북한 정찰총국이 지난해 유엔 안전보장이사회 측에 사이버 공격을 한 것으로 19일 확인됐다. 유엔은 정찰총국이 통제하는 해킹그룹 계통을 파악하는 한편 이들의 행위가 안보리 대북 제재 위반에 해당하는지 조사에 착수했다.

미래통합당 윤재옥 의원실이 분석한 유엔 대북제재위원회 최종 보고서에 따르면, 정찰총국은 김수키(Kimsuky)·라자루스(Lazarus)라고 불리는 두 갈래 해킹 조직을 통제하고 있다. 이 가운데 김수키 그룹이 지난해 8월 유엔 안보리 전·현직 회원국들의 정부 및 공공기관 최소 8곳에 스피어피싱(spear-phishing) 공격을 가한 것으로 드러났다. 사전에 공격 대상을 파악해서 작살(spear)로 찍어내듯 정밀 타격하는 고도의 해킹으로, 대북 제재 주체인 안보리 회원국 핵심 관계자들에게 '위장 이메일'을 보내는 데 이 수법을 썼다는 것이다.
 

정찰총국이 악성코드를 심어 발송한 이메일의 제목은 '국제 평화와 안보 유지를 위한 법규범 강화: 국제인권법'이었다. '국제 인권'을 미끼로 삼아 대북제재위 내부 정보를 빼내려 했다는 얘기다. 프랑스 사이버방첩국은 이들의 공격 수법, 기술적 연관성 등이 북한 해킹 조직인 김수키 그룹과 유사한 것으로 판단했다.

다른 한 축인 라자루스 그룹은 지난해 9~10월 인도 보안시설에 연쇄적인 사이버공격을 한 혐의를 받고 있다. 라자루스 그룹이 자체 개발한 악성코드 '디트랙(DTrack)'이 인도 우주연구소·원자력발전소 해킹에 사용됐기 때문이다. 라자루스 그룹은 이보다 앞선 2018년에 유사한 악성코드로 인도 코스모은행에 대한 사이버 공격을 감행하기도 했다. 대북제재위는 "북한 측의 사이버 공격이 무기 금수 조치 조항을 위반한 것인지 조사하고 있다"고 밝혔다.

보고서는 "정찰총국이 김수키·라자루스 내부에 별도의 하부 조직을 운용한다"고 명시했다. 예컨대 라자루스 그룹 내에서도 '블루노로프(bluenoroff)'가 사이버 강탈·불법 자금 모집에 집중하고, 또 다른 조직인 '안다리엘(andariel)'은 해외 정부 기관·국방 산업을 주요 공격 목표로 삼는다는 것이다. 한국에 대한 해킹 전반을 관장하는 김수키 그룹은 2014년 한국수력원자력 해킹에 관여한 것으로 나타났다. 이들은 최근 미래통합당 태영호 의원 스마트폰 해킹의 배후로도 지목된 상태다.

대북제재위는 북한이 정교하게 육성한 '사이버 전사'들을 동원해 대북 제재의 그물망을 피하고 있는 것으로 파악하고 있다. 보고서에 따르면 북한의 가상 화폐 채굴 전문 부서는 탈취한 가상 화폐가 김일성대학 서버로 보내지도록 악성코드를 설계했고, 지난해 4월 평양에서 열린 가상 화폐 콘퍼런스에서도 "가상 화폐와 블록체인 기술을 응용해서 대북 제재 회피에 나서야 한다"는 취지의 발표가 있었던 것으로 나타났다. 최근 3년 6개월간 북한 해킹에 피해를 본 국가는 17곳, 피해액은 20억달러(약 2조4160억원)에 이르는 것으로 추산됐다. 윤재옥 의원은 "우리 정부가 북한의 대북 제재 위반 행위를 외면해서는 안 될 것"이라며 "이들의 사이버 공격 행위에 대해 국제사회와 함께 대처해나가야 한다"고 했다.