[단독] 정부, 공격적 대북 해킹 진행 중...“북한이 당황하고 있다”

“2월1일 개시된 ‘공세적 사이버 방어’ 작전으로 ‘정보사 군무원’의 간첩 혐의 사건 포착돼” 세계 최고 수준의 대북·해외 해킹, ‘국정원 댓글 사건’ 수사 등으로 10년 가까이 개점 휴업

2024-08-02     김현지 기자·이영종 뉴스핌 통일전문기자

[김현지 기자·이영종 뉴스핌 통일전문기자] 정보 당국이 북한을 상대로 공세적인 사이버전에 나선 과정에서 ‘정보사 군무원 간첩 혐의 사건’이 포착된 것으로 시사저널 취재 결과 파악됐다. 이와 관련해 윤석열 정부가 올해 초 “공세적 사이버 방어 활동을 강화한다”는 내용의 전략과제를 발표한 사실이 주목을 받고 있다. 북한의 사이버 위협에 대해 방어 중심의 대응에서 벗어나 선제적으로 식별하고 대응하는 “공세적이고 포괄적 접근”을 하겠다는 취지다. 정보 당국 소식통은 “2월1일 개시된 ‘공세적 사이버 방어’ 작전으로 이번 사건을 적발할 수 있었다”고 말했다.

북한을 표적으로 한 우리 정보기관의 해킹 활동은 박근혜 정부 시절 국가정보원 댓글 수사 사건 이후 10년 가까이 사실상 ‘개점 휴업’ 상태였다. 국가정보원을 비롯한 권력기관 개혁을 내세운 문재인 정부에서 특히 이런 활동이 위축됐다. 민간인으로 구성된 국정원 개혁발전위원회가 국정원의 메인서버를 공개하자 정보요원들의 비합법적인 정보활동, 이른바 ‘더러운 전쟁’(dirty war)을 지시할 지휘자도, 수행할 요원도 드물었다는 설명이다. 개점 휴업 상태였던 우리 정부의 대북 해킹 작전이 지난 2월 이후 공세적으로 전환됨으로써 사이버 남북 대결전에 큰 변화가 생겼다고 복수의 정보 당국자가 전했다. 전직 고위 정보 당국자는 “최근 북한을 겨냥한 공격적 방어가 공식화되면서 ‘북한이 당황하고 있다’는 얘기를 들었다”고 말했다.

ⓒ시사저널 최준필

대통령실, ‘국가 사이버 안보 전략’ 최상위 지침서 배포

최근 국군정보사령부에서 드러난 대북 관련 비밀 유출 사건으로 국가 정보라인에 비상이 걸렸다. 해외에서 신분을 감춘 채 극도의 보안을 유지하면서 활동해온 정보요원들의 신상뿐 아니라 대북·해외 정보수집 관련 부대의 현황까지 송두리째 흘러나가는 바람에 수십 년간 축적해온 인적 정보망이 사실상 와해됐고, 재편까지는 상당한 시간과 비용이 투입돼야 하는 곤혹스러운 상황에 처한 것이다.

정보 당국과 군 관련 기관이 구체적인 내용을 밝히지 않고 있지만 정보사 군무원으로 일해온 부사관 출신 A씨가 정보사 블랙요원과 사령부 현황 등이 담긴 2급과 3급 비밀을 조선족으로 알려진 중국 교포에게 파일 형태로 넘겼다는 게 이번 사건의 개요다. 국정원과 국군방첩사령부 등이 낌새를 알아차려 수사에 나선 건 지난 6월이고, 국방부 중앙군사법원은 7월30일 군사기밀누설 등의 혐의로 A씨에 대한 구속영장을 발부했다.

