핵심 서버 탈취돼 일반인보다 북한 등 대규모 범죄집단 연루 가능성
국정원 “SKT는 민간영역이라 조사 하지 않고 정부기관에 안전 권고만”
유출 사건에 북한 ‘대남도발’ 혐의 포착된다면 안보 이슈로 비화할 수도
[보안뉴스 성기노 기자] 최근 보안 업계에 북한 해커의 그림자가 어른거리고 있다는 정황이 포착되고 있다. 지난 4월 발생한 SK텔레콤 유심 정보 유출 사건과 관련하여 북한 해커의 연루 가능성이 구체적으로 제기되지는 않았다. 하지만 국내 최대 이동통신사의 핵심 서버인 홈가입자서버(HSS)가 해킹 공격을 받았다는 점에서 대규모 범죄집단의 조직적 범행일 가능성이 있다는 지적도 나온다.
▲SK텔레콤 티타워 [자료: 연합]
경찰은 지난 12일 침입 경로를 파악하기 위해 피해 서버와 악성코드 등 디지털 증거를 수집해 분석 중이며, 인터넷프로토콜(IP) 추적 작업도 함께 진행하고 있다고 밝힌 바 있다. 특히 경찰측은 “아직 해킹 주체가 누구인지 특정하지 못했다. 가해자 파악을 위해 수사를 계속하고 있다”고 덧붙였다. 정부는 지난 4월 말부터 민관합동조사단이 SK텔레콤 유심 유출에 대한 조사를 시작한 뒤 그 최종 결과를 6월 말 경 내놓을 것으로 예상된다.
아직 북한의 SK텔레콤 유출 사건 연루 의혹을 입증할 만한 구체적 정황이나 증거는 나온 것이 없다. 그럼에도 휴대폰이 일상화되면서 터진 가장 큰, 국민에게 직접적인 피해를 입힌 대형 사건이라는 점과 SK텔레콤의 핵심 서버가 일거에 털렸다는 것은 일반 범죄 조직이 접근하기엔 진입 장벽이 지나치게 높은 고난이도 기술이라는 점에서 ‘대공 혐의’가 의심스럽다는 의견도 조심스럽게 나오고 있다.
우리나라처럼 통신 기반이 디지털 정부 인프라와 연결된 국가에선 HSS 해킹은 곧 국민의 실시간 위치, 통화·메시지 기록, 인증 정보까지 노출될 수 있다는 걸 의미한다. 이는 도박사이트용 단순 개인정보 유출과는 급이 다른 사건이다. 북한이 우리 국민들의 생활 패턴이나 인구정보와 동향 등 ‘생활 정보’를 구체적으로 획득하기 위해 대형 이동통신사의 HSS를 노렸을 수도 있다. 이는 과거 북한이 한국수력원자력, 국방부 등 국가 안보와 직결된 곳을 해킹 시도한 것과 비슷한 정황으로 볼 수 있는 것이다.
이런 SK텔레콤 유출 사건의 북한 해커 연루설에 대해 국정원에게 확인을 요청했다. 국정원의 한 관계자는 기자와의 통화에서 “지난 4월 말 국정원 차원에서 전 부처에 공문을 보내 ‘최근 유심 정보 유출 사고 관련, SKT 유심을 사용하는 업무용 단말·기기를 대상으로 다음의 안전조치를 추진해 달라’고 요청한 적은 있었다. 이는 국정원이 취할 수 있는 낮은 단계의 보안 대응이다”라고 밝히면서 “국정원은 기본적으로 공공기관 영역의 보안 대응을 한다. 민간차원은 한국인터넷진흥원(KISA) 등이 하며 역할 분담을 한다. 현재로서는 SK텔레콤 해킹 사건이 민간영역에서 일어난 일이기 때문에 북한 해커 연루설 등을 공식 조사하는 것은 없다. 혹시 그런 정황이 구체적으로 드러난다면 관련 부서에 확인할 예정”이라고 밝혔다.
국정원 “북한 연루설 드러나면 관련 부서 확인 예정”
이런 와중에 최근 북한 해커가 연루된 범죄 행각이 드러나 보안 업계에도 ‘빨간불’이 켜지고 있다. 지난 5월 14일 한 언론은 “북한 해커와 접촉해 인터넷 불법 도박사이트를 운영한 50대가 국가보안법 위반 혐의로 검찰의 수사를 받는 것으로 확인됐다”라고 보도했다. 수십억 원 상당의 도박사이트 수익금 중 일부가 북한으로 흘러들어 간 정황도 포착됐다고 한다.
