사이버 행위자: 북한

어떻게 사이버 작전이 국가 시스템을 지원하나

북한 사이버 부대는 주로 정치·경제 분야 첩보 활동과 외화 조달 활동에 집중하고 있다. 파괴적인 공격은 현재로서는 거의 불가능하다.

사이버 활동을 통해 확보된 자금은 주로 국가의 정치적, 경제적 안정과 핵 및 재래식 군사 능력 증강을 위해 사용된다.

현재까지 사이버 활동을 통해 벌어들인 수익은 (미신고 사례를 제외하면) 약 30억-60억 달러에 이른다.

북한의 이러한 사이버 활동은 북한의 사이버 절차를 탐지하고 공개하는 것은 물론 잠재적 표적 기관에 대한 정찰을 통해 대응할 수 있다.

북한 사이버 부대는 기회주의적이고 유연하게 행동한다. 북한의 사이버 활동에 대한 대응책 마련에도 불구하고 공격은 계속될 것으로 예상된다. 현재 독일에는 심각한 위협이 없다.

최근 몇 년간 조선민주주의인민공화국(북한)은 국가 정책 의제를 이행하기 위해 사이버 및 정보 공간을 점점 더 도구화하고 있으며, 사보타주 및 교란, 신호, 정치 및 경제 첩보 활동, 외화 조달, 선전 등 가능한 모든 작전 목표를 활용하고 있다. 김정은에 따르면 사이버공격은 핵무기와 함께 정권의 목표를 달성하기 위한 ‘만능의 검’으로 기능한다.

목표와 영향
북한 사이버 부대는 남한과 미국의 정치적 양보를 강요하거나 정치적 신호의 수단으로 적의 시스템을 방해하고 파괴하기 위한 사이버 공격을 반복적으로 감행해 왔지만 아직까지 성공하지 못했다. 이러한 맥락에서 주목할만한 사례는 Operation Dark Soul1 및 Ten Days of Rain과 같이 남한의 IT 시스템을 대상으로 한 다양한 작전을 들 수 있는데, 이들 작전으로 남한에 광범위한 혼란을 야기했다. 2014년 이후에는 이와 유사한 활동이 관찰되지 않았다: 공격적인 사이버 활동은 강압 외교 수단으로서는 거의 영향력이 없다고 가정할 수 있다. 따라서 북한은 군사적 시나리오 이외의 사이버 작전은 당분간 수행하지 않을 것이라고 가정할 수 있다.

지금까지의 북한의 정치 첩보 활동은 주로 남한의 민간 및 공공 기관, 국제기구 및 외국인을 대상으로 이루어졌다. 첩보 활동의 목적은 전략적 및 안보 정책 관련 정보를 얻는 것이다. 예를 들어, 최근 몇 년간 제재 결의에 관한 정보를 얻기 위해 유엔 안보리 11개 이사국에 대한 사이버 공격이 있었다. 또한 북한 상황에 대한 외국의 평가에 관한 정보를 얻기 위해 국제 싱크탱크와 언론인들도 사이버 공격 피해를 입었다. 앞서 언급한 활동은 계속되고 있으며 북한 정권의 정치적 이해관계에 따라 유연하게 조정된다. 북한이 정치 첩보 행위를 자제할 것이라고 장담할 수는 없다.

경제적 첩보 활동과 관련하여 북한은 경제적으로 관심이 있는 분야에 대한 정보를 얻기 위해 사이버 작전을 수행한다. 과거에는 핵무기를 포함한 현대 무기 시스템 개발을 위한 기술 정보를 얻기 위해 국제 방위산업 기업이 북한의 주요 표적이었다. 그러나 2020년부터 2022년까지 코로나-19 팬데믹 기간 동안 북한의 백신 자급자족을 가능하게 하기 위해 북한은 해외의 백신 제조업체도 공격했다. 경제 첩보 활동은 정치 첩보 활동과 유사하며 북한 지도부의 전략적 목표에 맞춰져 있다. 북한은 우주 기반 무기와 정찰 시스템을 생산하려는 최근 자신의 노력을 뒷받침하기 위해 앞으로 위성 기술 회사에 대해 더 많은 사이버 공격을 감행할 것으로 예상된다.

외화를 획득하기 위한 사이버 공격은 2011년경 부터 관찰되었다. 처음 공격자들의 접근 방식은 주로 게임 플랫폼과 같이 공격이 용이한 대상을 겨냥했다. 그러나 2015년부터는 사이버 활동의 질과 양이 증가했다. 북한은 SWIFT 국제 결제 시스템과 ATM 지급 메커니즘에 대한 공격, WannaCry 글로벌 랜섬웨어 캠페인 등 금융 기관을 대상으로 한 복잡한 공격 활동으로 국제적 관심을 끌었다. 금융 부문에 대한 공격으로 북한은 약 20억 달러의 수익을 얻었고, 북한의 랜섬웨어 활동으로 세계 150개국의 230,000개 시스템이 암호화되었다.

