北, 가상자산 2조 털었다

/픽사베이

| 서울=한스경제 전시현 기자 | 국정원은 11일 공개한 ‘2025 국가사이버안보 연례보고서’에서 북한의 사이버 위협이 금전 탈취, 산업 정보 수집, 국제 제재 회피를 한데 묶은 복합 양상으로 전개되고 있다고 밝혔다. 역대 최대 규모다. 북한은 가상자산 탈취에 그치지 않고 국내 정보기술(IT) 시스템 취약점을 파고들어 자료를 빼내고, 딥페이크 기술로 신원을 속여 해외 기업에 취업하는 등 사이버 공격 수법을 한층 정교하게 끌어올린 것으로 나타났다.

특히 가상자산 탈취는 북한 정권의 핵심 외화 조달 수단으로 자리 잡았고, 공격 대상과 방식도 갈수록 다양해지고 있다고 진단했다.

가상자산 탈취는 이미 북한의 대표적인 사이버 범죄 수법으로 꼽혀 왔지만, 지난해 피해 규모는 이전보다 한층 커졌다. 국정원은 북한이 해킹 조직을 앞세워 해외 가상자산 거래소와 관련 업체의 보안 허점을 노렸고, 그 결과 탈취액이 2조원을 넘어선 것으로 분석했다. 통상 가상자산은 한 번 빼돌리면 추적이 쉽지 않고, 여러 지갑과 거래 경로를 거치며 자금 흐름을 숨길 수 있어 제재를 피해 현금화하는 데 악용되기 쉽다.

국내를 겨냥한 침투 시도도 이어졌다. 국정원에 따르면 북한은 국내에서 쓰이는 문서관리 솔루션 3종의 보안 취약점을 악용해 관리자 계정을 만든 뒤 내부 자료를 빼돌린 것으로 전해졌다. 관리자 계정은 일반 사용자보다 훨씬 넓은 접근 권한을 갖기 때문에, 한 번 뚫리면 조직 전체 문서와 자료가 위험해질 수 있다. 단순한 해킹을 넘어 업무 시스템의 구조적 허점을 정밀하게 노렸다는 점에서 경계 수위가 높아졌다는 평가가 나온다.

공급망을 겨냥한 공격도 확인됐다. 북한은 여러 개발자가 함께 쓰는 오픈소스 소프트웨어 생태계에 침투해 악성 코드를 심거나 신뢰 관계를 악용하는 방식으로 공격 범위를 넓힌 것으로 조사됐다. 이런 방식은 특정 기업 한 곳만 노리는 것과 달리, 널리 쓰이는 프로그램이나 개발 도구를 거쳐 다수 기관과 기업으로 피해가 번질 수 있다는 점에서 파급력이 크다. 정보보안 업계가 공급망 보안을 별도로 강조하는 이유도 여기에 있다.

해외 IT기업을 상대로 한 위장 취업 수법도 더 대담해졌다. 국정원은 북한 인력이 딥페이크 화상 인터뷰를 활용해 얼굴과 신분을 속인 채 채용 절차를 통과하려 한 정황을 확인했다고 밝혔다. 화상 면접 화면에서 얼굴이나 음성을 인위적으로 바꿔 실제 인물처럼 꾸미는 식이다. 재택근무와 원격 채용이 보편화한 환경을 악용해 기업 내부 시스템 접근권을 확보하려 했다는 의미다. 단순한 사기 취업이 아니라 기업 정보 탈취와 외화벌이를 동시에 노린 시도로 해석된다.

보안 대응을 무력화하려는 신종 수법도 등장했다. 국정원은 북한이 스마트폰을 원격으로 초기화해 증거 확보나 후속 대응을 어렵게 만드는 방식까지 파악했다고 밝혔다. 공격 흔적이 남아 있는 기기를 아예 초기 상태로 돌려버리면, 피해 원인을 추적하거나 악성 프로그램을 분석하는 데 큰 차질이 생긴다. 사이버 공격 이후의 대응 과정까지 계산한 치밀한 수법이라는 점에서 기존 위협보다 한 단계 진화했다는 지적이 나온다.

이번 보고서는 북한의 사이버 위협이 더 이상 일부 기관에 국한된 문제가 아니라는 점을 보여준다. 가상자산 거래소, 일반 기업, 소프트웨어 개발 생태계, 원격 채용 시장까지 광범위하게 노리는 만큼, 민간과 공공 부문이 함께 대응 체계를 점검할 필요가 커졌다는 뜻이다. 보안 취약점 관리, 다중 인증 강화, 채용 절차 검증, 공급망 점검 같은 기본 수칙을 다시 조여야 한다는 목소리도 힘을 얻고 있다.