은둔 왕국을 해킹 초강대국으로.. 북한 '라자루스 그룹' 실체
' 소년 김정은' 의 깨달음이 낳은 사이버 제국.. 중요한 외화 수입원
댓글 0
기사입력
: 2025.04.11 07:30
[시큐리티팩트=최석윤 기자] 10일(현지시각) 아일랜드 인디펜던트는 "북한의 '라자루스 그룹'은 어떻게 은둔의 왕국을 세계적인 해킹 초강대국으로 만들었는가"라는 제목의 기획 기사를 통해 '라자루스 그룹'의 범죄 행각을 자세히 보도했다.
겉으로 보기에 '매트(Matt)'는 회사의 늘어나는 IT 수요를 완벽하게 충족시켜줄 인재였다. 작은 소프트웨어 회사에서 일한 경력에, 스스로 시작하는 동시에 팀워크도 중시한다는 이력서는 매력적이었다. 화상 면접에서도 좋은 인상을 남긴 그는 곧 채용되어 다른 직원들이 꺼리는 야간 근무를 집에서 처리하게 되었다.
하지만 회사가 랜섬웨어 공격을 받은 지 불과 몇 주 만에, '팀 플레이어' 매트의 진짜 정체가 드러난다. 그의 진짜 보스는 북한 정부였고, 그는 북한에서 훈련받은 엘리트 해커 팀의 일원이었다. 그에게 훌륭한 추천서를 써준 소프트웨어 회사는 가짜였고, 그의 면접조차 AI 소프트웨어를 이용해 다른 사람의 영상을 송출하는 가짜였다.
다행히 회사는 사이버 공격 보험에 가입되어 있었고, 100만 파운드(약 18억원)를 지불하는 조건으로 매트는 데이터를 삭제하지 않기로 합의한다. 하지만 북한 해커들의 교묘한 속임수에 넘어간 모든 이들이 이렇게 쉽게 벗어나는 것은 아니다. 지난 2월 두바이에 본사를 둔 암호화폐 거래소 바이비트에 대한 파괴적인 공격이 이를 증명한다.
영화보다 더 영화 같은 '라자루스 그룹'의 범죄 행각
위에서 설명한 가상 시나리오와 유사한 수법을 사용한 것으로 추정되는 이 급습에서, 평양의 한 팀은 범죄 역사상 가장 큰 규모인 15억 달러(약 2조1700억원)를 훔쳤다. 이 금액은 1983년 런던 브링크스매트 금고 강도 사건에서 도난당한 2600만 파운드(약 480억원)의 거의 50배에 달하며, 브래드 피트와 조지 클루니가 출연한 영화 '오션스 시리즈'세 편의 범죄 수익을 모두 합친 것보다 더 많다.
실제로 평양 사이버 범죄 조직으로 악명 높은 라자루스 그룹(Lazarus Group)의 범죄 수법은 그 자체로 영화 프랜차이즈를 만들 수 있을 정도이다. 2016년, 그들은 국제 은행 간 통신망인 스위프트(SWIFT) 시스템을 통해 거의 1억 달러(약 1450억원)를 훔친 방글라데시 중앙은행 해킹 사건을 주도했다. 이듬해에는 전 세계적으로 워너크라이(WannaCry) 공격을 일으켜 150개국의 구형 윈도우 시스템을 마비시키기도 했다.
북한에서 어떻게 세계 최고 해커 집단이 나왔나
라자루스 그룹의 놀라운 실력은 폐쇄적이고 권위주의적인 국가라는 북한의 이미지를 고려할 때 더욱 놀랍다. 대다수 국민이 인터넷 연결은 고사하고 휴대폰조차 제대로 사용하지 못하는 나라(인터넷은 수천 명의 고위 간부에게만 허용된 특권)에서, 어떻게 컴퓨터를 다룰 줄 아는 인재를 찾고, 매년 수억 달러 상당의 돈을 훔치는 세계 최고 수준의 해커로 성장할 수 있었을까?
