국방부 사이버사령부에 따르면 2012년 8월 김정은 국무위원장은 북한 정찰총국 산하 기구 110호 연구소를 방문했다. 110호 연구소 소속으로 가장 잘 알려진 해킹그룹은 ‘라자루스(Lazarus)’다.
김 위원장이 직접 챙긴 부서의 해킹 조직은 현재 전 세계를 위협하는 강력한 존재가 됐다. 김 위원장 집권 10년 동안 북한의 사이버 전력이 얼마 성장했는지를 보여주는 단면이라고 볼 수 있다.
라자루스라는 이름은 2014년 소니픽처스 공격 이후에 명명됐지만, 이들의 활동은 2009년부터 포착된 바 있다.
라자루스는 2009년 정부 기관·은행 등 주요 웹사이트를 마비시킨 7.7 디도스(DDoS) 공격을 일으켰으며 2011년에는 3.4 디도스 공격, 2013년 3.20 사이버 테러를 저질렀다.
한국을 대상으로 대규모 공격을 일삼던 라자루스는 2014년 김 위원장 암살을 소재로 한 영화 ‘더 인터뷰’ 상영을 막기 위해 소니픽처스를 해킹했다. 김 위원장의 만능 보검이 체제 수호를 위해 민간 기업을 공격해 초토화한 순간이다. 제대로 인터넷조차 할 수 없는 국가에서 세계 최고 수준의 사이버전 능력을 보여줬다는 점에서 국제사회에 큰 충격을 줬다.
라자루스가 소속된 110호 연구소는 기술정찰국 2부 산하 연구기관으로 7개실, 280명으로 구성된 조직이다. 이곳은 각종 소프트웨어 취약점을 연구해 관계기관에 기술 지원을 하며 당 중앙(김정은)의 임무를 단독 수행하거나 상대방의 컴퓨터 지휘 통제체계 무너뜨리는 활동을 한다.
110호 연구소의 상급 기관인 기술정찰국은 북한 사이버전 능력의 요체라고 할 수 있다. 기술정찰국 하부 조직으로는 공작장비연구부(1부), 컴퓨터 프로그램 침투 정보부(2부), 전자통신기술부(3부), 감청정찰부(4부)가 있으며 그 외 직속부대로 121부대, 180부대, 91부대 등이 있다. 기술정찰국은 대외적으로는 ‘3국’이라고 부른다.
김 위원장 집권 초기 북한 기술정찰국 인원은 6천여 명 정도로 알려졌다. 그러나 최근 본지가 북한 내부소식통을 통해 조사한 바로는 기술정찰국에는 북한 내부 인력 2만여 명, 해외 파견 인원 3천여 명이 있는 것으로 파악됐다.
북한의 사이버전 수행 인력이 김 위원장 초기보다 약 3배 정도 늘어난 모습이다. 인력의 증원은 자연스럽게 조직 확대로 이어졌을 가능성이 높다.
다만, 온전히 해커의 숫자가 늘었다기보다는 지원 인력까지 함께 증가했을 것으로 보인다.
김 위원장 집권 이후 북한의 해킹 조직은 다양화, 세분화되는 모습이다.
북한의 또 다른 해킹 조직 ‘안다리엘(Andarial)’은 적으로부터 정보를 수집하고 ‘블루노로프(Bluenoroff)’는 금융 사이버 범죄를 지휘하고 있는 것으로 알려졌다.
미국 재무부가 지난해 발표한 ‘2020테러리스트 및 기타 불법 자금 조달 대응 국가 전략’ 보고서에 따르면 라자루스를 비롯한 북한의 3개 해킹조직은 2017~2018년 아시아의 5개 거래소에서 암호화폐 5억 7,100만 달러(약 7,000억 원)를 탈취했다.
금성121과 탈륨(=김수키)은 국내 북한과 관련된 활동 및 연구하는 탈북민, 학자, 정치인, 언론인 등을 주공격 대상으로 삼고 있다. 이들은 개인뿐만 아니라 북한이 필요로 하는 정보를 가진 기관들도 공격하고 있다.
국정원은 지난 6월 원자력연구원, 한국항공우주산업 등을 공격한 배후로 김수키를 지목해 국회에 보고한 바 있다. 또한, 국내외 제약사를 공격해 신종 코로나바이러스 감염증(코로나19) 백신 관련 정보를 탈취하려는 시도도 포착됐다.
강력한 대북 제재로 인해 자금난과 기술 개발에 제한받는 북한에 해킹은 놀랍도록 편리하고 유용한 도구이다. TTP(전술, 기법, 절차)를 분석하더라도 공격자를 특정하기 상당히 어렵고 그것이 북한과 연계돼 있다는 것까지 밝히기는 더 힘들다.
김 위원장이 사이버 전력을 만능의 보검이라고 칭한 이유가 여기에 있다. 김 위원장 집권 10년 동안 만능의 보검은 더욱더 날카로워졌고 이들의 공격은 더 강해질 것으로 예상된다.
