정찰총국 인사조치에 對南 사이버공격 강화 우려…어떤 부서길래

'은밀히 외화 탈취' 주도, 김정은도 관심 높아...사이버전 강화로 각종 피해 우려 고조

만경대혁명학원에서 컴퓨터 실습 중인 북한 학생들의 모습. /사진=조선중앙통신 캡처

최근 해외정보 수집과 공작을 담당했던 노동당 35호실장 출신 김선일이 정찰총국 부총국장으로 임명된 것으로 전해지면서 이번 인사는 북한이 사이버전(戰)을 강화하기 위한 포석이 아니냐는 분석이 나온다.

은밀하게 진행되고 배후를 밝히기 힘든 사이버전의 특성에 김선일의 해외 정보 수집 및 공작능력을 결합해 상승효과를 내려는 의도일 가능성이 있다는 이야기다.

이와 관련 김정은 국무위원장은 집권 초기인 2013년 간부들에게 “사이버전은 핵, 미사일과 함께 인민군대의 무자비한 타격 능력을 담보하는 만능의 보검”이라고 강조한 것으로 전해지고 있다.

北 ‘만능의 보검’ 휘두르는 기술정찰국

정찰총국은 지난 2009년 노동당 작전부와 35호실, 인민무력부(현 인민무력성) 정찰국을 통합해 만들어졌다. 정찰총국은 육·해상 정찰국(구 작전국, 1국), 정찰국(2국), 기술정찰국(기술국, 3국), 해외정찰국(5국, 舊 35호실) 등 총 6개국으로 구성된 것으로 알려졌다.

이중 총참모부 산하 기술정찰국은 북한 대표적인 해킹조직의 활동을 배후에서 지휘하는 조직이다. 기술정찰국은 3국으로 통칭하며 사이버 지도국, 121국 등으로도 불린다.

지난달 미국 육군이 발간한 ‘북한 전술(North Korean Tactics)’ 보고서에 따르면 121국은 총 4개의 산하 조직으로 구성됐다.

보고서는 121국이 사회적 혼란이 주요 목적인 ‘라자루스(The Lazarus Group)’, 적으로부터 정보를 수집하는 ‘안다리엘(The Andarial Group)’, 금융 사이버 범죄를 지휘하고 있는 ‘블루노로프(The Bluenoroff Group)’, 그리고 북한 내에는 ‘전자전 교란연대(Electronic Warfare Jamming Regiment)’으로 구성됐다고 밝혔다.

보고서가 밝힌 북한 해킹 조직들은 전 세계 금융기관, 암호화폐 거래소 등을 공격해 외화벌이에 나서고 있다.

라자루스는 지난 2016년 방글라데시 중앙은행을 공격해 8100만 달러(당시 한화 약 906억 원)를 훔친 배후로 지목됐다. 안다리엘과 블루노로프 금융 전산망 등을 공격해 불법으로 돈을 탈취하고 있다.

특히 최근 북한 해킹 조직들은 자금 세탁이 용이하고 공격자를 추적하기가 어려운 암호화폐 탈취에 주력하고 있다.

미국 재무부가 지난 2월 발표한 ‘2020테러리스트 및 기타 불법 자금 조달 대응 국가 전략’ 보고서에 따르면 라자루스를 비롯한 북한의 3개 해킹조직은 암호화폐로 5억 7100만 달러(약 7000억 원)를 탈취했다.

대북제재로 인해 외화 확보에 난항을 겪는 북한에 사이버 공격을 통한 외화 탈취는 저비용 고효율에 익명성까지 보장되는 그야말로 ‘만능의 보검’인 셈이다.

이에 중앙당 출신이자 해외 공작 전문가인 김선일의 임명이 정찰총국에 대한 당적 통제를 강화해 외화 확보에 더욱 박차를 가하기 위한 전략이라는 분석이 나온다.

지난 2018년 미국 연방수사국(FBI)이 북한 해커 그룹 라자루스 소속으로 알려진 북한 해커 박진혁을 공개수배했다. / 사진 = 미 연방수사국 홈페이지 캡처
기술정찰국 산하 110연구소… 라자루스 관리하는 北 사이버전 전담부대

미 재무부는 지난 2019년 라자루스를 제재를 제재 명단에 올리면서 해당 조직이 정찰총국 제3국(기술정찰국) 산하 110연구소에 소속이라고 밝혔다. 그러면서 하부에 안다리엘과 블루노로프가 있다고 설명했다. 북한의 대표적인 해킹 조직 3곳이 모두 110연구소의 통제를 받고 있다는 이야기다.

110연구소는 과거 북한 인민군 총참모부 산하에 있던 기관으로 1998년부터 해킹과 사이버전 전담한 조직이다. 북한 사이버 전력의 출발점 중 하나라고도 볼 수 있다.

라자루스 등 북한의 대표적인 해킹 조직 3곳을 관리하는 110연구소에 대한 지원과 인적 역량이 강화될 가능성이 있다. 여기에 북한 해킹 조직들의 활동이 더 활발해지면서 각종 피해가 발생할 우려도 있다.

또한, 110연구소는 2000년대 초반부터 영재들을 발굴해 집중적으로 컴퓨터 관련 교육을 시켜왔으며 이들을 해외에 파견해 사이버 공격의 최일선에서 배치해 왔다. 연구소에서 육성한 해커들이 라자루스나 다른 해킹 조직으로 유입됐을 수 있다. 우수한 인적자원 확보를 위한 110연구소의 활동이 활발해질 것으로 예상된다.

한편, 110연구소는 지난 2009년 7·7 DDoS(분산서비스거부) 대란, 2011년 3·3 DDoS 공격, 농협 전산망 무력화, 2013년 3·20, 6·25 사이버 공격의 배후로 지목됐다.

폐쇄된 북한 특성 정보수집 한계… 분석 기관마다 조직에 대한 의견 분분

북한은 세계에서 가장 폐쇄된 국가 중 하나다. 여기에 북한 사이버 전력에 관한 정보는 더욱 비밀스러워 분석에 상당한 제한이 있다. 이 때문에 북한 해킹조직에 대한 연구도 조사 기관마다 조금씩 다르게 나오는 경우가 있다.

실제, 이야기한 미 육군과 재무부의 분석만 해도 정찰총국 조직에 대한 분석이 다르다. 미 육군은 정찰총국 제3국이 3개 해킹조직과 별도 조직으로 이뤄졌다고 설명했다. 그러나 재무부는 3개 해킹조직이 110연구소 산하라고 주장했다. 정보의 한계로 인해 기관마다 서로 다른 분석을 내놓고 있는 상황이다.

또 다른 기관인 스웨덴 외교부 산하 스톡홀름국제평화연구소(SIPRI)는 지난 6월 공개한 ‘인공지능, 전략적 안정성 그리고 핵 위험성’이라는 보고서에는 121국 산하에 110연구소와 91부대가 있다고 밝혔다.

보고서는 110연구소는 컴퓨터 통제체계의 혼란을 일으키는 정보공작과 전파 방해, 91부대는 미국의 핵 관련 명령, 통제, 의사소통체계(NC3)의 교란을 임무로 한다고 설명했다.

정보의 부재로 인해 분석에 어려움을 겪는 만큼 각 기관들의 조사 내용을 종합적으로 따져 북한의 사이버전 전력을 가늠할 필요성이 제기된다.

신임 정찰총국 부총국장 중앙당 간부로… “黨지도로 사이버전 강화”