<‘성장동력’ 산업 기밀이 샌다>北해커, 中 위장취업해 南기업 해킹 의혹… “칠보산호텔 거점”

(5) 中동북부서 남·북·중 산업스파이 전쟁중국 동북부를 무대로 남·북·중 간 민간·당국 요원들의 소리없는 스파이전이 치열하다. 첨단 산업기술뿐 아니라 국가안보 현안까지 뒤얽혀 기밀을 뚫으려는 자, 유출을 막으려는 자, 중간에 가로채 어부지리를 얻으려는 자들 간의 물고 물리는 추격전은 갈수록 심화하는 양상이다. 특히 선양(瀋陽)을 비롯해 단둥(丹東)·다롄(大連) 등의 도시가 북한의 해외 사이버 거점으로 지목되고 있는 상황에서 북한 정보기술(IT) 인력들의 스파이 활동에 대한 비상경계령이 내려져 있다. 아직 배후가 밝혀지진 않았지만 최근 한국수력원자력(한수원)을 해킹했다고 주장하는 원전반대그룹의 인터넷 주소(IP) 접속지가 북한 정찰총국 소속의 해커 다수가 활동하고 있는 선양도 포함돼 있다는 점에서 북한의 사이버 공격 가능성이 제기되기도 했다. 선양에는 북한 총영사관이 있다.

23일 정보·사정 당국과 대북 전문가들은 중국에 나와 있는 북한 각 기관의 대표부와 대외 인터넷사이트 관리기구, 무역업체들에도 IT 전문인력이 상당수 있어 얼마든지 해킹 공격을 감행할 능력을 갖춘 것으로 보고 있다. CNN은 최근 지난 2004년 탈북한 IT 전문가를 인용해 선양의 칠보산 호텔을 북한 정찰총국 산하 사이버 지도국(121국)의 중국 내 거점 중 한 곳이라고 보도했다. 선양 칠보산 호텔은 15층 규모의 4성급 호텔이다.

현지 중국 기업에 고용된 북한 IT 인력의 규모도 무시 못할 정도이며 이들은 외형상 민간인이지만 정보당국과 연계돼 있는 것으로 파악되고 있다. 이들 중국 기업에 ‘위장 취업’하거나 자체 민간업체에 속한 북한 IT 인력은 한때 수백 명에 달했다. 그러다 2008년 금융위기 발발 및 2010년 천안함 폭침 사건 이후 정부의 ‘5·24 조치’에 따른 남북교류 중단 등으로 일감이 줄면서 일부 민간업체 인력은 본국으로 철수한 것으로 전해졌다.

요주의 대상은 여전히 현지 중국 기업에 취업해 소프트웨어 개발과 애니메이션 제작 등을 담당하고 있는 북한의 IT 인력들이다. 한국기업이나 주요 기관들에 대한 북한의 사이버 공격이 연결되는 고리라는 점에서다.

외교안보 당국자들에 따르면 연결 메커니즘은 이렇다. 최근 한국 IT업계들이 중국 업체들에게 프로그램 개발과 스마트폰 앱 업데이트 의뢰를 하는 사례가 늘고 있다. 한국 내 프로그램 개발비와 인력비가 상승하면서 일부 IT업체들이 중국 인력을 통해 프로그램 개발을 확대하고 있는데 이 과정에서 업무상 북한 해커와 연루될 가능성이 크다.

장소에 상관 없이 프로그램 개발이 가능한 특성상 중국에서 활동 중인 북한 해커들에게 기업 정보가 넘어가거나 이들이 프로그램에 악성코드를 숨겨 놓을 가능성을 배제할 수 없다는 게 관계자들의 전언이다.

실제로 학군 장교 출신인 전모(36) 씨는 불법 게임 아이템 프로그램 사업을 하던 중 2011년 11월에 중국에 건너가 북한 해커로부터 관련 자료를 받은 후 포섭돼 국내에서 활동하던 중 지난해 말 검찰에 적발됐다. 전 씨는 북한 공작원에게 조달청의 전자 입찰 시스템 관련 자료를 건네기도 했다. 사정 당국은 전 씨 외에도 북한 해커에 포섭되거나 동업하는 사례가 더 있을 것으로 추정하고 있다.

국내 IT업계의 한 관계자는 이날 문화일보 기자와 만나 “IT사업이 전문적이라고 하지만 주기적인 개발 비용이 만만치 않아 중국에 프로그램을 위탁하는데 이때 상대 측에 대한 신원조회는 별도로 하지 않는다”고 말했다.

소니픽처스 해킹 사건으로 주목받고 있는 북한의 사이버 전력의 위험성에 대한 경고 사이렌은 갈수록 커질 전망이다. 특히 북한은 이스라엘의 정보기관 모사드와 미국이 적대국인 이란의 핵시설을 무용지물로 만들기 위해 처음 개발했던 ‘스턱스넷(Stuxnet)’과 같은 첨단 기술을 개발할 가능성도 제기된 상황이다. 제임스 루이스 미 전략국제문제연구소(CSIS) 연구원은 최근 “북한은 ‘스턱스넷’이란 최신 사이버 기술을 개발하는 수준에 오른 것으로 보이고 스턱스넷 기술로 한국과 이웃국가들을 공격할 수 있다”고 말한 바 있다.

2010년 이란에서 처음 발견된 스턱스넷은 기계의 제어판을 못 쓰게 만들거나 오작동을 일으키게 하는 악성 컴퓨터 바이러스다. 한 번 감염되면 순식간에 해당 시설이 복구 불능 상태로 망가져 ‘사이버 핵폭탄’ ‘한 방으로 끝내는 무기(one-shot weapon)’라고도 불린다. 이란은 스턱스넷 피해 이후 사이버 부대를 대폭 강화했으며, 북한과도 긴밀히 협력해온 것으로 알려졌다. 실제로 이란과 북한은 2012년에 과학협력 협정을 맺었으며 이 협정에는 IT와 보안 관련 협력도 포함돼 있다.

이와 관련, 이란의 해커들이 최근 2년간 대한항공을 비롯해 해외 주요 항공사 및 방산업체의 컴퓨터 시스템을 해킹해 왔다는 주장도 제기된 바 있다. 블룸버그통신과 파이낸셜타임스(FT) 등은 미국 사이버 보안업체 ‘사일런스(Cylance)’의 보고서를 인용해 이란 해커들이 표적이 된 업체의 컴퓨터 시스템을 공격하거나 민감한 정보를 빼간 것으로 전했다.

이 보고서에 따르면 해킹은 ‘클리버(Cleaver)’라는 이란 국적의 해킹그룹이 저질렀다. 클리버가 표적으로 삼은 16개국의 항공사, 방산업체, 에너지 회사 등 국가의 주요 기반시설 및 관련 기업 50여 곳 중 9곳이 한국 내에 있다. 사일런스는 이란 해커들이 이례적으로 한국 기업을 공격 대상으로 삼은 것에 대해 “이란이 우방인 북한과 정보를 공유하거나 공동작전을 벌였을 가능성이 있다”고 분석했다.

방승배·박준희 기자 bsb@munhwa.com