고를 했고, 최근 제정과 관련한 추진 의지를 다시 밝혔다. 국정원의 민간 사찰을 우려하는 목소리가 나오지만 이 법을 통해 민간전문가가 참여하는 국가사이버안보위원회를 구성하고, 사고조사와 위협정보 공유 등을 수행하는 통합 대응 조직을 설치하며, 대통령실 중심으로 국가 사이버안보 체계를 정립하겠다는 계획이다.

글 / IT동아 정연호 (hoho@itdonga.com)