北 사이버전사 1만명… 중학생 수학영재 뽑아 해커 양성
■ 구멍 뚫린 사이버안보
평소엔 소프트웨어 기술자 행세
특별기획팀 = 허민 전임기자, 박준희·나주예 기자, 안수교 인턴기자
북한 당국과 연계된 것으로 의심되는 국제적 해킹그룹을 비롯해 북한의 사이버 전력 규모가 해커와 지원인력을 포함해 최대 1만여 명에 이를 수 있다는 분석이 제기되고 있다. 북한의 사이버 전력은 과거 6000∼7000명 정도로 알려진 것보다 증가하고 있으며, 해킹그룹별로 1000명 이상씩 운영되는 곳도 있는 것으로 파악됐다.
12일 문화일보 취재를 종합하면 북한 당국은 김일성군사종합대학, 김일정치군사대학 등에서 매년 최소 수백 명의 사이버·정보기술(IT) 인력을 배출하고 있다. 따라서 해킹그룹에 충원되는 인력도 그만큼 증가하고 있는 것으로 관측된다. 미국 당국은 당초 북한의 사이버 전력 규모를 6000∼7000명 정도로 추산한 바 있다. 그러나 임종인 고려대 정보보호대학원 교수는 “현재는 1만 명 수준으로 늘었을 것으로 본다”며 “북한은 중학교 학생들부터 (수학·사이버) 영재를 선발하고, 군 복무기간도 10년 이상으로 길기 때문에 당초 수백 명이던 사이버 전력이 이렇게 늘어난 것”이라고 말했다. 또 평소 일반 소프트웨어 기술자로 활동하는 인력도 당국의 지시에 따라 언제든지 사이버 공작 요원으로 활동할 수 있는 것으로 전해졌다.
북한 연계 추정 해킹그룹의 규모도 서서히 드러나고 있다. 이미 최소 6개 이상의 북한 연계 추정 해킹그룹이 국제사회에서 포착된 상태다. 유엔 대북제재위원회 전문가 패널 보고서에 따르면 미국 정부는 이들 해킹그룹 가운데 ‘안다리엘(Andariel)’은 1600명, ‘블루노로프(Bluenoroff)’는 1700명의 인력을 보유한 것으로 파악하고 있다. 그러나 이들의 상위그룹으로 추정되는 ‘라자루스(Lazarus)’는 구체적인 규모조차 파악되지 않는 실정이다.
http://www.munhwa.com/news/view.html?no=2021081201030130130001&w=ns
86년 김정일 지시로 ‘미림대학’ 설립…사이버전사 체계적 양성
■ 구멍 뚫린 사이버안보 – 北, IT인력 양성 어떻게
매년 수십~수백명 해커 배출
김정은 “정찰총국 전사 있으면
그 어떤 제재도 뚫을 수 있어”
북한은 전 세계적으로 인터넷이 보편화되기 이전인 1980∼1990년대부터 체계적으로 정보기술(IT)이나 사이버 분야 인력을 양성해 왔다. 특히 이 과정에서 김정일(왼쪽 사진) 국방위원장이나 김정은(오른쪽) 국무위원장 등 최고지도부에서 사이버 전력 양성을 강조하며 사이버 공작을 준비해온 것으로 알려졌다.
사이버 안보 관련 전문가들은 현재 북한의 사이버 공작에 관련된 인력 규모를 최대 1만여 명으로까지 추산하고 있다. 정찰총국을 비롯해 산하 기관 또는 해킹그룹에서 ‘사이버 전사’로 활약하는 북한의 IT 및 사이버 인력은 북한의 사이버 관련 대학에서 체계적인 교육을 통해 배출되는 것으로 알려졌다.
북한의 대표적인 사이버 인력 양성기관은 김일성군사종합대학이다. 평양 만경대 구역에 있는 이 대학은 1956년 설립됐는데 인민군 총참모부 소속으로, 북한 최고의 종합군사학교다. 김일성군사종합대학은 사이버 전사 양성을 위해 1986년 5년제의 전산과정을 신설, 이후 매년 약 수백 명의 사이버 전사를 배출하는 것으로 알려졌다.
