앵커: 북한이 ‘실시간 도청’과 ‘메시지 실시간 전송’ 등이 가능한 일종의 주민 통제 및 해킹 기술로 외화벌이를 시도하려 했던 정황이 뒤늦게 포착됐습니다. 서울에서 목용재 기자가 보도합니다.
북한이 내부 주민 통제 및 해킹 기술의 이전 및 활용 등을 통해 외화벌이가 가능할지, 무료로 법적 자문을 요청하는 전자우편을 지적재산권(IP) 전문기업인 ‘B’사에 보냈던 정황이 뒤늦게 포착됐습니다.
B사는 중동·북아프리카 지역에서 지적재산권(IP)과 관련한 법률적 자문과 지원 등의 서비스를 제공하고 있습니다. 자유아시아방송은 해당 전자우편을 받은 B사 관계자에게 사실 확인을 요청했으나 28일 현재까지 답변을 받지 못했습니다.
자유아시아방송이 확보한 해당 전자우편은 영문으로 작성된 것으로 지난 2022년 6월 미국 구글의 자회사인 ‘바이러스토탈’(VIRUSTOTAL) 사이트에 게재됐습니다. 바이러스토탈은 파일 등에 악성코드가 있는지 여부를 검증해주는 무료 웹서비스입니다.
해당 전자우편의 발신자는 보유하고 있는 기술 3가지를 소개하며 소프트웨어 계약 등을 주선해줄 수 있는지, B사 측의 무료 자문과 지원을 요청했습니다.
해당 전자우편에는 발신자가 보유한 기술들을 소개하는 MS 워드 문서 3개가 별도로 첨부됐는데, 이 중 ‘안드로이드용 모니터링 프로그램’(Target-monitoring program “Monitor” for Android)이 주목됩니다.
북, 지적재산권 자문 회사에 ‘실시간 도청’ 기술 홍보
발신자는 해당 기술에 대해 “안드로이드 휴대전화를 사용하는 대상의 위치, 통화, 메시지, 주변 환경 등을 원격으로 감시(monitoring)하도록 설계돼 있다”며 해당 기술을 적용하면 ‘실시간 도청’(real-time wiretapping), ‘현장 녹음 및 전송‘, ‘이동경로 추적’, ‘메시지 기록 수집’ 등이 가능하다고 밝혔습니다.
이어 “도청이나 GPS 추적 기능이 포함된 앱 구매는 이미 가능하지만 휴대폰을 이용해 실시간 도청이 가능한 기능은 일반적으로 구매하기 어렵다”며 해당 프로그램의 차별점을 강조했습니다.
그러면서 해당 기술을 연인 간의 상호 감시, 자녀 사생활 보호, 직원 감시 등에 활용할 수 있다고 설명했습니다.
한국 내 전문가들은 북한이 내부 주민 통제 및 해킹에 사용하고 있는 기술을 상품화가 가능한 지적재산권(IP)으로 활용하려는 차원에서 이 같은 자문요청을 한 것으로 보고 있습니다.
해당 전자우편을 분석한 민간 보안업체, 스텔스모어의 최상명 이사는 28일 자유아시아방송에 “이 기술은 ‘보호’의 목적을 표방하지만 실제로는 사생활 침해와 불법 감청, 감시 활동에 악용될 가능성이 매우 높다”며 “정보기관이나 사이버 작전 부대에서 심리전 및 첩보 수집용으로 활용될 수 있는 잠재적 위협 기술”이라고 평가했습니다.
[최상명 스텔스모어 이사] 북한은 감시, 보안 기술을 자국 내 정치, 사회적 통제 수단 및 사이버전 공격 등으로 사용할 뿐 아니라, 더 나아가 국제 지식재산 시스템을 이용해 기술을 정당화하고 제3국에 판매함으로써 외화 수익을 창출하려는 이중 전략을 추진한 것으로 볼 수도 있을 것 같습니다.
실제 북한은 내부 통제 차원에서 다양한 수단으로 도청을 하고 있는 것으로 알려져 있습니다. 또한 해킹을 통해 실시간 감시 및 자료 절취 등을 시도하고 있습니다.
한국의 민간 보안업체인 안랩이 지난 2023년 6월 내놓은 보고서에 따르면 북한 해킹 조직은 30분 간격으로 피해 PC의 자료를 압축한 뒤 공격자 서버로 전송하고 마이크 도청 기능까지 포함된 악성코드도 유포했습니다.