이러한 북한의 사이버 공격에 대응하여 국제적으로 협력하는 사이버 보안 기관을 통해 북한의 접근 방식이 노출되었으며 그에 따라 적절한 보호 메커니즘이 제공되었다. 그 결과 북한의 수익성이 크게 줄어들었고 북한은 전략을 재조정해야 했다. 그 이후 북한의 공격은 점점 더 민간 암호화폐 플랫폼에 집중되어 왔는데 이러한 공격은 수익성이 높고 따라서 민간 암호화폐 플랫폼은 북한의 선호되는 표적이 되었다. 민간 암호화폐 플랫폼은 보안 표준이 낮은 경우가 많고, 공격을 받더라도 은행보다 대중의 관심을 덜 받는다. 사이버 공격 작전의 일환으로 북한 해커들은 디지털 은행 계좌에 접근하여 암호화폐를 북한 지갑으로 이체한다. 그런 다음 그 화폐는 다양한 메커니즘을 통해 세탁되어 법정화폐로 변환된다. 2015년 이후 북한은 이런 방식으로 약 30억-60억 달러를 벌어들일 수 있었다. 하지만 신고되지 않은 사례는 훨씬 더 많을 것으로 추정된다. 2020년에는 교활하고 악의적인 공격을 통해 북한은 17억 달러를 벌어들인 것으로 알려졌다. WannaCry 악성 스프트웨어를 사용하는 것 이외에 북한이 독일을 대상으로 금전적인 동기를 지닌 사이버 공격을 한 것은 알려진 바가 없다.

동기
북한에는 국가 지도부의 전략적 계산에 대한 통찰력을 제공하는 공식적인 사이버 교리가 없다. 그러나 북한 정권의 동기는 북한의 정치적 상황, 사이버 공간의 특성 및 공식적인 국가 목표를 통해 추론할 수 있다.

북한은 미군의 남한 주둔과 한-미 동맹으로 인해 자신들이 즉각적인 위협을 받고 있다고 생각한다. 이러한 북한의 인식이 파괴적인 공격을 실행하는 주요 동인이다. 군사적 충돌이 발생할 경우 사이버 수단은 비대칭 전쟁의 도구로 사용될 수 있다. 평시에 사이버 공간은 한 정권이 재래식 무기 시스템을 사용하는 분쟁의 확대 위험 없이 다른 국가에 대한 공격을 수행하는 데 사용된다. 이러한 “천 개의 핀 찌르기” 전략은 한 국가의 힘을 보여주고, 시급히 필요한 재정 자원을 창출하며, 국내 및 외교 정책 측면에서 국가 리더십을 합법화하는 역할을 한다.

경제적 자원 부족, 국제 제재, 수입품에 대한 높은 수요 때문에 북한은 내부 경제를 유지하고 엘리트를 위한 사치품 자금을 조달하며 핵 및 재래식 무기 능력을 더욱 확대하기 위해 외화에 의존하고 있다.

북한 정권은 1970년부터 외화를 획득하기 위해 은밀하고 불법적인 방법을 활용해 왔다. 이러한 맥락에서 이제 사이버 공격은 북한의 경제 적자를 상쇄하기 위한 가장 수익성이 높은 도구로 보인다. 한편으로 사이버 공격은 기존 방법의 쇠퇴 때문에 주로 이용된다. 예를 들어, 위조 화폐 생산, 밀수, 해외 북한 주민들의 현대식 노예 제도는 국제 사회가 집중적으로 퇴치하기 위해 싸워 온 이슈이다. 북한의 사이버 작전의 양과 질에서의 증가와 북한의 핵 무기 프로그램에 대한 투자 증가는 연관성이 높다. 사이버 공간에서의 자금 조달 전술은 도메인의 불투명성과 비물질성으로 인해 예방하기 어렵다. 사이버 공격자는 발각되지 않고 대부분 처벌받지 않고 활동할 수 있을 뿐만 아니라 비난을 그럴듯하게 거부할 수도 있다. 게다가 비용 대비 이익 비율도 사이버 공격자에게 유리하다. 북한은 디지털화 수준이 낮아 공격할 여지가 거의 없기 때문에 해킹 등 적극적인 대북 대응 조치는 대체로 효과적이지 않다. 미국은 때때로 북한의 공격 인프라를 교란했지만 눈에 띄는 성공을 거두지 못한 것으로 보인다.

북한의 동기에 대한 이론적 통찰을 얻으려면 2009년 이후 북한 정권의 정치적 행동을 결정해 온 선군(先軍) 독트린에 대한 이해가 대단히 중요하다. 선군(先軍) 독트린은 인지된 위협에 맞서 스스로를 방어할 수 있는 국가의 준비 상태를 우선시한다. 이러한 독트린에 따라 국가 자원은 핵무기 프로그램을 핵심으로 하는 북한의 국방 자원에 주로 투입된다. 선군 독트린의 기본 사상은 군사 강국과 경제 번영의 상호작용이다. 이 독트린에 따르면 강력한 무기 산업은 군사 장비 수출을 통해 충분한 자금을 창출해 내는 동시에 국가의 영토 보전을 보장해야 한다. 사이버 부대를 포함한 북한의 엘리트들은 공식적으로 주로 국방 부문에서 활동하고 있다. 따라서 투자와 산업 스파이 활동의 대부분이 북한 군을 증진하는 데 도움이 되어야 한다.