김일성군사종합대학이 전산과정을 신설하던 해에 김 국방위원장은 새로운 사이버 인력 양성 기관 설립을 지시했다. 평양 미림동에 설치돼 일명 ‘미림대학’으로 불리는 ‘지휘자동화대학’이다. 5년제로 설립된 이곳은 지난 2000년 ‘김일정치군사대학’으로 명칭이 변경됐다고 한다. 이곳은 매년 100여 명의 학부 졸업생을 배출하고, 3년제의 대학원 연구 과정이 설치돼 있으며, 학생들은 졸업 후 정찰총국 산하 기관으로 배치되는 것으로 알려졌다.
북한 연계 해킹그룹을 총지휘하는 정찰총국 산하에도 사이버 인력 양성 기관이 설치돼 있는 것으로 알려져 있다. 국가안보전략연구원 자료에 따르면 정찰총국 산하에는 1997년 신설된 모란봉대학이 운영되고 있다. 전산정보 처리, 암호해독, 해킹 등 사이버 공작 양성부서인 이곳은 매년 30여 명의 신입생을 선발하고 입학 당시부터 학생들에게 인민군 ‘중위’ 계급을 부여하고 있다. 김정은 국무위원장도 사이버인재 양성을 강조한 것으로 전해졌다. 그는 2013년 정찰총국을 방문해 “IT 전문가, 정찰총국 인재 같은 용맹한 전사들만 있으면 그 어떤 제재도 뚫을 수 있다”고 말한 것으로 전해졌다.
박준희 기자 vinkey@munhwa.com
http://www.munhwa.com/news/view.html?no=2021081201030703019001
北정찰총국, 최소 6개 해킹그룹 관리…백신 제약사도 ‘타깃’
기술정찰국-110연구소 등점 조직 형태로 조직 운영
블루노로프, 美은행 돈 탈취 ‘靑 디도스 공격’ 라자루스 김정은 다룬 美영화사 뚫어
안다리엘, 인프라시설 노려 킴수키, 정부기관 등에 공작
해외 금융기관서 빼낸 외화 핵무기·미사일 개발비 사용
특별기획팀 = 허민 전임기자, 박준희·나주예 기자, 안수교 인턴기자
북한이 배후 세력인 것으로 추정되는 해킹그룹은 그 존재 자체가 불확실하지만, 이들로부터 해킹 피해를 입은 국제사회에서 서서히 꼬리가 드러나고 있다. 국제사회는 북한이 배후로 추정되는 해킹그룹을 총지휘하는 기관으로 ‘정찰총국’을 꼽고 있으며, 북한 당국이 체계적으로 이들 해킹그룹을 관리하는 것으로 판단하고 있다.
12일 유엔 안전보장이사회 산하 대북제재위원회 전문가패널 보고서와 국내 사이버 안보 전문가 등에 따르면 북한과 연계된 해킹그룹은 국제사회의 감시망에 포착된 것만 최소 6개에 이른다. 이들은 한국뿐만 아니라 유럽, 미국, 동남아시아, 일본 등에서 갖가지 사이버 공작을 벌인 것으로 의심받고 있다.
북한과 연계된 것으로 보이는 대표적인 해킹그룹은 ‘라자루스(Lazarus)’다. 정체를 감추고 활동하는 해킹그룹의 특성상 통상 특정 해킹그룹의 명칭은 감시기관에 의해 붙여지는데, 라자루스의 경우 APT38이나 히든코브라(Hidden Cobra)로 불리기도 한다. 라자루스는 최소 2007년쯤부터 사이버 공작 활동을 벌이기 시작한 것으로 파악되고 있다. 주로 피싱 기법을 기반으로 한 APT 공격(Advanced Persistent Threat, 미리 정해 둔 표적의 정보를 모아 약점을 파악한 뒤 공격하는 방식으로 ‘지능형 지속 위협’으로 불린다)을 활용하는 것으로 알려졌다.
