北 '짝퉁 네이버'로 이메일 해킹…위조 여권 만들어 위장취업 시도
한국을 타깃으로 한 북한과 중국, 러시아 해커 조직의 사이버 공격이 부쩍 늘었다. 올해 상반기 국가정보원이 탐지한 사이버 공격만 하루 평균 137만 건에 달한다. 지난해 같은 기간보다 15%가량 늘어난 수치다. 불특정 다수를 대상으로 한 정보 탈취 시도가 이어지고 있어 각별한 주의가 요구된다.

○“해킹은 북한의 외화벌이 수단”

국정원 국가사이버안보센터는 19일 이런 내용을 골자로 한 ‘상반기 사이버 위협 실태 및 대응 방안’을 발표했다. 공격 주체별로 살펴보면 북한과 연계된 조직의 해킹 시도가 70%로 가장 많았다. 북한 정찰총국 소속 △김수키 △라자루스 △안다리엘 등이 대표적인 해커 조직으로 꼽힌다. 중국의 샤오치잉과 러시아 연계 조직에 의한 공격이 뒤를 이었다.

북한 해커 조직은 국내 공급망 소프트웨어(SW)를 집중 공격했다. 올해 초엔 1000만 대가 넘는 PC에 설치된 인증서 프로그램 이니세이프 등을 해킹해 다수의 PC를 장악하려고 시도하기도 했다. 당시 북한 해커 조직은 250여 개 국가 기관 내부망에 침투하려고 했다.

해킹 수법이 한층 더 정교해졌다는 점도 눈에 띈다. 북한은 최근 전 국민이 사용하는 검색 포털 네이버를 그대로 복제한 ‘짝퉁 네이버’ 피싱 사이트를 구축했다. 사용자들의 이메일 계정 정보를 탈취하기 위해서다. 복제된 피싱 사이트는 실제 네이버 사이트 내용이 실시간으로 동기화되고 세부 페이지까지 구성될 정도로 매우 정교한 모습을 보였다.

불특정 다수를 대상으로 한 공격도 자주 이뤄졌다. 최근 북한은 한국 국민 신용카드 1000여 건의 정보를 절취했다. 사전에 확보한 이메일 계정을 이용해 클라우드 자료함에 접근하고, 이곳에 보관된 신용카드 사진을 입수했다. 이 과정에서 카드번호와 유효기간, 보안코드(CVC) 등이 노출됐다. 국정원은 해킹 피해 상황을 파악하고 즉각 금융보안원과 협조해 신용카드 사용 중지 조처를 했다고 밝혔다.

해킹 공격은 북한의 주요한 외화벌이 수단이다. 국정원은 북한이 해킹으로 현재까지 7억달러 이상의 암호화폐 자산을 확보한 것으로 파악하고 있다. 국정원 관계자는 “대륙간탄도미사일(ICBM)을 30회 이상 발사할 수 있는 비용”이라고 했다.

○“총선 앞두고 공격 더 거세질 것”

북한의 정보기술(IT) 인력이 해외 기업에 취업을 시도한 사례도 있었다. 북한의 한 남성은 한국과 밀접한 관계를 맺고 있는 동맹국의 여권과 유명 대학교 졸업증명서를 위조한 뒤 한국 에너지 기업의 해외 지사에 위장 취업을 시도했다. 재택근무를 하는 조건이었으며 최종 합격을 앞두고 적발된 것으로 알려졌다.

중국 해커 집단의 공세도 거세졌다. 지난달에는 중국 업체가 제조해 납품한 계측장비에서 몰래 설치된 악성코드가 적발됐다. 중국산 장비에서 악성코드가 발견된 첫 사례다. 국정원은 계측장비뿐 아니라 네트워크 중계기 등 중국산 부품과 장비 1만여 개에 대해 전수 조사에 착수했다.

국정원은 과거 북한 사이버 공작에서 핵심적인 역할을 한 김영철 전 북한 노동당 대남비서가 정치국 후보위원으로 복귀한 점에 주목하고 있다. 그는 과거 7·7 DDoS(분산서비스거부) 공격, 농협 전산망 파괴, 3·20 및 6·25 사이버 공격을 주도한 인물로 알려졌다.

백종욱 국정원 3차장은 “내년 4월 제22대 국회의원 총선거를 앞두고 대규모 사이버 공격이 우려된다”며 “동맹국 정보기관, 민간 기업과 협조해 사이버 위협에 공세적으로 대응할 것”이라고 말했다.

김진원 기자 jin1@hankyung.com