2012년 12월, 중국 동북3성의 단둥(丹東)·옌지(延吉)·선양(瀋陽) 등에 산재한 북한 정찰총국의 해커들이 일제히 한국 금융권 해킹에 들어갔다. 사이버 방화벽을 뚫고 예금자 정보를 훑은 뒤 45세 이상을 고르고 SMS 문자서비스 사용자는 제외했다.
그리고 이들의 계좌에서 80원부터 최대 180원까지 시차를 두고 빼냈다. 인출한 돈은 국내 대포통장에 넣어 최대 7번 정도 해외 계좌로 돌려 총 1000억원 규모의 돈을 모았다. 컴퓨터 서버는 금융망 감시가 약한 중동국가의 것을 사용했다. 공격 흔적은 물론 지웠다.
북한 해커들이 금융사의 인터넷 보안망을 뚫고 돈까지 훔친다는 ‘믿기지 않는’ 사실은 최근 북·중 접경지역을 방문한 탈북자 신호철(가명·46)씨가 정찰총국 소속 박모 중좌(가명)를 통해 들은 얘기다. 박 중좌는 “왜 45세이고 SMS 사용자를 제외하는지 아는가.
20대는 200원에도 민감하지만 45세가 넘으면 은행 수수료로 보고 넘어간다. SMS 사용자를 뺀 건 예금 인출을 매번 자동으로 알려 주기 때문”이라고 설명했다. 박 중좌는 한국 국민의 성향, 금융용어에 정통했고 완벽한 서울 말씨였다.
북한 해커들이 지난 20일 금융망을 공격하기에 앞서 개인 계좌를 겨냥한 사이버 공격까지 해 왔다는 것은 처음 제기되는 주장이다. 문제는 북한의 사이버 전쟁 능력이 이렇게 시스템뿐만 아니라 개개인을 겨냥할 수 있다는 점이다. 이른바 ‘사이버 맞춤 공격’이라는 새로운 차원의 우려다. 또 개개인의 신상정보와 성향을 파악한 뒤 사실을 가리기 힘든 정보를 소셜네트워크서비스(SNS)를 통해 맞춤형으로 퍼뜨려 혼란을 일으킬 수도 있다.
북한 내부 소식통에 따르면 깜짝 놀랄 부분이 많다. 박 중좌는 신씨에게 “총국은 요즘 남쪽 국회의원 신상 조사에 역점을 둔다”고 말했다. 그는 “야당이라고 다 친북은 아니지 않나. 그래서 의원 개개인의 성향을 인터넷을 통해 정밀분석한다. 정밀분류한 뒤 ‘증거를 심는’ 인터넷 작전을 할 수 있다. 예를 들어 의원 계좌를 해킹으로 알아내 입출금 상황을 알아낼 수도 있다”고 말했다.
북한 정찰총국은 또 개인의 신용카드 사용정보도 해킹하는 것으로 알려졌다. 카드 내역을 통해 레저·쇼핑·음식의 소비패턴을 알 수 있으며 가족관계도 확인 가능해 납치 공작에도 활용 가능하다는 것이다. 박 중좌는 “금융기구 보안망은 들어가기까지 보름이나 한 달 정도 힘들지 일단 들어가 백도어를 심으면 ‘데타(데이터)’를 긁어갈 수 있다”고 말했다.
대전대 군사학과 이상호 교수는 해킹된 개인정보와 최근 각광받는 인터넷 데이터 마이닝 기법이 결합될 경우 안보 위협 가능성이 발생할 수 있다고 지적한다. 그는 최근 ‘SNS 기반 사이버 심리전 공격실태 및 대응방향’ 논문에서 “기업들이 이 기법으로 소비자별 성향을 추출해 마케팅에 활용하는데 북한이 안보영역에서 이렇게 활용할 수 있다”고 지적했다. 이렇게 얻어 낸 주요 인물의 개인 성향 판단을 기초로 휴대전화에 왜곡정보·역정보·유언비어를 전파하면서 기밀 유출을 조장하거나 협박할 수 있다는 것이다.
이와 관련, 정부 관계자는 “북한 해커들이 대남 선전선동 등 불순한 책동에 활용할 목적으로 국민정보를 수집하고 있는 것으로 확인되고 있으나 입수 내용이나 규모는 파악하기 어렵다”며 “그동안 수많은 개인정보가 수차례 유출돼 중국 등지에서 암거래되고 있는 점 등으로 볼 때 북한이 이를 확보해 대남 책동에 활용할 가능성이 크다”고 말했다.
고려대 정보보호대학원 임종인 원장도 “인적사항을 알면 맞춤형 공격이 가능하다”고 했다. 북한은 2011년 농협을 해킹했다. 또 같은 해 7월 SK컴즈가 해킹돼 3500만 명의 개인정보가 유출됐다. 2012년에는 KT 가입자 873만 명의 개인정보가 유출됐다. 그러나 SK컴즈 측은 “개인정보 유출사건은 미제로 남아 있지만 북한 소행으로 확신할 근거는 없다”고 말했다.
한편 경찰청 사이버테러대응 관계자는 23일 “방송·금융사 6개 기관의 전산망을 마비시킨 지난 20일의 악성코드가 미·유럽 등 4개국의 인터넷프로토콜(IP)을 통해 퍼진 것으로 확인됐다. 그러나 중국 소재 IP 주소는 없었다”고 밝혔다.
안성규 기자·이금룡 객원기자 중앙 2013.03.24