라자루스는 2009년 대규모 좀비PC를 동원해 청와대 등 국가기관 사이트들에 디도스(DDoS·분산서비스거부) 공격을 실행한 조직으로 알려져 있다. 그 외에도 김정은 북한 국무위원장을 풍자한 영화 ‘인터뷰’를 제작한 미국의 소니픽처스를 해킹한 세력으로도 지목됐다. 또 라자루스는 국내 가상화폐거래소에 대한 해킹을 시도하고, 지난해 코로나19 대유행이 발생하자 코로나19 백신 개발 관련 제약사 등에 대해서도 해킹을 시도한 것으로 전해졌다.
미국 정부는 북한과의 연계가 의심되는 또 다른 해킹그룹 ‘안다리엘(Andariel)’과 ‘블루노로프(Bluenoroff)’를 라자루스의 하위 그룹으로 보기도 한다. 안다리엘의 경우, 2015년쯤 그 존재와 활동이 처음 포착된 해킹그룹이다. 이들은 한국 정부와 인프라 시설에 대한 사이버 공격을 실행하는 것으로 알려졌다. 또 블루노로프의 경우, 2014년쯤 포착된 해킹그룹으로 주로 금전적 이득을 위한 사이버 공작을 담당하는 것으로 파악되고 있다. 블루노로프는 외국 금융기관을 공격해 외화를 확보하고, 이들이 거둔 수익 중 일부는 북한의 핵무기와 탄도미사일 프로그램 지원에 활용되는 것으로 전해졌다.
실제로 블루노로프는 2016년 방글라데시 중앙은행이 개설한 미국 뉴욕 연방준비은행 계좌로부터 8100만 달러(약 937억 원)를 빼돌린 것으로 지목됐다. 이를 비롯해 2019년까지 한국과 인도·파키스탄·터키·멕시코 등의 국가에서 은행 전산망을 해킹해 11억 달러(약 1조2700억 원) 이상을 탈취 시도한 혐의를 받고 있다.
‘킴수키(Kimsuky)’ 역시 북한과 연계된 것으로 파악되는 대표적인 해킹그룹이다. ‘탈륨(Thallium)’으로도 불리는 이 그룹은 주로 국가 기반시설이나 정부기관, 탈북자, 정치인 등을 대상으로 사회적 혼란이나 정보 수집을 위한 사이버 공작을 벌이는 것으로 분석되고 있다. 킴수키는 2014년 한국수력원자력 직원에게 피싱 메일을 발송하는 수법으로 한수원 자료를 탈취해 간 것으로 지목됐다. 이 외에도 미국 정부가 지난해 새로 탐지한 ‘비글보이즈(BeagleBoyz)’나 킴수키와 연관성이 의심되는 ‘코니(Konni)’ 역시 북한과 연계된 해킹그룹으로 꼽힌다.
국제사회에서 암약하는 이들 해킹그룹은 북한 국무위원회 직속의 정찰총국이 총지휘하는 것으로 파악되고 있다. 유엔 대북제재위 전문가 패널은 지난 4월 공개된 보고서를 통해 “북한 정찰총국에 종속된 라자루스나 킴수키 같은 사이버 위협 행위자에 의한 사이버 공격을 계속 조사하고 있다”고 밝혔다. 정찰총국은 제3국인 기술정찰국과 그 산하의 110연구소 등을 통해 점조직 형태의 해킹그룹을 지휘하는 것으로 파악되고 있다.
익명의 한 안보 전문가는 “북한의 사이버 인력은 주로 중국 등 해외에서 활약하는 경우가 많다”며 “북한 당국의 관리가 느슨해지면 이들이 일탈 행동을 벌이는 경우도 있는 것으로 알고 있다”고 말했다.
http://www.munhwa.com/news/view.html?no=2021081201030742000001