| bibo:abstract |
최근 김정은 정권은 이번 년도 들어서만 총 22차례에 이르는 미사일 발사 실험을 감행하였고, 사이버 공간에서 북한이 구사하는 위협도 더 대담해지고 있다. 현재까지 알려진 바에 의하면, 북한이 사이버 공간에서 벌여온 사이버 공격은 2004년부터 시작되어 2021년까지 300배 이상 늘어났다. 사실상 북한은 미사일과 핵 실험보다 사이버 공간에서 훨씬 더 빈번하게 공격을 일삼고 있는 셈이다. 북한의 사이버 위협은 특히 코로나 국면에서 급증하기 시작했는데, 이미 2021년 美 국가정보장(Director of National Intelligence, DNI)은 북한의 사이버 탈취가 세계 곳곳의 금융기관과 가상화폐를 타깃으로 삼고 있고 그렇게 탈취한 자금을 북한의 핵과 미사일 프로그램의 운용에 사용하고 있다고 언급한 바 있다.
최근 앤 뉴버거(Anne Neuberger) 美 사이버·신기술 담당 국가안보 부보좌관(Deputy National Security Advisor, Cyber & Emerging Technology at National Security Council)도 북한이 핵과 미사일 개발에 필요한 자금의 1/3을 북한의 해외 IT 종사자들의 노동과 불법적 가상화폐 탈취를 통해 확보하고 있다고 언급했다. 북한은 2018년부터 30개국으로 부터 ‘애플제우스(AppleJeus)’라는 악성코드를 통해 3억 1640만 달러의 가상화폐를 탈취했고, 북한이 석탄 수출을 통해 연간 4억 달러를 확보하고 있다는 점을 감안하면 가상화폐 탈취는 북한에게 있어 대단히 중요한 수입원임을 알 수 있다.
이번 해 4월 초 유엔 안전보장이사회 산하 대북제재위원회 전문가 패널은 북한이 2020년부터 2021년 중반까지 북아메리카, 유럽, 아시아에서 가상화폐 5천 만 달러 이상을 절취한 것으로 보고한 바 있다. 10월 18일 알레한드로 마요르카스(Alejandro N. Mayorkas) 美 국토안보부(Department of Homeland Security) 장관도 북한이 지난 2년간 사이버 탈취를 통해 10억 달러가 넘는 가상화폐와 경화를 대량살상무기 프로그램에 사용했다고 언급했다. 美 국토안보부(Department of Homeland Security) 산하 ‘사이버보안 및 인프라 보안국(Cybersecurity & Infrastructure Security Agency, CISA)’은 북한의 악의적인 사이버 활동을 ‘히든코브라(Hidden Cobra)’라는 이름으로 일컫고 있다. 전 세계 미디어, 항공, 금융기관과 주요 인프라에 대한 북한의 사이버 공격을 특정한 이름을 붙여 묘사하는 것은 그만큼 북한의 사이버 활동이 미국의 사이버 대응 범위에서 중대하게 다뤄지고 있음을 보여준다.
이러한 일련의 사실은 북한의 사이버 위협에 대해 국제사회가 공세적으로 대응하는 일이 곧 북한의 핵과 미사일 도발 억지에 중대한 영향을 줄 수 있음을 말해준다. 따라서 미국은 FBI, CISA, 국토부, 재무부 등 여러 정부부처를 통해 북한의 사이버 공격 정보를 지속적으로 제공하고 있고, 2022년 4월 출범한 미 국무부 산하 ‘사이버 공간 및 디지털 정책국(Bureau of Cyberspace and Digital Policy, CDP)’은 동맹과 우호국들에게 북한의 사이버 위협에 대응하는 교육 시리즈를 발간하고 있다.
I. 최근 북한의 사이버 공격 현황
북한이 수행한 사이버 공격은 빈도와 규모 차원에서도 급증하고 있고 공격의 형태도 다양해진 만큼 북한이 구사하는 사이버 위협의 배후와 형태도 많이 드러나 있다. 라자루스그룹(Lazarus Group)과 김수키(Kimsuky)를 비롯하여 북한의 정찰총국 3국과 5국, 인민무력부 총참모부, 국가보위성 4국과 6국이 현재까지 알려져 있는 북한의 사이버 공격주체들이고, 해외의 다양한 IT 업체와도 불법적으로 공조하고 있는 북한發 사이버 위협은 한국을 넘어 세계적 수준에서 대규모 피해를 양산하고 있다. 북한의 해커조직 라자루스가 알려진 것은 2016년 방글라데시 은행에 대한 북한의 해킹 시도가 계기가 되었다. 북한이 아시아 전역의 다양한 범죄조직, 브로커, 자선단체, 카지노 등과 공조하거나 은행의 가짜계정을 통해, 그리고 온라인 게임이나 도박 프로그램 등을 활용하거나 다양한 사회공학(social engineering) 기법을 통해 매우 정교한 사이버 위협을 구사하고 있었다는 사실이 드러난 것이다. 최근 미국의 여러 정부 부처가 북한이 구사하는 사이버 위협을 반복적으로 언급하며 강력한 대응책 마련을 주문하고 있는 데에는 북한이 구사하는 사이버 위협이 미국의 다른 적성국, 테러조직이나 범죄조직이 모방할 수 있는 일종의 교범이 될 수 있기 때문이다.