50대 남성 A 씨의 범행은 지난 2022년부터 시작됐다. 보안 메신저인 텔레그램 등으로 북한 해커와 접촉을 시도한 뒤 불법 인터넷 도박사이트 등을 운영하려 한 것이다. 특히 A 씨와 북한은 무려 1000여 차례에 걸쳐 연락을 주고받았던 것으로 조사됐다.
북한의 불법 외화벌이 수단이 더욱 다양해지고 있는 가운데 북한 IT 조직이 불법 도박사이트 수천 개를 만들어 남한에 판매한 정황이 드러난 것이다. 이렇게 북한 해커들이 국내에 불법 사이트를 만들어 돈을 벌고 있다면 국내 IT 상황에 누구보다 익숙하고 범죄조직과의 ‘교류’ 과정에서 대기업이나 정부기관 해킹 수법 등도 자연스럽게 습득하거나 전수를 해줄 수도 있다.
지난 5월 7일에는 CJ그룹의 IT 인프라를 관리하는 CJ올리브네트웍스의 인증서 파일도 해킹으로 유출된 것으로 나타났다. 4월 말 공개된 북한발 악성파일에서 CJ올리브네트웍스의 디지털 서명이 탑재된 것이 발견됐던 것이다(보안뉴스 5월 7일자 보도).
보안업계에서는 기업 디지털 서명이 북한발 악성 파일에서 발견된 것은 CJ올리브네트웍스 서명 정보가 북한에 탈취돼 악용됐다고 의심할 수 있는 대목이라는 진단을 내린 바 있다. 당시 해킹에 연루된 북한 해킹 그룹은 우리에게도 익숙한 ‘김수키’로 의심되고 있다.
북한의 해킹 활동은 민간 기업, 정부기관을 가리지 않고 진행중이다. 특히 민간기업 해킹은 금전적 목적보다 국내 혼란을 야기하려는 ‘대남 도발’로 인식된다. 북한은 지난 2014년 한국수력원자력 해킹, 2017년 비트코인 거래소 공격 등을 수행한 전력이 있다.
▲지난해 7월 미 국무부는 해킹 그룹 안다리엘 관련 북한 국적 해커 림종혁을 현상 수배한다고 밝혔다. [자료: 연합]
북한이 ‘위장 취업’을 통해 한국 IT업계에 침투해 암약하고 있다는 것은 공공연한 비밀이다. 북한 요원이 외국인 또는 조선족 신분으로 중국에 거주하면서 한국 SI(시스템 구축)업체에 외주로 참여한 정황이 과거 국정원 보고서에 포착된 바 있다.
그들은 ‘중국 내 개발 인력’으로 위장해 한국 중소기업의 테스트 서버에 접근하고 백도어를 심거나 자료를 유출한 후 퇴사한다. SI 하청구조상 하위 레벨 인력이 DB·소스코드·로그인키까지 접근하는 경우가 비일비재하다는 점이 위험 요소인 것으로 알려진다.
이와 함께 핵개발을 위한 ‘전용자금’ 마련도 북한 해커의 주요 목적이다. 지난 5월 7일 블룸버그통신은 “2025년 6월 캐나다에서 개최되는 주요 7개국(G7) 정상회의 의제에 암호화폐 해킹을 포함해 북한의 악의적인 사이버 활동이 포함될 가능성이 있다”고 보도한 바 있다.
소식통들은 이 매체에 “북한이 탈취로 얻은 수익을 정권 및 정권의 (핵·미사일) 프로그램을 위한 자금원으로 활용하고 있기 때문에 북한의 악의적인 사이버 작전이 우려스럽다”라면서 이같이 전했다. G7 정상회담에서 북한의 암호화폐 해킹 문제가 논의될 가능성이 있을 정도로 그들의 악의적인 사이버 활동에 대한 전 세계의 우려가 높아진 것이다.
북한 해킹 조직 라자루스는 지난 2월 가상화폐 거래소 바이비트(Bybit)에서 이더리움 14억6000만달러(약 2조1000억원)를 탈취했으며 이 가운데 최소 3억달러(약 4400억원)가 현금화한 것으로 보인다고 영국 BBC 방송이 지난 3월 보도하기도 했다.
