북한의 사이버전 능력을 보여주는 5대 해킹 사건

Image copyright KNS/AFP/Getty Images

'작계 5015' 군사기밀 유출 사건 이전부터 북한은 상당한 사이버전 능력을 과시했다.

이른바 '김정은 참수작전'의 구체적인 내용이 들어있는 '작전계획 5015'를 비롯한 군사기밀 문서가 북한인으로 추정되는 해커에 의해 유출됐다는 것이 확인되면서 다시금 북한의 사이버전 능력에 관심이 쏠리고 있다.

북한은 적어도 6년 전부터 상당한 수준의 사이버 공격 능력을 보유한 것으로 보인다.

북한의 사이버전 능력을 보여주는 주요 해킹 사례를 되짚어 봤다.

스위프트 전산망 해킹

이 사건은 현재까지 국가 차원에서 사이버공격으로 은행털이를 한 최초의 사례로 알려져 있다.

2016년 2월, 방글라데시 중앙은행이 뉴욕 연방준비은행에 예치하고 있던 1억100만 달러(한화 약 1167억 원)가 해킹으로 인해 도둑맞은 사건이 발생했다.

해커들은 방글라데시 중앙은행의 서버에 악성코드를 심어 놓고 스위프트(SWIFT) 시스템 접속 정보를 훔쳐냈다.

스위프트 시스템은 전세계 은행 공동의 전산망으로 해외 송금에 주로 사용된다. 여기에 방글라데스 중앙은행 명의로 접속하는 데 성공한 해커는 뉴욕 연방준비은행에 필리핀과 스리랑카의 은행으로 자금 이체를 요청하는 메시지를 보냈다.

해커는 이체시킨 1억100만 달러 중 8100만 달러를 빼돌리는 데 성공했다.

이후 보안업체의 조사 결과 소니 픽쳐스 해킹을 주도한 라자러스(Lazarus) 그룹의 흔적이 발견됐다. FBI는 소니 픽쳐스 해킹이 북한의 소행이라고 발표한 바 있다.

'원전반대그룹'의 대외비 문서 유출

2014년 12월, 한국수력원자력(한수원)의 직원 이메일을 통해 악성코드를 유포하려는 시도가 발견됐다. 이후 '원전반대그룹'을 자칭하는 해커가 블로그와 트위터를 통해 한수원의 내부 자료를 유출했다.

원전반대그룹은 국내 원자력발전소의 설계도를 비롯하여 청와대, 국방부, 국정원 문서라고 주장하는 자료까지 공개했다.

당시 공개된 문서 중 하나에는 중국이 북한 지역을 미국, 러시아, 중국, 한국의 4개국이 분할 통제하는 방안을 제안했다는 내용이 담겨 있어 한국에서 적잖은 파장을 몰고 왔다.

검찰은 해커로 추정되는 인물이 북한 정찰총국 해커가 활동하고 있는 곳으로 알려진 중국 선양(瀋陽)시를 비롯한 특정 지역에서 접속했다고 발표했다.

당시 접속 지역으로 확인된 중국 요녕성의 IP로 2016년 1월에도 청와대를 사칭하는 이메일이 정부기관과 국책연구기관 등에 대량으로 발송된 일이 있었다.

소니 픽쳐스 해킹

2014년 11월, 북한 김정은 노동당 위원장을 희화화한 영화 '인터뷰'를 제작한 소니 픽쳐스가 해킹을 당해 회사 내부 자료가 유출되는 사건이 있었다. 소니에서 제작한 미개봉 영화가 유출됐고 임직원들의 연봉 자료까지 공개됐다.

2015년 1월, 제임스 코미 당시 FBI 국장은 북한이 소니 픽쳐스 해킹에 연관됐다는 결정적인 증거를 확인했다고 말했다. 해커들이 가끔씩 접속한 지역의 IP 주소를 숨기지 못한 경우가 있었는데 이렇게 드러난 IP 주소는 북한만 쓰는 것이란 주장이다.

문제의 영화 '인터뷰'는 2014년 12월 11일 미국 로스앤젤레스의 한 호텔에서 시사회를 가졌다 Image copyright AFP/Getty Images
이미지 캡션 문제의 영화 '인터뷰'는 2014년 12월 11일 미국 로스앤젤레스의 한 호텔에서 시사회를 가졌다

3·20 전산 대란

2013년 3월 20일, 한국의 시민들은 사이버공격이 얼마나 가공할 만한 위력을 가질 수 있는지를 확인했다.

이날 KBS, MBC, YTN을 비롯한 방송사와 신한은행, 농협을 비롯한 금융기관에서 3만2천 대에 달하는 컴퓨터의 하드디스크가 파괴됐다. 이로 인해 공격을 받은 방송사들은 방송에 차질을 빚었으며 금융기관들의 거래가 한동안 중단됐다.

보안업체들의 자체 조사 결과 악성코드가 백신 프로그램의 구성 파일로 위장해 기업 내부 백신 업데이트 서버를 통해 곳곳에 퍼졌다는 사실이 드러났다.

정부·민간 합동대응팀은 북한이 적어도 8개월 전부터 공격을 준비했다고 분석했다.

농협 전산망 마비 사태

2011년 4월 12일, 농협의 전산망 자료가 대규모로 손상돼 사흘 가까이 금융서비스 이용이 중단된 초유의 사태다.

검찰은 농협의 서버를 관리하는 업체 직원의 노트북이 북한 정찰총국이 배포한 악성코드에 감염되면서 농협 전산망을 공격했다고 발표했다. 일각에서는 북한의 소행이라는 결론에 근거가 부족하다는 비판도 있다.

늘 한국인과 함께 하는 북한 해커들

위와 같은 굵직한 해킹 사건들만 북한의 소행으로 추정되는 것은 아니다.

현금자동입출금기(ATM)를 해킹해 한국 시민들의 카드정보를 빼내기도 했고 한국의 전자상거래 업체의 고객정보를 해킹한 후 금품을 제공하지 않으면 이를 유포하겠다고 협박하기도 했다.

북한 해커들은 늘 한국인과 함께 하고 있다고 해도 과언이 아니다.