이스트시큐리티는 지난 2019년 8월 북한 해커가 피해자의 휴대전화 통화 내용을 녹취해 절취하는 일종의 도청을 행했다고 밝힌 바 있습니다.
미국의 북한전문매체, 38노스도 지난 2019년 보고서를 통해 북한 당국이 중국 정보기술을 이용해 북한 고위 간부들의 휴대전화 통화 내용을 도청하고 있다고 밝힌 바 있습니다.
‘성공적인 통일을 만들어 가는 사람들’(성통만사)이 지난 2021년 12월 펴낸 ‘북한 디지털 인권 보고서’도 북한 당국이 주민의 검열과 감시를 위해 다양한 기술을 활용하고 있다고 지적한 바 있습니다. 특히 특정 파일이 어떤 경로로 배포됐는지 추적하는 기능도 활용하고 있다고 밝혔습니다.
크리스티나 쿤즈 성통만사 연구원의 말입니다.
[크리스티나 쿤즈 성통만사 연구원] 북한 당국은 고립된 북한 주민들을 검열하고 감시하기 위해 선진국보다 훨씬 많은 디지털 장치들을 사용하고 있습니다.
전문가 “APT 공격, 사이버전 활용 가능한 위협적인 기술”
또한 해당 전자우편에는 ‘안드로이드 APK 파일 보호 도구‘(“APK-GUARD” APK file guard tool for Android)라는 기술도 소개돼 있었는데, 발신자는 이에 대해 “기본 소스 코드가 포함된 파일의 보호를 목적으로 한다”고 설명하고 있습니다.
이에 최 이사는 “본래 프로그램의 무단 변조나 분석을 위한 보안도구이지만 악성코드 분석 회피, 스파이웨어 은닉, 탐지 우회 등 다양한 방식으로 악용할 수 있는 기술”이라며 “실제로 악용된다면 보안 대응을 어렵게 만들고 지능형지속(APT) 공격이나 사이버전에서도 활용될 수 있는 위협 요소”라고 평가했습니다.
북한에서 정보통신 업계에 종사하던 탈북민들에 따르면 북한 당국은 내부에서 활용할 앱을 들여오거나 개발했을 경우 ‘역공학’을 통해 체제 위협 요소가 있는지 여부를 확인합니다. 따라서 ‘안드로이드 APK 파일 보호 도구’ 제작에 이 같은 역공학 기술이 적용됐을 것이란 관측이 제기됩니다.
일각에서는 ‘안드로이드용 모니터링 프로그램’, ‘안드로이드 APK 파일 보호 도구’ 제작에 필요한 기술력을 보유한 북한 조직으로 ‘체신성콤퓨터기술합영회사’가 거론됩니다. B사에 전자우편을 보낸 발신자가 해당 회사의 소속일 것이란 추정입니다.
이 회사는 북한 정보산업성으로 통폐합된 것으로 알려진 체신성의 산하 조직이지만 실질적으로는 국가보위성이 직접 관리하는 것으로 알려져 있습니다.
북한 IT 회사에서 근무한 바 있는 익명의 탈북민(신변보호 위해 익명 요구)은 자유아시아방송에 “체신성콤퓨터기술합영회사는 체제 보위 차원에서 북한 내 휴대전화 감시 프로그램 제작 및 관리, 북한 내에서 사용할 콘텐츠 검증 등을 전담한다”며 “이 회사가 통제, 감시 기술을 당국의 승인을 받아 상품화하려고 했던 것으로 보인다”고 추정했습니다.
관련기사
한편 ‘바이러스토탈’(VIRUSTOTAL) 사이트에서 포착된 해당 전자우편의 도메인은 ‘star-co.net.kp’였습니다. 이는 북한 내에서 외부와 소통할 수 있도록 북한 당국이 허가한 몇 안 되는 도메인입니다.
또한 해당 전자우편에 첨부된 문서에서는 북한의 ‘청봉체’가 확인됐고 발신자가 자신의 이름을 김모 씨로 밝히고 있었습니다. 이에 따라 북한 내부의 담당자가 B사에 직접 전자우편을 보냈던 것으로 추정됩니다.
민간 보안업체, 스텔스모어도 해당 전자우편이 북한 IP(175.45.178.55)를 통해 발신된 것으로 분석했습니다.
서울에서 RFA 자유아시아방송 목용재입니다.
에디터 양성원