BBC ‘북한 라자루스 해킹 조직 이더리움 2조1000억 탈취’ 보도
북한과 연계된 해커들은 지난해에는 47건의 공격을 통해 1억3400억달러를 탈취한 것으로 추정되는 등 탈취 규모가 이전보다 늘어나고 있다. 북한은 또 정보기술(IT) 인력을 미국 등에 위장 취업시킨 뒤 이들 임금도 북한으로 송금하고 있다.
이와 관련해 미 국무부는 지난해 연말 최대 500만달러(약 71억5000만원) 현상금을 내걸고 북한의 정보기술(IT) 노동자의 해외 송출 및 돈세탁 등에 관여한 중국 및 러시아 소재 북한 IT 회사 관련 정보를 공개 수배한 바 있다.
이처럼 북한의 해킹 공격은 우리나라뿐 아니라 전 세계를 타깃으로 한다. 아직까지 SK텔레콤 유심 유출의 해킹 실체가 드러난 것은 아니지만 지난 4월 국민의힘 대선후보 경선 과정에서 한동훈 당시 후보는 SK텔레콤 사건을 단순 정보 유출이 아닌 ‘사이버 테러’로 규정하고 국가 차원의 사이버 방어 체계 구축을 촉구한 바 있다.
이는 향후 발생할 가능성이 있는 국민생활 밀접 기업의 대규모 해킹 사건은 ‘대 테러 방어 태세’ 차원에서도 접근해야 할 필요성을 의미하기도 한다. 갈수록 민간 보안과 안보 영역의 보안 경계가 허물어지고 있기 때문에 양자의 통합과 공동 대응이 더 긴밀히 요구된다.
SK텔레콤 유심 유출 사건에 북한의 ‘대남 도발 흔적’이 포착된다면 이는 한 기업의 문제를 넘어 국가 차원의 중대한 안보 이슈로 비화할 수 있다. SK텔레콤 사건에 대한 면밀한 진상과 해킹의 실체에 대한 철저한 조사가 더욱 엄정히 요구되는 이유다.
[성기노 기자(kino@boannews.com)]
국정원 “SKT는 민간영역이라 조사 하지 않고 정부기관에 안전 권고만”
유출 사건에 북한 ‘대남도발’ 혐의 포착된다면 안보 이슈로 비화할 수도
[보안뉴스 성기노 기자] 최근 보안 업계에 북한 해커의 그림자가 어른거리고 있다는 정황이 포착되고 있다. 지난 4월 발생한 SK텔레콤 유심 정보 유출 사건과 관련하여 북한 해커의 연루 가능성이 구체적으로 제기되지는 않았다. 하지만 국내 최대 이동통신사의 핵심 서버인 홈가입자서버(HSS)가 해킹 공격을 받았다는 점에서 대규모 범죄집단의 조직적 범행일 가능성이 있다는 지적도 나온다.
▲SK텔레콤 티타워 [자료: 연합]
경찰은 지난 12일 침입 경로를 파악하기 위해 피해 서버와 악성코드 등 디지털 증거를 수집해 분석 중이며, 인터넷프로토콜(IP) 추적 작업도 함께 진행하고 있다고 밝힌 바 있다. 특히 경찰측은 “아직 해킹 주체가 누구인지 특정하지 못했다. 가해자 파악을 위해 수사를 계속하고 있다”고 덧붙였다. 정부는 지난 4월 말부터 민관합동조사단이 SK텔레콤 유심 유출에 대한 조사를 시작한 뒤 그 최종 결과를 6월 말 경 내놓을 것으로 예상된다.
아직 북한의 SK텔레콤 유출 사건 연루 의혹을 입증할 만한 구체적 정황이나 증거는 나온 것이 없다. 그럼에도 휴대폰이 일상화되면서 터진 가장 큰, 국민에게 직접적인 피해를 입힌 대형 사건이라는 점과 SK텔레콤의 핵심 서버가 일거에 털렸다는 것은 일반 범죄 조직이 접근하기엔 진입 장벽이 지나치게 높은 고난이도 기술이라는 점에서 ‘대공 혐의’가 의심스럽다는 의견도 조심스럽게 나오고 있다.