그 답을 찾기 위해서는 1990년대 후반으로 거슬러 올라가야 한다. 당시 수줍음 많던 십 대 북한 학생이 스위스의 호화로운 기숙학교에 등록하면서 다른 학생들에게 자신이 평양 외교관의 아들이라고 소개했다. 사실 그는 훗날 북한의 최고 지도자가 되는 김정은이었고, 그의 아버지이자 당시 북한의 최고 지도자였던 김정일은 외부 세계에 대해 배우도록 그를 비밀리에 파견했다.
눈에 띄지 않는 평범한 학생이었던 김정은은 비디오 게임을 하며 많은 시간을 보냈다. 하지만 그는 컴퓨터가 현대 생활의 중심이 되고 있다는 것을 예리하게 인식했다. 그리고 몇 년 후 그와 그의 형 김정철이 북한으로 돌아왔을 때, 그 깨달음은 아버지에게 전달되었다.
2016년 한국으로 망명한 태용호 전 런던 주재 북한 대사는 "그들이 아버지를 깨우쳐 준 사람들이었다"고 말했다. 김정일은 이러한 컴퓨터와 네트워킹의 장점을 빠르게 파악했다. 태 전 대사에 따르면 김정일은 컴퓨터화를 단순히 경찰 국가를 운영하는 '더 효율적인' 방법으로 여겼고, 곧 첨단 기술 스파이, 간첩 활동, 전쟁을 전문으로 하는 특별 학교를 설립했다.
김정은 체제에서 더욱 강화된 사이버 공격 역량
2011년 김정은이 아버지 사망 후 권력을 잡으면서 이러한 추세는 더욱 가속화됐다. 그리고 5년 후, 북한 해커들은 한국의 군사 기밀 문서를 훔쳐냄으로써 상당한 '배당금'을 챙겼다. 이 문서에는 한국의 북한 침공 시나리오와 김정은 암살 계획 등 민감한 정보가 담겨 있었다.
하지만 자기 보존을 위한 도구로 시작된 사이버 공격은 점점 더 자기 충족을 위한 수단으로 변모하고 있다. 북한의 핵무기 프로그램에 대한 국제 제재로 인해 북한 경제가 어려움을 겪는 상황에서, 라자루스 그룹이 불법적으로 얻는 수익은 이제 중요한 외화 수입원이 되었다. 2023년 유엔 감시단은 사이버 절도가 북한 총 외화 수입의 절반을 차지한다고 보고했으며, 이 수익금의 대부분은 무기 개발 프로그램에 사용되는 것으로 추정된다.
체계적인 해커 양성 시스템과 끊임없는 집념
오늘날 북한 사이버 부대는 8000명 이상으로 추정되며, 이들 대부분은 학교에서 선발된 재능 있는 수학 전공 학생들이다. 이들을 모집하고 훈련하는 시스템은 냉전 시대 소련이 운동선수와 체스 신동을 육성하기 위해 사용했던 방식과 유사하다. 가족과 떨어져 오랜 시간 동안 고된 훈련을 받는 것이다.
하지만 라자루스 그룹의 성공은 단순히 뛰어난 기술력 때문만은 아니다. 은행 강도가 기관의 약점을 잘 아는 내부자를 이용하는 것처럼, 대부분의 사이버 공격은 '피싱' 이메일을 보내거나 사람들을 속여 비밀번호를 알아내는 등 '인간의 심리적 취약점'을 이용한다.
미국 사이버 보안 회사 시큐어웍스(SecureWorks)의 북한 전문가 사라 컨(Sarah Kern)은 "가장 중요한 것은 끈기에 달려 있다"고 말한다. 그는 "북한 해커들은 수개월 또는 그 이상에 걸쳐 사회 공학적 대화와 관계를 구축하여 잠재적 목표와 신뢰를 쌓아, 결국 악의적 행위를 위한 연결 고리를 열 수 있을 만큼 자신들을 믿게 만든다"고 밝혔다.
이는 바이비트 공격에도 사용된 수법으로 추정되지만, 바이비트는 해커의 정확한 침투 방법을 공개하지 않았다. 컨 전문가는 해커들이 블록체인 엔지니어와 소프트웨어 개발자들의 온라인 커뮤니티에 침투하여 서서히 관계를 구축해 나간다고 설명한다.