북한은 2000년대 초부터 취해온 군사기관이나 방산기업, 금융망, 에너지 시설 등 국가를 대상으로 한 핵심 인프라 공격이나 정보탈취 외에도 국제사회의 제재로 인해 경험하는 경제적 피해를 만회하고 핵과 미사일 개발을 위한 자금을 확보하는 효과적인 수단으로서 사이버 공간을 활용하고 있다. 특히 코로나19 팬데믹을 계기로 이전부터 해오던 정보탈취와 멀웨어 공격 외에도 북한의 사이버 공간에서의 불법적인 경제활동이 한층 급증했다. 중국과 러시아의 장기간 대북 국경 봉쇄로 인해 이 지역에서의 암시장을 통한 북한의 무역활동이 불가능해졌다. 이에 따라 중국으로부터의 필수소비재 수입이 중단되고 관련 재화 가격이 급등하였으며 이로 인한 경제적 타격을 만회하기 위해 북한이 사이버 공간을 통해 자금원 확보책을 마련한 것이다.
코로나19 팬데믹 시기에 북한은 다양한 정교한 사이버 기술을 활용하여 암호화폐 거래소나 SWIFT와 같은 국제결제시스템을 해킹하여 디지털 자금을 탈취하고 있다. 최근 북한을 블록체인 전문가들이 ‘크립토 슈퍼강자(crypto superpower)’로 묘사할 정도로 북한의 가상화폐 해킹과 탈취를 통한 다양한 자금세탁 활동이 세계적 수준에서 대규모로, 광범위하게 펼쳐지고 있다. 미국 뉴욕 남부지방법원은 10월 12일 대북제재법인 국제비상경제권법(IEEPA) 위반 혐의로 북한에게 블록체인 기술을 넘긴 가상화폐 기업 이더리움 출신 전문가 버질 그리피스에게 징역 5년 3개월 형을 선고하기도 했다.
최근 미 재무부(Department of Treasury)는 2022년 8월 8일 북한이 해킹으로 탈취한 약 4억 5천 500만 달러의 가상화폐의 세탁에 가담한 믹서(mixer) 기업 토네이도캐시(Tornado Cash)를 제재 대상에 올렸다. 믹서는 가상화폐를 쪼개서 자금의 거래흐름을 추적하기 어렵게 만들어 자금의 소유권을 익명화시키는 자금세탁 서비스이다. 북한의 해킹조직인 라자루스 그룹은 토네이도캐시가 제공하는 이러한 자금세탁 서비스를 통해 지난 4월에만 탈취한 4억 5천만 달러를 자금세탁했다. 이 액수는 가상화폐 역사상 가장 큰 액수의 탈취를 통해 세탁한 금액이다. 이 밖에도 북한이 이용하고 있는 가상화폐 세탁 업체는 블랜더(Blender)를 포함하여 다수이고, 현재 이러한 믹서들은 미국의 제재 리스트에 올라와 있다. 북한은 6월에는 ‘하모니 브릿지’ 블록체인 플랫폼을 해킹하여 가상화폐를 탈취했고 8월에는 가상화폐 기업 ‘노마드’를 탈취하여 토네이도캐시를 통해 자금을 세탁하는 등 가상화폐 기업이 북한의 주요 공격 대상이 되고 있다.
