유럽연합(EU)이 북한에 대한 첫 '사이버 제재'를 이행한다.
입국금지와 자산동결 조치가 포함되며 EU 내 개인과 기관이 제재 대상에 자금을 제공하는 것 역시 금지된다.
EU는 30일(현지시간) 보도자료를 내고 사이버 공격에 가담한 개인과 기관을 대상으로 제재 이행을 결정했다고 밝혔다. 제재 대상에는 북한 조선 엑스포 합영회사 등 북한과 중국, 러시아 개인 6명과 기관 3곳이 포함됐다.
이날 발표된 EU이사회 결정문에 따르면 북한 조선 엑스포 합영회사는 2017년 '워너크라이 랜섬웨어' 공격을 비롯해 2017년 폴란드 금융 감독청 해킹, 2014년 소니 픽처스 엔터테인먼트 해킹, 2016년 방글라데시 중앙은행 8100만달러 사이버 갈취, 2016년 베트남 티엔퐁 은행 해킹 시도 등을 위해 금전적, 기술적, 물질적 지원을 제공했다.
EU이사회는 이 같은 사이버 공격이 EU와 회원국, 제3국에 '지대한(significant) 영향'을 줬다고 지적했다. 특히 '워너크라이 랜섬웨어'는 EU 내 기업을 포함한 세계 정보 시스템에 지장을 줘 경제 활동과 필수 서비스 유지까지 영향을 끼쳤다고 강조했다.
조선 엑스포 합영회사는 미국 법무부가 2018년 기소한 박진혁이 몸담았던 위장 회사다. 보안업계에선 이곳에서 활동하는 해킹조직을 '라자루스', '히든 코브라', '지능형지속위협(APT) 38' 등 명칭으로 부른다.
중국과 러시아 내 개인과 기관도 제재 대상에 올랐다.
'오퍼레이션 클라우드 호퍼' 사이버 공격에 가담한 중국인 2명과 네덜란드 화학무기금지기구(OPCW)에 사이버 공격을 시도한 러시아인 4명이 개인 제재 대상에 포함됐다. '오퍼레이션 클라우드 호퍼'를 지원한 중국 회사 한 곳과 러시아 정찰총국(GRU)은 조선 엑스포 합영회사와 함께 기관 제재 대상에 이름을 올렸다.
EU가 사이버 제재를 이행한 것은 이번이 처음이다. EU 측은 “이번 제재는 EU와 회원국을 겨냥한 악성 사이버 활동을 예방·억제하기 위한 EU 사이버 외교 수단 가운데 하나”라면서 “이번에 이 수단을 처음으로 활용하는 것”이라고 설명했다. EU이사회는 지난해 5월 사이버 공격에 따른 새로운 제재 체제를 구축했으며 회원국 만장일치를 거쳐 이번 제재를 결정했다.
한편, EU는 이날 북한 핵과 미사일 등 대량파괴무기(WMD) 개발에 관한 제재도 그대로 유지한다고 밝혔다. 여기에 가담하거나 제재 회피를 도운 개인 57명과 기관 9곳이 제재 대상에 포함된다.
이와 함께 EU는 국제연합(UN) 안전보장이사회 산하 대북제재위원회가 적시한 개인 80명과 기관 75곳에 대해서도 제재하고 있다.
오다인기자 ohdain@etnews.com