북한은 비대칭 전력으로서 사이버 부대를 증강해 왔다. 사이버 공격에는 공간과 시간의 제약이 없고 책임 추궁이 어렵다는 강력한 이점이 있어서다. 이에 김정은 북한 국무위원장은 2013년 '사이버전은 핵·미사일과 함께 군대의 무자비한 타격 능력을 담보하는 만능의 보검'이라고 말했다.
국방부가 발간한 '2020 국방백서'에 따르면 현재 북한 정부가 보유한 사이버 전사는 약 6800명에 달하는 것으로 추산된다. 북한은 국가 차원에서 사이버전 인력을 양성하고 사이버 부대를 운영한다.
북한 정부가 사이버 부대를 양성하기 시작한 건 1986년부터다. '군 지휘자동화대학'(2000년 김일 군사대학으로 명칭 변경)을 설립하면서 컴퓨터 전문요원 100여명을 양성한 것이 시초다. 1991년 걸프전에서 전자전의 중요성을 인식, 총참모부 직속으로 지휘자동화국을 두고 각 군단에는 전자전연구소를 창설했다.
1995년에는 중앙당 35호실 기초자료조사실을 꾸려 해외 국가기관, 단체, 개인에 대한 기밀자료를 수집했다. 1998년 사이버부대(121소), 1999년 적공국 204소를 설립해 사이버 심리전을 펼치기 시작했다. 2004년 중반부터는 중국 단둥을 거점으로 사이버 부대를 운영했으며 2010년 정찰총국을 창설하고 사이버 부대 병력을 3000명으로 증강시켰다. 2년 만인 2012년에는 전략사이버사령부를 창설해 병력을 2배로 확대했다.
한국컴퓨터정보학회가 발간한 '북한의 사이버조직 관련 정보 연구' 논문을 보면 북한 사이버 공격은 △북한 최고존엄 수호 △군사적 목적 △외화벌이 목적 △대남공작 목적 △최신 국방 및 자연과학기술 탈취 목적 등에 의해 감행된다.
북한 해킹조직은 크게 △라자루스 △APT38과 블루노로프 △APT37과 김수키 △안다리엘 등으로 구분할 수 있다. 'APT'는 지능형지속위협을 뜻하는 약어로 글로벌 보안업체 파이어아이가 명명하는 방식이다. 보안업체에 따라 블루노로프를 라자루스로 통합해 부르기도 한다.
라자루스는 주로 정부, 금융, 방송 분야를 공격해 왔다. APT38은 암호화폐거래소 등 외화벌이에 치중하는 행태를 보인다. 2016년 방글라데이 중앙은행을 대상으로 벌어진 8100만달러(약 900억원) 규모 해킹이 APT38 소행으로 분석된다. 북한 해킹조직을 추적해 온 곽경주 에스투더블유랩 이사는 “APT38이 올해 1월부터 국내 주요 업권을 대상으로 공격을 진행 중인 상태”라고 경고했다.
김수키는 라자루스와 함께 북한 해킹조직 가운데 가장 많이 언급되는 조직이다. 주로 탈북자를 겨냥한 정보 탈취성 공격을 수행하며 이를 위해 피싱 이메일 등 악성코드를 유포하는 수법을 쓴다. 한국원자력연구원 해킹 사건에서 김수키 소속 해커들 간 원자력연 직원 계정정보가 오간 정황이 확인됐다.
안다리엘은 국내 금융, 방산, 보안 솔루션 업체 등을 공격하며 올해 초부터 공격 시도 정황이 활발하게 탐지된다. 파이어아이는 한국 국방·우주 업체에 대한 북한 사이버 공격이 안다리엘에 의해 이뤄지고 있다고 분석했다.
오다인기자 ohdain@etnews.com