정보사에서 대북 정보 관련 업무를 깊숙이 진행했던 한 예비역 간부는 “흔히 정보사를 군 정보기관으로 알고 있지만 실제로는 대북 정보 현장 업무의 상당 부분을 맡고 있는 게 현실”이라며 “여기에 구멍이 뚫렸다는 건 대북·해외 정보라인에 치명적인 문제가 발생했다는 의미”라고 귀띔했다. 국가정보원 현직 직원이 직접 중국·러시아 등 민감한 지역에서 대북 정보 업무를 수행하는 데 상당한 부담이 따르기 때문에 주로 정보사 요원들이 민간인으로 위장해 현장에 투입된다는 얘기다.

한때 중국 동북 3성 지역의 우리 국적 항공사 부지사장급 자리 등은 정보기관 중간 간부가 부임하는 게 공공연한 ‘비밀’이었고, ‘고려인삼공사 ◯◯총판’ 등의 간판을 달고 탈북자 관련 첩보나 대북 정보를 수집하는 거점으로 삼은 일도 있었다.

이런 정보사 활동의 예산도 국정원이 확보해 제공하고, 이에 대한 일정한 지휘·감독 권한까지 갖는다고 한다. 이번 사건의 경우도 구속된 A씨의 소속기관인 정보사가 자체적으로 적발한 게 아니라 국정원이 방첩망을 가동하는 과정에서 드러났고, 해외활동 요원들을 급거 귀국시키는 등 수습책 마련에 나선 것으로 알려졌다. 이들은 주재국 정부에도 명단을 통보하고 해외공관 등에 공식 파견된 ‘화이트’가 아니라 유학생·주재원 등으로 체류해온 블랙요원이라는 게 정보 당국 관계자의 설명이다.

2월1일 대통령실이 발표한 보도자료 중 일부 ⓒ대통령실

조선족에 넘어간 기밀, 국군방첩사 등이 적발

그런데 이번 사건과 관련해 윤석열 정부가 연초부터 공을 들여온 ‘공세적 사이버 안보전략’을 다시 주목할 필요가 있다는 관측이 제기됐다. 사이버 안보 전략은 2012년 국가정보원 댓글 사건 수사 이래 사실상 개점 휴업 상태였다. 문재인 정부에선 김관진 전 국방부 장관이 군 사이버사령부 댓글 조작 혐의로 재판에 넘겨졌다. 국정원 메인 서버가 ‘국정원 개혁’이라는 명분으로 공개되기도 했다. “위법성 논란 등으로 안보의 핵심인 정보요원들의 활동이 움츠러들었고 사실상 개점 휴업에 이르게 됐다”는 것이 정보 당국 관계자들의 공통된 증언이다.

이런 상황을 탈피해 정상을 찾아가고 있는 과정에서 A씨 사건이 불거졌다는 것이다. 대북 안보부처 핵심 당국자는 “단순한 방첩 차원이 아니라 이전과는 확연히 다른 방식으로 능동적으로 대처하다 보니 뜻밖의 결과가 나온 것”이라고 말했다.

대통령실은 2월1일 공세적 사이버 방어 활동을 강화한다는 취지의 ‘국가 사이버 안보전략’을 발표했다. 국정원, 외교부, 국방부, 과학기술정보통신부 및 경찰청 등과 합동으로 마련한 사이버 안보 분야 최상위 지침서다. 국가안보실 명의의 보도자료를 보면 △공세적 사이버 방어 및 대응 △글로벌 리더십 확장 △건전한 사이버 복원력이라는 사이버 안보전략 3대 목표를 제시하고 있다. 또 5대 전략과제로 ①공세적 사이버 방어 활동 강화 ②글로벌 공조체계 구축 ③국가 핵심 인프라 사이버 복원력 강화 ④신기술 경쟁 우위 확보 ⑤업무수행 기반 강화를 설정했다.

여기서 눈길을 끄는 건 전략목표와 과제에서 모두 ‘공세적 사이버 방어 활동’을 강조하고 있다는 점이다. 표면적으로 ‘방어’를 내세우고 있지만 실제로는 공세적인 활동에 방점을 둠으로써 국가 안보와 이익을 최우선시하는 활동에 힘을 실어주고 있는 것이란 평가가 나온다. 이는 안보실이 “기존의 방어 중심 대응에서 벗어나 사이버 위협을 선제적으로 식별하고 대응하는 공세적이고, 포괄적인 접근과 이를 위한 대응역량 강화방안”을 강조하고 있는 데서도 확연하게 드러난다.

