국정원, 6, 9월 사건 증거 검찰에 제공
11월 초 공격은 미리 파악, 사전 차단
北 연계 의혹 해킹그룹과 동일 코드 사용
제재 따른 외화벌이難 타개책 차원인 듯
올 들어 몇 차례 벌어진 국내 가상화폐 거래소 상대 해킹 공격이 북한 소행이라는 의심을 뒷받침할 만한 정황 증거가 우리 정보기관에 의해 포착됐다. 대북 제재 강화로 해외 인력 파견을 통한 외화 벌이가 어려워진 북한이 ‘금전 탈취 해킹’을 노릴 수도 있다는 예상이 이미 현실화한 것이다. 해킹에는 거래소 직원들에게 악성 코드를 심은 전문직 여성의 가짜 입사지원서 이메일을 보내는 수법이 동원된 것으로 전해졌다.
17일 국가정보원 등에 따르면 올 6월 국내 최대 가상화폐 거래소 ‘빗썸’에서 발생한 3만6,000여명의 회원 정보 유출 사건과 9월 역시 가상화폐 거래소인 ‘코인이즈’의 가상화폐 계좌 탈취 사건에 북한이 연루됐음을 증명할 만한 증거를 국정원이 확보해 최근 검찰에 넘겼다. 북한은 지난달 초에도 국내 가상화폐 거래소를 상대로 대규모 사이버 공격을 가했지만 이는 국정원이 미리 파악해 차단한 것으로 전해졌다.
국정원 분석 결과 해킹에 사용된 악성 코드는 북한과 연계돼 있다는 의혹이 제기돼온 해킹 그룹 ‘래저러스’(Lazarus)가 사용한 악성 코드와 동일한 것으로 확인됐다. 북한 정찰총국의 지휘를 받는 것으로 알려진 래저러스는 2014년 미국 소니 픽처스 엔터테인먼트와 지난해 2월 방글라데시 중앙은행 등 세계 금융체계를 공격한 집단으로 미 정보당국은 보고 있다. 최근 지구촌을 강타한 랜섬웨어(시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤 이를 인질 삼아 금전을 요구하는 악성 프로그램) ‘워너크라이’의 배후도 북한이라는 주장이 전문가들 사이에서는 나온다.
거래소 해킹에는 북한으로 의심되는 해커가 미모의 전문직 여성을 가장해 거래소 직원들에게 악성 코드를 담은 입사지원서ㆍ이력서 이메일을 보내는 방식이 쓰인 것으로 국정원은 보고 있다. 이메일의 첨부 파일을 연 직원들의 컴퓨터나 스마트폰을 감염시켜 거래소를 해킹하는 식이다. 최근 우후죽순 생겨난 가상화폐 거래소가 신규 인력 채용에 관심이 크다는 점을 북한이 노린 듯하다는 게 국정원의 추측이다.
현재 빗썸의 회원 정보 유출 사건은 서울중앙지검이 수사 중이고, 코인이즈 등의 가상화폐 탈취 사건은 경찰이 수사하고 있다.
북한의 가상화폐 거래소 공격은 국제사회의 대북 제재 강화에 따른 외화 벌이 여건 악화를 극복하려는 의도인 것으로 정보당국은 보고 있다. 국정원은 지난달 초 국회 정보위원회 비공개 국정감사에서 “가상화폐 거래소 등 국내 금융기관에 대한 북한의 해킹 시도가 여러 차례 포착되고 있다”며 “북한이 다수 전문 정보기술(IT) 인력을 해외에 파견해 외화 벌이에 나서고 있지만, 최근 비자 연장 불허 등 여건이 악화하면서 이에 대한 타개책으로 인력 파견이 필요 없는 ‘금전 탈취 해킹’을 기도하고 있다”고 보고했다. 또 “향후 북한의 해킹은 자금 추적이 불가능한 가상화폐에 집중되고 사회 혼란을 조장할 수 있는 금융시스템 파괴 시도도 예상된다”고 했다.
사이버 보안 업계에서도 ‘비트코인(가상화폐의 일종) 열풍’을 타고 내년에는 가상화폐 거래소를 노린 북한발 사이버 공격이 더 기승을 부릴 거라는 전망이 나오고 있다. 한국인터넷진흥원(KISA)이 이달 8일 발표한 ‘2018년 7대 사이버 공격 전망’에서 내년 사이버 공격의 화두로 비트코인 등 가상화폐가, 주된 공격 세력으로는 북한이 각각 꼽혔다.
권경성 기자 ficciones@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0