북한은 전 세계에서 가장 열악한 인터넷 환경을 갖고 있다. 북한 주민이 쓸 수 있는 공인 인터넷주소(IP)도 1024개뿐이다.
하지만 이런 역경을 딛고 자국 IP는 물론 중국의 임대 IP로 사이버공격을 호시탐탐 감행하고 있다.
◆ 北, 거대한 인트라넷 국가
북한은 1990년대부터 평양을 중심으로 광케이블 공사를 시작했다. 당시 김정일 국방위원장 시절 제시한 구호는 ‘IT 단번 도약’. 1인당 국민소득 700달러 수준인 북한의 농촌에도 광케이블이 깔린 이유다.
북한 인터넷망은 ‘거대한 인트라넷(intranet·내부 전산망)’으로 불린다. 북한 당국은 인터넷을 통한 해외 접속을 엄격히 제한한다.
기업들이 사내 망을 쓰듯 북한 주민들은 내부 광케이블로만 연결된 네트워크 ‘광명’을 통해 인터넷에 접속한다.
북한은 2000년대 초반부터 ‘조선통신’, ‘조선신보’, ‘우리 민족끼리’ 등 해외에서 볼 수 있는 사이트를 다수 만들었지만, 이들의 운영 서버는 해외에 있다.
2009년 말 북한 체신성과 태국 록슬리 그룹은 스타조인트벤처라는 합작사를 설립했고, 이 회사가 북한 IP를 관리하고 있다.
스타조인트벤처가 관리하는 IP 주소는 ‘175.45.176.XX~175.45.179.XX’ 대역대이다. 이 주소로 만들 수 있는 공인 IP 수는 각 대역당 256개씩, 최대 1024개뿐이다.
결국 북한 내부에서 해킹 실력을 시험할 수 있는 인프라는 지극히 열악하다는 의미다. 해외 공격을 통해 해커를 양성할 수 있는 구조를 보여준다.
국정원 자문위원인 김승주 고려대 정보대학원 교수는 “북한은 어릴 때 해킹 요원을 발굴해 중국 등 해외에서 해킹을 교육하고 실행한다”며 “해킹 요원은 중국이나 유럽 등에 거주할 수 있어 북한에서는 선호 대상”이라고 말했다.
◆ 국내외 최소 5개 해커팀 운영…평양발 공격 잦아진다
한국 정부와 국내 보안 전문가들은 해킹에 동원된 IP 주소가 북한 대역에 포함돼 있으면 북한 소행이라는 것을 밝힐 수 있는 증거로 사용하고 있다.
경찰청 사이버안전국 관계자는 “일반적인 해킹 수사를 하다가도 중국에서 북한이 자주 사용하는 IP가 나오면 북한의 소행으로 결론을 내린다”고 설명했다.
국내 전문가들이 역추적한 IP와 악성코드 유형별로 구성한 북한 해커 조직을 종합하면, 북한의 해커 그룹은 최소 4~5개 팀이다.
A팀은 북한 체신성이 중국 차이나유니콤에서 임대한 IP를 쓰면서 디도스(분산서비스) 공격을 한다.
2009년 7월 청와대, 백악관 등 한미 35개 주요사이트의 접속 장애를 일으킨 사건, 2011년 3월 청와대, 국가정보원, 금융기관 등 40개 사이트가 마비됐던 사건 등이 대표적이다.
B팀은 북한 내부 IP를 쓰고 하드디스크 파괴와 자료 절취에 능통한 팀이다. 2013년 3.20 사이버테러 당시 PC·서버 내 데이터도 파괴됐는데, 이때 공격 수법도 디도스가 아니라 ‘지능형 지속공격(APT)’였다.
APT는 특정 기업이나 조직의 정보를 획득하기 위해 미리 표적을 설정하고 취약점을 이용해 해킹 공격을 반복하는 것을 말한다.
이밖에 중국 동북 3성의 IP를 쓰고 자료를 절취하는 팀, 중국 내 기타 지역 IP를 쓰면서 자료 절취 수법이 다른 팀, 태국이나 인도네시아 등을 활동 근거지로 두고 직접적인 공격보다는 악성코드를 유포하는 경유지 서버를 만드는 팀 등이 주요 해커 그룹으로 추정되고 있다.
◆ “실전 경험 15년 이상 수준급” vs “기획력이 뛰어날 뿐”
북한의 해킹 실력에 대해서는 논란이 많다.
국방부에서 사이버전 관련 업무를 맡았던 한 관계자는 “5~6년 전 기준으로 한국의 공격 실력이 (북한보다) 훨씬 우월했다”면서 “북한의 공격으로 절취된 각종 자료를 우리 군이 해킹을 통해 발견하는 경우도 있었다”고 말했다.
최상명 하우리 센터장은 “우리나라 해커들은 모의 대회에서 실력을 쌓는 수준이라면, 북한 해커는 2000년대 초반부터 15년간 실제 공격을 통해 풍부한 실전 경험을 쌓은 것이 특징”이라고 평가했다.
최 센터장은 “2009년 7·7 디도스 공격의 경우 30만대에 달하는 좀비 PC를 통제한 것인데 실전 경험이 없었으면 불가능한 일이었다”고 말했다.
북한 해킹 분석 작업에 참여한 한 공공기관 관계자는 “북한 해커 부대 규모나 실력이 3위라는 이야기가 나오고 있으나, 현재로서는 높지 않은 것으로 파악하고 있다”고 말했다.
이 관계자는 “우리나라의 인터넷망이 고도화돼 해킹에 취약하고, 북한이 남한 내 공작원까지 동원해 한국 시스템의 약점을 파악할 수 있는 정보 수집 능력이 탁월해 북한의 실력이 좋게 보이는 것”이라고 분석했다.
김휘강 고려대 정보보호대학원 교수는 “북한의 기술적인 해킹 실력이 아주 높다고 평가하기보다는 해킹과 관련된 전략과 기획력이 무척 우수한 것으로 본다”면서 “단순히 기술력에 의존해 공격하는 것이 아니라 사회 혼란을 유발할 수 있도록 공격 목표를 잡고 2차 시나리오도 잘 개발한다”고 말했다.
◆ 잃을 자산이 없는 北, 인터넷 마비시켜도 큰 피해 없어
지난해 12월 23일 북한의 대외 인터넷 사이트가 먹통이 됐다가 8일 만에 정상 상태를 회복했다. 당시 조선중앙통신과 노동신문, 라디오 방송인 조선의소리, 김일성종합대학, 고려항공을 비롯한 대외용 사이트들도 전면 마비됐다.
북한이 김정은 암살 소재 영화 ‘인터뷰’를 만든 소니픽처스를 해킹하자 버락 오바마 미국 대통령은 “미국이 이에 비례하는 조처를 하겠다”고 선전포고를 했고, 이후 북한 인터넷망에 장애가 발생했다.
전문가들은 미국이 사이버 공격을 했더라도 인터넷 인프라가 열악한 북한에는 별다른 타격이 없었을 것이라고 보고 있다.
설령 내부망인 광명이 죽었더라도 전산망 마비로 온 사회가 마비되는 한국과 달리 북한은 잃을 자산도 없고 사회 혼란도 적을 것이라는 것이 전문가들의 냉정한 평가다.
경제전문지 포천은 “사이버 테러는 적은 비용으로 막대한 효과를 거둘 수 있는 수단이다. 재래식 무기보다 훨씬 큰 타격을 줄 수 있는 비대칭 전력의 핵심으로 떠올랐다”고 분석했다.