우리나라처럼 통신 기반이 디지털 정부 인프라와 연결된 국가에선 HSS 해킹은 곧 국민의 실시간 위치, 통화·메시지 기록, 인증 정보까지 노출될 수 있다는 걸 의미한다. 이는 도박사이트용 단순 개인정보 유출과는 급이 다른 사건이다. 북한이 우리 국민들의 생활 패턴이나 인구정보와 동향 등 ‘생활 정보’를 구체적으로 획득하기 위해 대형 이동통신사의 HSS를 노렸을 수도 있다. 이는 과거 북한이 한국수력원자력, 국방부 등 국가 안보와 직결된 곳을 해킹 시도한 것과 비슷한 정황으로 볼 수 있는 것이다.
이런 SK텔레콤 유출 사건의 북한 해커 연루설에 대해 국정원에게 확인을 요청했다. 국정원의 한 관계자는 기자와의 통화에서 “지난 4월 말 국정원 차원에서 전 부처에 공문을 보내 ‘최근 유심 정보 유출 사고 관련, SKT 유심을 사용하는 업무용 단말·기기를 대상으로 다음의 안전조치를 추진해 달라’고 요청한 적은 있었다. 이는 국정원이 취할 수 있는 낮은 단계의 보안 대응이다”라고 밝히면서 “국정원은 기본적으로 공공기관 영역의 보안 대응을 한다. 민간차원은 한국인터넷진흥원(KISA) 등이 하며 역할 분담을 한다. 현재로서는 SK텔레콤 해킹 사건이 민간영역에서 일어난 일이기 때문에 북한 해커 연루설 등을 공식 조사하는 것은 없다. 혹시 그런 정황이 구체적으로 드러난다면 관련 부서에 확인할 예정”이라고 밝혔다.
국정원 “북한 연루설 드러나면 관련 부서 확인 예정”
이런 와중에 최근 북한 해커가 연루된 범죄 행각이 드러나 보안 업계에도 ‘빨간불’이 켜지고 있다. 지난 5월 14일 한 언론은 “북한 해커와 접촉해 인터넷 불법 도박사이트를 운영한 50대가 국가보안법 위반 혐의로 검찰의 수사를 받는 것으로 확인됐다”라고 보도했다. 수십억 원 상당의 도박사이트 수익금 중 일부가 북한으로 흘러들어 간 정황도 포착됐다고 한다.
50대 남성 A 씨의 범행은 지난 2022년부터 시작됐다. 보안 메신저인 텔레그램 등으로 북한 해커와 접촉을 시도한 뒤 불법 인터넷 도박사이트 등을 운영하려 한 것이다. 특히 A 씨와 북한은 무려 1000여 차례에 걸쳐 연락을 주고받았던 것으로 조사됐다.
북한의 불법 외화벌이 수단이 더욱 다양해지고 있는 가운데 북한 IT 조직이 불법 도박사이트 수천 개를 만들어 남한에 판매한 정황이 드러난 것이다. 이렇게 북한 해커들이 국내에 불법 사이트를 만들어 돈을 벌고 있다면 국내 IT 상황에 누구보다 익숙하고 범죄조직과의 ‘교류’ 과정에서 대기업이나 정부기관 해킹 수법 등도 자연스럽게 습득하거나 전수를 해줄 수도 있다.
지난 5월 7일에는 CJ그룹의 IT 인프라를 관리하는 CJ올리브네트웍스의 인증서 파일도 해킹으로 유출된 것으로 나타났다. 4월 말 공개된 북한발 악성파일에서 CJ올리브네트웍스의 디지털 서명이 탑재된 것이 발견됐던 것이다(보안뉴스 5월 7일자 보도).
보안업계에서는 기업 디지털 서명이 북한발 악성 파일에서 발견된 것은 CJ올리브네트웍스 서명 정보가 북한에 탈취돼 악용됐다고 의심할 수 있는 대목이라는 진단을 내린 바 있다. 당시 해킹에 연루된 북한 해킹 그룹은 우리에게도 익숙한 ‘김수키’로 의심되고 있다.
북한의 해킹 활동은 민간 기업, 정부기관을 가리지 않고 진행중이다. 특히 민간기업 해킹은 금전적 목적보다 국내 혼란을 야기하려는 ‘대남 도발’로 인식된다. 북한은 지난 2014년 한국수력원자력 해킹, 2017년 비트코인 거래소 공격 등을 수행한 전력이 있다.