국정원과 정보사 핵심 요원들 사이에서는 군무원 A씨가 구속된 이번 사건이 매우 특이한 경로로 단서가 포착돼 수사 및 대응조치가 이뤄졌다는 얘기가 은밀하게 흘러나온다. 한 관계자는 “통상은 우리 내부의 방첩·보안 시스템에 의해 이상 징후가 드러나는데 A씨의 경우 상대 측 컴퓨터에서 관련 문건과 관련한 정황이 식별되면서 역으로 경로가 추적된 특이한 케이스”라고 말했다. 이 때문에 우리 정보 당국을 위해 일하는 화이트 해커 요원들이 특이점이 나타난 중국 또는 북한 등의 컴퓨터나 전산망을 상대로 ‘공세적’ 활동을 전개하는 과정에서 문제의 비밀 문건이 드러나 수사에 이르게 된 것이란 해석도 나오고 있다.

7월29일 서울 여의도 국회에서 국회 정보위원회 전체회의가 열리고 있다. ⓒ국회사진취재단

“사이버 전쟁에선 불법·합법 가리기 어려워”

국정원 고위 간부 출신 인사는 대북 해킹을 통한 수사 가능성에 대해 “당연히 이뤄졌을 것”이라고 말했다. 이 인사는 “유출된 출처를 찾을 때는 서베이(survey) 또는 서치(search)라는 사이버 탐색활동을 하는데 전문가들은 그 길목을 지키는 방법을 안다”며 “구체적으로 말할 수 없지만 사이버 공간에서의 정보전은 불법, 합법 여부를 가르는 말이 통하지 않는다”고 강조했다.

다른 관계자는 “이번 사건으로 가장 놀란 건 북한 당국이었을 것”이라고 말했다. 한국 정보기관의 사이버 침투 능력에 크게 당황해하고 있을 것이란 얘기다. 국내외 언론보도 등을 통해 북한 해커들의 사이버 공격이나 전산망 침투, 암호화폐 탈취 행위가 집중 부각되면서 상대적으로 우리 능력이 주목받지 못하거나 평가 절하된 측면이 적지 않다는 게 이 관계자의 지적이다.

북한은 미림대학 등 전문기관에서 젊은 영재들을 선발해 한국과 해외를 대상으로 무차별적인 해킹을 저지르고 있는 것으로 파악되고 있다. 해커 숫자만 적어도 8000명에 이르는 것으로 한미 정보 당국은 추산한다. 블록체인 리서치 업체인 TRM랩스에 따르면 올 들어 6월24일까지 해킹 방식으로 암호화폐를 탈취해간 규모는 13억8000만 달러(약 1조9000억원)로 추산됐다. 이는 지난해 같은 기간의 피해액 6억5700만 달러(약 9000억원)의 2배가 넘는 규모다. 눈길을 끄는 건 북한이 개입한 해킹 범죄다. TRM랩스 측은 2022년 암호화폐 탈취 규모가 9억 달러(약 1조2000억원)가량인데, 이 중 6억 달러(약 8000억원) 이상이 북한 해커그룹이 연루된 온라인게임 ‘엑시인피니티’ 해킹과 관련된 것이라고 밝히고 있다.

그런데 한국의 정보기관에 몸담고 있는 인터넷·전산 관련 전문 요원이나 화이트 해커들의 능력에 대해서는 미 국가안보국(NSA) 관계자들도 경이롭게 생각할 정도로 인정하고 있다고 한다. 한미 정보 당국은 공조를 통해 북한 해커들이 탈취해간 암호화폐를 다시 털어오거나 시도를 무력화하는 움직임을 전개 중이라고 한다. 미 정보기관 관계자는 최근 한국계 지인에게 “북한 해커들의 컴퓨터가 켜지면 우리 감시요원들의 책상 위 알람이 울린다”며 “실시간으로 치밀하게 추적·감시하고 있어 북한은 점점 궁지로 내몰릴 수밖에 없다”고 말하기도 했다.