조직
다양한 모순된 진술과 내용 때문에 북한 사이버 조직을 명확하게 파악할 수는 없다. 그러나 북한 사이버 부대는 ‘최고 영도자’ 김정은이 총사령관으로 있는 조선 인민군의 예하부대인 것으로 알려졌다. 알려진 사이버 공격자들의 대부분은 북한 정찰총국(RGB) 군사정보국 121국 소속인 것으로 알려졌다. 여기에 배정된 부대에는 라자루스 그룹(Lazarus Group), 블루노르프(Bluenorrof) 및 김수키(Kimsuky)가 포함된다. 사이버 부대의 일부는 국가 보위성에 종속될 수도 있다. 정찰총국과 함께 가장 중요한 것은 39국으로, 이 부서는 전통적인 자금 창출을 담당하는 것으로 알려져 있다. 이들 조직의 공통 목표로 인해 작전 협력이 수행된다고 가정할 수 있다. 최근에는 이들 조직들과 조직의 책임에 변화가 관찰됐다. 과거 이들 조직들은 서로 독립적으로 운영되었지만 2022년 이후 사이버 부대의 통합이 뚜렷해졌다. 조직 간 책임과 도구가 교환되었는데, 이것은 변화(노동 분업)와 보다 효율적 이고 자원 절약적 협력을 의미한다. 사이버 부대의 훈련 및 추가 교육은 북한과 중국의 대학에서 이루어진다. 북한 사이버 조직의 주요 특징은 IT 전문가로 위장한 부대를 해외에 전략적으로 배치하는 것이다. 사이버 조직원들은 각자의 위치에서 활동하기 때문에 이들의 소속은 알기가 더 어렵고 정부 비용은 절감된다.

전망
북한 정권은 국가 목표를 달성하기 위해 사이버 공간에서 작전을 계속 수행할 것이며 앞으로도 더욱 그럴 가능성이 높다. 특히 재정적 동기를 지닌 사이버 작전과 첩보 활동은 이제 국가 정책의 필수적인 도구가 되었다. 사이버 작전의 근본적인 동기는 북한의 독트린 체계에도 뿌리를 두고 있다. 북한의 미사일 및 핵 프로그램에는 높은 수준의 투자와 기술 정보가 필요하다. 동시에 북한은 경제적 문제로 인해 점점 더 큰 압박을 받고 있다. 따라서 북한 정권의 변덕스럽고 충동적인 정책이 앞으로 어떻게 전개될지 예측하기 어렵다. 디지털 계정, 암호화폐 시장 또는 디지털 금융 흐름에 대한 사이버 공격이 계속 수익성을 낼 수 있다면 북한이 표적화된 사이버 작전을 통해 외화 조달을 포기할 것이라고 가정하기는 어렵다. 북한 사이버 부대와 러시아, 중국, 이란 등 북한의 정치적 동맹국 간 협력은 때때로 관찰되지 않았다. 사이버 공간에서 국가 간 협력을 위해서는 높은 수준의 조율과 작전 통합이 필요하지만, 이것은 북한 정권의 현재 정치적 이해관계를 고려할 때 거의 불가능하다. 사이버 공간에서의 북한의 활동은 아직 독일연방공화국에는 특별한 위협을 가하지 않았다. 그러나 현재 북한, 남한, 미국 간 긴장된 외교 관계가 조금만이라도 무너지면 세계 안보에 파괴적인 결과를 초래할 수 있다. 2019년 유엔은 북한의 사이버 공격의 영향, 특히 정치적 영향력을 억제하기 위해 제재 강화, 공개적 명명, 수치심, 초국가적 협력 증가와 같은 상응 조치를 시작했다. 암호화폐 가격의 변동성과 플랫폼 보안 조치의 증가는 북한의 사이버 공격에 대응할 수 있게 할 수도 있다. 보안당국은 지금까지 북한 TTP(전술·기법·절차) 탐지 및 공개에 주력해 왔다. 이러한 접근 방식과 사이버 공격자 관련 정보의 광범위한 전파는 때때로 공격을 완화하는 가장 효과적인 수단인 것으로 입증되었다. 그러나 북한에서 국가 독트린과 재정이 매우 중요하기 때문에 북한은 자신의 방법을 채택하고 새로운 길을 모색할 것이라고 추측할 수 있다. 따라서 현재 북한의 접근 방식을 모니터링하고 공격 표적의 탄력성을 강화하며 국제 파트너와 함께 디지털 및 키네틱 공간에서 외화 조달 방법을 최대한 방지하는 것이 중요하다.

현재 북한의 사이버 행위자들은 독일과는 관련성이 별로 없다. 현재까지 독일 지역 목표물에 대한 심각한 공격은 거의 관찰되지 않았다. 향후 북한의 사이버 작전 우선순위에 독일이 포함되었다는 징후는 없다.

First published in:

KAF – Konrad Adenauer Foundation