앵커 :북한과 연계된 것으로 추정되는 해커가 정보기술 즉 IT 프로그램 개발 관련 해외 사이트에서 위장 신분으로 활동하며 외화벌이를 하고 있는 것으로 알려졌습니다.
서울의 목용재 기자가 보도합니다.
한국의 민간 보안업체 이스트시큐리티가 정보기술, IT 프로그램 제작 수주를 받는 해외 인터넷 사이트에서 ‘킴수키’의 일원으로 추정되는 해커의 활동을 포착했다고 17일 밝혔습니다.
킴수키는 지난 2014년 한국의 전력, 발전 분야의 공기업인 한국수력원자력을 해킹한 조직으로 지목된 바 있습니다. 킴수키의 배후에는 북한 당국이 있는 것으로 추정됩니다. 해킹은 타인의 전산망에 들어가 해를 입히거나 각종 정보를 탈취하는 행위를 의미합니다.
이스트시큐리티가 공개한 자료에 따르면 이 해커는 IT 프로그램의 제작을 의뢰하고 이를 수주하는 해외 웹사이트인 프리랜서(freelancer), 크립토랜서(Cryptolancer), 구루(guru) 등에서 자신의 신분을 위장해 활동하고 있습니다. 크립토랜서의 경우 가상화폐와 관련한 업무를 할 수 있는 인력과 의뢰인을 연결해주는 웹사이트입니다.
킴수키의 일원으로 추정되는 이 해커는 한국의 IT 프로그램 제작 주문을 받는 웹사이트인 위시캣(wishket)에서도 위장 신분으로 프로그램 제작 수주 활동을 하고 있었습니다.
해당 사이트들에서 이 해커는 주로 사행성 온라인 게임 프로그램, 가상화폐 관련 프로그램 제작 의뢰를 받았습니다. 악성 프로그램 제작 의뢰에도 응한 것으로 나타났습니다.
이 해커가 북한과 연계된 것으로 확인될 경우 이 해커와 거래한 미국 국적의 의뢰인들은 모두 지난 2016년 채택된 미국 대통령 행정명령 13722호, 즉 미국의 독자 대북제재의 대상이 됩니다.
임수호 국가안보전략연구원 책임연구위원 :미국의 독자 대북제재 위반으로 볼 수 있습니다. 소프트웨어 거래, 북한 근로자 활용 자체가 제재 위반입니다.
특히 킴수키 일원으로 추정되는 이 해커는 가상화폐 관련 프로그램 제작 수주에 대해서도 관심을 갖고 있는 것으로 알려졌습니다.
이 해커는 위시캣 사이트의 자기소개란에 “8년의 프로그램 개발 경험을 가지고 있으며 가상화폐 개발에 적극 참여한 바 있고 가상화폐들을 개발한 경력이 있다”고 밝혔습니다.
한국 내 보안업계는 북한 해커들이 가상화폐 거래소의 보안 등과 관련된 프로그램 제작건을 수주할 경우 심각한 문제가 발생할 수 있다고 우려하고 있습니다. 북한이 세계 곳곳의 가상화폐 거래소를 해킹할 수 있는 기반을 이미 만들었거나 향후 더 만들 가능성이 있다는 겁니다.
문종현 이스트시큐리티 이사는 자유아시아방송과의 통화에서 “이들이 가상화폐 거래소의 보안 관련 프로그램 제작건을 수주하면 의뢰 프로그램에 악성 프로그램을 은밀히 삽입할 수 있다”고 지적했습니다.
북한의 해킹 활동을 추적, 연구해 온 익명의 한국 내 보안 전문가도 “지난 2010년부터 북한 해커로 추정되는 인력들이 ‘프리랜서’라는 사이트에서 활발하게 활동한 것으로 안다”면서 “북한 해커들은 신분을 위장하고 중국이나 인도를 거주지로 활동하는 경우가 많다”고 말했습니다.
이번에 이스트시큐리티 측에서 포착한 해커는 ‘프리랜서’ 등의 사이트에서 동양, 아랍계 남성이나 영화 ‘로켓 사이언스’의 주연 배우 리스 톰슨의 사진 등을 자신의 계정 사진으로 사용했습니다. ‘fedura jam’, ‘aji9170’, ‘aji199293’ 등 다양한 계정명을 사용하기도 했습니다.
이스트시큐리티 측은 이 해커가 그동안 사용한 기법이 한수원 해킹 등 과거 북한의 소행으로 추정됐던 사건에서 사용된 기법과 유사하다고 분석했습니다.
또한 이 해커의 활동 과정, 해킹 이외의 활동 등에서 ‘인츰’이라는 북한식 표현도 포착했습니다. ‘인츰’은 ‘금방’, ‘곧’이라는 의미입니다.
문종현 이스트시큐리티 이사는 “이 해커의 의뢰인들은 대부분 영어를 구사하는 사람들”이라며 “한국인들에게도 프로그램 제작 의뢰를 받는데 기본적으로 영어권 고객들을 유치하기 위해 자신을 미국인으로 위장하는 것으로 추정된다”고 설명했습니다.