이 때문에 북한 당국과 해커들도 상당한 피로감을 느끼고 있다는 게 대북 정보 관계자의 전언이다. 이에 따르면 중국이나 러시아를 거점으로 한 북한 해커들은 매우 열악한 상황에서 평양 측의 압박을 받으며 일하고 있다. 한국과 서방국가를 대상으로 한 비밀서류 탈취나 국제 전산망 침투가 화이트 해커들의 활동으로 상당 부분 막히면서 북한 해커집단은 프로그램 개발 등 아르바이트성 일감을 잡아 현지 체류비 등을 충당하는 실정이란 것이다.

현재 A씨는 대북 정보 유출이 자신의 소행이 아니라 외부 해킹에 의한 것이라고 주장하고 있는 것으로 알려졌다. 하지만 한 관계자는 “보안조치를 하지 않거나, 했더라도 이를 뚫을 수 있도록 길을 열어줘 해킹을 할 수 있게 했을 가능성이 있다”며 “해커들이 침입하는 여러 길이 있는데, 그 알고리즘의 중요 부분을 상대에게 노출하면 침입하기 쉽다”고 말했다.

 

미국의 ‘에임스 스파이’ 사건, 정보기구 개혁으로 전화위복

국군방첩사령부는 A씨를 대상으로 군사기밀보호법, 국가보안법, 내란 유치죄, 외환죄 등의 혐의로 심층 수사를 진행 중인 것으로 알려져 있다. 하지만 정작 간첩죄 기소는 어려울 것이란 관측이 많다. 중국 국적 조선족으로 알려진 A씨의 경우 ‘북한 국적’을 대상으로 하는 간첩죄 적용 대상이 아니기 때문이다.

이런 배경에서 관련 법률에 대한 대대적 손질이 시급히 이뤄져야 한다는 지적이 나온다. 군사 및 대북 정보 못지않게 최근 들어 국가 이익의 핵심으로 떠오른 반도체·AI 등 산업 정보의 유출도 형량을 높이는 방향으로 경종을 울려야 한다는 목소리도 높아지고 있다. 중국이나 러시아 등으로 정보가 흘러나갈 경우 북한이 이에 접근하는 건 시간문제일 수 있는 데다, 국가안보에 치명적인 손상을 입히고도 수년간 수감생활을 하고 나오면 책임을 더 이상 물을 수 없는 어처구니없는 상황을 막아야 한다는 취지에서다.

최근 한미 간에 불거진 ‘수미 테리 사건’에 이어 핵심 대북 정보요원 관련 정보가 통째로 흘러나간 사태를 우리 정보기관의 허술한 시스템과 운용 실태를 성찰하고 바로잡는 계기로 삼아야 한다. 미 중앙정보국(CIA) 간부였던 올드리치 에임스는 대소련 방첩과장이던 1985년부터 9년간 25명 이상의 소련 내 미국 스파이 명단을 KGB 측에 넘겼다. 에임스 사건으로 CIA는 존립이 위태로울 정도로 위기에 처했지만 안보와 방첨에 대한 중요성을 깨닫는 계기가 돼 16개 정보기관을 총괄 지휘하는 미 국가정보국(DNI) 출범의 밑거름이 됐다.

우리도 이번 사건을 뛰어난 역량과 잠재력을 가진 우리 사이버 전력을 적극 활용해 미래 국가 정보전의 주축으로 자리하게 하는 전화위복의 기회로 삼아야 할 것으로 보인다. 국가 핵심이익 수호의 최전선에서 일하는 정보요원들의 발을 묶어놓고 안보·산업 관련 기밀이 줄줄 새나가도록 방치하는 잘못을 더 이상 되풀이할 수는 없다.