유럽 사이버 보안 회사 ESET의 전직 경찰 사이버 보안 전문가 제이크 무어(Jake Moore)에 따르면, 해커들은 또한 아첨을 이용한다. 한 가지 전술은 링크드인에서 온라인 헤드헌터로 가장하여 고액 연봉을 제시하며 소프트웨어 개발자에게 접근하는 것이다.
북한은 '가장 정교한 암호화폐 세탁 조직'
바이비트 해킹 사건 발생 직후, 해커들은 자금 출처를 숨기기 위해 다른 거래소와 콜드 월렛 네트워크를 통해 훔친 돈을 빠르게 이동시켰다. 전문가들은 북한이 특히 이 분야에 능숙하며, 일부는 북한을 '가장 정교한 암호화폐 세탁 조직'이라고까지 평가한다.
하지만 라자루스 그룹의 모든 해킹 활동이 대규모 절도와 관련된 것은 아니다. 아일랜드 인디펜던트에 따르면, 지난해 미국 검찰은 수천 명의 북한 해커들이 미국과 유럽에서 원격 근무 IT 전문가로 고임금 일자리를 구하고 있다고 경고했다. 이는 오늘날 보편화된 재택근무 환경에서 많은 직원들이 회사 사무실에 출근하지 않는다는 점을 악용한 것이다.
미국 검찰은 기술직에 지원하기 위해 온라인에서 미국 시민으로 위장한 14명의 북한 주민에 대해 500만 달러(약 72조원)의 현상금을 걸었다. 일부는 심지어 실제 미국인 공범을 고용하여 면접에 대신 참석시키기도 했다. 공격 목적은 단순히 정기적인 급여를 받는 것처럼 보였지만(일부 직업은 연간 30만 달러(약 4억3000만원)에 달했다), 해커들은 종종 랜섬웨어 공격을 통해 고용을 종료했다.
한편, 이러한 침투를 통해 그들은 미국 기업의 기술 시스템 운영 방식에 대한 귀중한 실무 경험을 얻고 있었다.
'인간 심리' 파고드는 사회 공학적 해킹의 위협
이러한 일이 자신에게는 절대 일어나지 않을 것이라고 생각하는 고용주들을 위해, 제이크 무어 전문가는 자신이 자문했던 영국 로펌에서 진행했던 '사회 공학적 실험'에 대한 경고 이야기를 들려준다. 그는 젊고 매력적인 여성 법학도 '제시카'의 가짜 온라인 프로필을 만들었고, 제시카는 링크드인을 통해 회사 직원 100명에게 구직 메시지를 보냈다. 그녀가 이력서를 이메일로 보내도 괜찮겠냐는 문의에, 세 명의 직원이 긍정적인 반응을 보였고 심지어 그녀에게 술 약속을 제안하기도 했다.
무어 전문가는 "이력서 안에는 악성코드 조각이 숨겨져 있었는데, 이는 실제 해커가 침투할 수 있는 통로를 제공했을 것이다. 회사 대부분은 속지 않았지만, 세 명이나 속았고 심지어 그녀에게 만나서 술을 마시고 싶다고 물어보기까지 했다. 해커는 사람들이 생각하는 것보다 훨씬 쉽게 활동할 수 있다"라고 경고했다.
북한의 라자루스 그룹은 은둔의 왕국을 넘어 전 세계를 상대로 사이버 공격을 감행하는 강력한 해킹 조직으로 성장했다. 그들의 성공 뒤에는 국가 차원의 체계적인 인재 양성 시스템, 끊임없는 기술 개발 노력, 그리고 인간 심리의 취약점을 교묘하게 파고드는 사회 공학적 기법이 자리 잡고 있다. 국제 사회의 제재 속에서 외화벌이를 위한 수단으로까지 활용되는 북한의 사이버 공격 능력은 앞으로도 전 세계에 끊임없는 위협이 될 것으로 보인다.