최근 마이크로소프트(Microsoft)와 링크드인(LinkedIn)의 위협분석 팀도 북한이 미국과 영국 및 러시아의 미디어, IT 기업, 국방, 항공우주 산업을 타깃으로 사이버 공격이 증대하고 있는 상황을 경고한 바 있다. 이미 북한은 2009년부터 원격작업 프로그램이나 PDF 리더와 같은 문서 변환 소프트웨어의 설치 프로그램 등 다양한 오픈소스 소프트웨어(open source software)를 이용하여 적성국의 정치, 경제, 군사정보를 수집해왔다고 밝혔다. 북한은 링크드인과 같은 전문가 네트워크에 채용 모집 정보를 게시하여 해당 사이트의 유저와 일종의 신뢰구축을 형성하고 이후 WhatsApp과 같은 채팅앱을 통해 백도어가 숨겨진 문서를 공유하는 등 매우 섬세한 사회공학적 수법을 동원하고 있다는 것이다.
II. 우리의 대응: 진전되고 있는 현재의 노력과 앞으로의 과제
한국은 사이버 보안 능력과 관련하여 법, 기술, 조직, 역량개발, 협력의 5개 영역을 평가하는 국제전기통신연합(International Telecommunication Union, ITU)의 글로벌사이버보안지수 (Global Cybersecurity Index, GCI) 평가에서 4위를 기록할 만큼 최상위의 사이버 보안 체계를 갖추고 있다. 하지만 그동안 우리의 사이버 위기대응 체계는 국방, 공공, 민간의 각 영역에서 사이버 위협에 대응하는 분절된 대응체계였고, ‘defense by denial’로 묘사되는, 수세적 차원의 방어 중심 사이버 안보 정책을 유지해왔었다. 현재 우리 정부는 급증하는 사이버 위협에 대해 그동안 유지해오던 분산된 위기대응 능력을 통합하고 사이버 위협에 공세적으로 대응하기 위해 사이버 안보 분야의 컨트롤타워 기능을 수행할 사이버안보비서관실을 국가안보실에 신설했고, 국가안보실을 중심으로 체계적인 사이버 위기 대응체계와 관련 법제도를 마련해 나가기로 천명한 바 있다. 또한 우리 정부는 외부로부터의 사이버 위협에 대한 우리의 억지력 증진을 위해 미국을 포함하여 주요국과 사이버 안보동맹을 체결하고, 사이버 상호방어 개념을 명문화하며, 유사입장국들(like-minded countries)과 국제적인 연대를 강화하여 공동으로 위협에 대응할 방안을 모색하고 있다.
최근 한미와 일본은 북한의 멀웨어 공격, 가상자산 탈취 및 사이버 첩보활동 등 북한이 구사하는 다양한 사이버 위협에 대해 공동으로 대응하기 위한 다양한 논의를 시작했다. 10월 7일 김건 외교부 한반도평화교섭본부장, 성 김 美 국무부 대북특별대표와 후나코시 다케히로 일본 외무성 아시아·대양주국장 등 한미일 북핵 수석대표들은 3자 회의를 통해 북한의 핵과 미사일 개발 자금을 차단시키기 위한 노력의 일환으로 한미일이 북한의 가상화폐 탈취에 대응하는 활동을 배가할 방안도 협의했다. 최근 군 차원에서는 한미 간 사이버 정보공유 활성화와 정기적 위협평가 및 합동군사훈련 등 사이버 안보협력의 다양한 의제가 논의, 기획되고 실제 실행을 앞두는 등 상당한 진전이 이미 이루어지고 있다. 그러한 대표적인 예로 한국 국방조사본부와 미 공군 특수수사국은 12월 사이버범죄대응 공동훈련을 계획하고 있고 사이버 범죄 관련 한미 군 수사기관 간 협력을 강화하기로 했다. 또한 최근 우리 공군도 미 공군·우주군과의 다자 연합훈련, 한·영, 한·호주 우주협력합의서 체결 및 세계항공우주 지휘관 회의 참석을 계획하는 등 동맹 및 우방과의 우주 안보협력 강화에 적극적인 행보를 보이고 있다.
이 밖에도 한국은 지난 5월 아시아 국가 중에서는 최초로 유럽의 사이버 안보 기구인 나토 사이버방위센터(Cooperative Cyber Defence Centre of Excellence, CCDCOE)에 非나토 회원국으로서 가입하여, 핀란드, 오스트리아, 스웨덴, 스위스와 함께 사이버방위센터의 5개 기여국이 되었다. 이미 우리는 나토사이버방위센터가 주최하는 세계 최대 규모의 사이버 모의군사 훈련인 ‘라키드쉴드훈련(Exercise Locked Shields)’에 2년 연속 참가해왔고, 이번의 회원국 가입을 계기로 나토와의 사이버 안보협력이 한층 더 강화될 것이다. 특히 최근 한미 간에는 사이버 모의훈련과 전략마련을 위한 교류가 빠르게 진전되고 있다. 2022년 8월 18일 美 사이버 사령부와 업무협약을 체결한 한국의 사이버작전사령부(Cyber Operations Command)는 2022년 10월 24일부터 28일까지 미국 버지니아에서 美 사이버사령부(U.S. Cyber Command)가 이끄는 다국적군 사이버 군사훈련인 ‘사이버플래그(Cyber Flag)’에 처음으로 참가했다. 2011년부터 연례적으로 개최된 이번 사이버플래그 훈련에는 25개국에서 275명의 사이버 전문가가 참가했고, 한국의 이번 훈련에의 참여를 계기로 양국은 앞으로의 한미 사이버훈련 계획을 구체화하기로 했다.