▲지난해 7월 미 국무부는 해킹 그룹 안다리엘 관련 북한 국적 해커 림종혁을 현상 수배한다고 밝혔다. [자료: 연합]
북한이 ‘위장 취업’을 통해 한국 IT업계에 침투해 암약하고 있다는 것은 공공연한 비밀이다. 북한 요원이 외국인 또는 조선족 신분으로 중국에 거주하면서 한국 SI(시스템 구축)업체에 외주로 참여한 정황이 과거 국정원 보고서에 포착된 바 있다.
그들은 ‘중국 내 개발 인력’으로 위장해 한국 중소기업의 테스트 서버에 접근하고 백도어를 심거나 자료를 유출한 후 퇴사한다. SI 하청구조상 하위 레벨 인력이 DB·소스코드·로그인키까지 접근하는 경우가 비일비재하다는 점이 위험 요소인 것으로 알려진다.
이와 함께 핵개발을 위한 ‘전용자금’ 마련도 북한 해커의 주요 목적이다. 지난 5월 7일 블룸버그통신은 “2025년 6월 캐나다에서 개최되는 주요 7개국(G7) 정상회의 의제에 암호화폐 해킹을 포함해 북한의 악의적인 사이버 활동이 포함될 가능성이 있다”고 보도한 바 있다.
소식통들은 이 매체에 “북한이 탈취로 얻은 수익을 정권 및 정권의 (핵·미사일) 프로그램을 위한 자금원으로 활용하고 있기 때문에 북한의 악의적인 사이버 작전이 우려스럽다”라면서 이같이 전했다. G7 정상회담에서 북한의 암호화폐 해킹 문제가 논의될 가능성이 있을 정도로 그들의 악의적인 사이버 활동에 대한 전 세계의 우려가 높아진 것이다.
북한 해킹 조직 라자루스는 지난 2월 가상화폐 거래소 바이비트(Bybit)에서 이더리움 14억6000만달러(약 2조1000억원)를 탈취했으며 이 가운데 최소 3억달러(약 4400억원)가 현금화한 것으로 보인다고 영국 BBC 방송이 지난 3월 보도하기도 했다.
BBC ‘북한 라자루스 해킹 조직 이더리움 2조1000억 탈취’ 보도
북한과 연계된 해커들은 지난해에는 47건의 공격을 통해 1억3400억달러를 탈취한 것으로 추정되는 등 탈취 규모가 이전보다 늘어나고 있다. 북한은 또 정보기술(IT) 인력을 미국 등에 위장 취업시킨 뒤 이들 임금도 북한으로 송금하고 있다.
이와 관련해 미 국무부는 지난해 연말 최대 500만달러(약 71억5000만원) 현상금을 내걸고 북한의 정보기술(IT) 노동자의 해외 송출 및 돈세탁 등에 관여한 중국 및 러시아 소재 북한 IT 회사 관련 정보를 공개 수배한 바 있다.
이처럼 북한의 해킹 공격은 우리나라뿐 아니라 전 세계를 타깃으로 한다. 아직까지 SK텔레콤 유심 유출의 해킹 실체가 드러난 것은 아니지만 지난 4월 국민의힘 대선후보 경선 과정에서 한동훈 당시 후보는 SK텔레콤 사건을 단순 정보 유출이 아닌 ‘사이버 테러’로 규정하고 국가 차원의 사이버 방어 체계 구축을 촉구한 바 있다.
이는 향후 발생할 가능성이 있는 국민생활 밀접 기업의 대규모 해킹 사건은 ‘대 테러 방어 태세’ 차원에서도 접근해야 할 필요성을 의미하기도 한다. 갈수록 민간 보안과 안보 영역의 보안 경계가 허물어지고 있기 때문에 양자의 통합과 공동 대응이 더 긴밀히 요구된다.
SK텔레콤 유심 유출 사건에 북한의 ‘대남 도발 흔적’이 포착된다면 이는 한 기업의 문제를 넘어 국가 차원의 중대한 안보 이슈로 비화할 수 있다. SK텔레콤 사건에 대한 면밀한 진상과 해킹의 실체에 대한 철저한 조사가 더욱 엄정히 요구되는 이유다.
[성기노 기자(kino@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