북한을 포함한 외부로부터의 사이버 위협에 대응하기 위한 위와 같은 우리의 다양한 노력이 결실을 맺기 위해서는 앞으로 해결해야 할 과제와 넘어야 할 장애가 더 많다. 현재 국정원과 국방부가 사이버 보안 및 방위와 관련된 실제 역할과 책임을 담당하고 있으나 사이버 안보와 관련된 한국의 동맹 및 우방과의 안보협력을 다차원적으로 지원하고 관련된 다양한 외교정책 이니셔티브를 발굴하기 위한 외교부의 역할이 어느 때보다 필요한 시점이다. 우리의 사이버 안보 역량의 증진을 위해 특히 외교부가 기여할 수 있는 부분은 차후 사이버 위협을 포함한 다양한 하이브리드 위협에 대응하는 데에 가장 중요한 ‘전략커뮤니케이션(strategic communication) 체제’를 구축하는 일이다. 사이버전과 허위조작정보의 유포(disinformation campaign) 등 사이버 공간에서 발생하는 위협을 포함하여 초국가적, 복합적, 동시다발적으로 일어날 수 있는 위기에 범부처가 효과적으로 대응하기 위해서는 정보공유와 위기대응 메시지 및 의사결정을 효과적으로 동원하는 데에 필수적인 전략커뮤니케이션 체제 및 위기커뮤니케이션 체제를 구축해야 한다. 이러한 작업에서 동맹과 우호국 및 다양한 국내외 기관과 전방위적인 커뮤니케이션 네트워크를 구비하고 있는 외교부가 그러한 전략커뮤니케이션 체계를 마련하는 데에 있어 주도적인 역할을 취할 수 있다.
이번 러시아-우크라이나 전쟁의 사이버전이 여실히 보여주듯이 사이버 공격과 방어 및 사이버 정보심리전 수행 모두에서 우크라이나와 서방의 정부는 마이크로소프트, 구글, 스페이스X 등 IT 기업과 민간 전문가와 프로그래머 등과 긴밀하고 신속하게 공조, 협력하여 러시아와의 사이버전에서 우크라이나가 공세적인 위치를 유지하는 데에 지대하게 기여했다. 우리의 경우 민간에 비해 대응역량이 부족하고 대응 속도가 느린 정부기관과 공기업은 외부로부터의 사이버 공격의 빈번한 타격 대상이 되고 있고, 미디어, 은행, 병원, 방위산업 등 대부분의 민간 기관은 정부의 감시와 통제 밖에 있으므로 외부로부터의 사이버 공격에 대한 현황 파악이 쉽지 않다. 반면 외부 인터넷 네트워크와 차단된 북한은 사이버 역량의 대부분을 공격력을 증진하는 데에 쏟을 수 있다.
이러한 상황에서 평시 민간과 정부 간의 사이버 위협 대응 협력을 위한 빈번한 정보교류, 상호지원 및 인력 파견, 공동연구와 국제협력 공동 진출 등이 획기적으로 활성화될 필요가 있다. 사이버 위협에 대응하는 민간과의 협력은 전시와 위기 시에 갑자기 가능해지는 것이 아니라 평시 사이버 안보환경에 대한 정보공유와 공동된 위협인식 및 사이버 공격 대응에서의 실제 긴밀한 공조가 지속적으로 이루어지고 있는 바탕에서 가능하다. 따라서 우리 정부는 민간과의 공조와 협력을 도모하기 위해 민간과 평시 신뢰할 수 있는 파트너십과 연대를 강화하고 공통된 안보관을 구축하기 위한 다양한 교류, 전략토론과 공동훈련의 장을 마련하는 데에도 많은 노력을 기울여야 한다. 정책결정권자들이 이 차가운 진실을 깨닫게 만드는 것이야말로 중국과 러시아를 포함한 주변 당사국들의 가장 시급한 과제일 것이다.
*붙임 참고
|
