IT 인력으로 위장 中 취업… 특명 받으면 사이버戰士로

5~15명 단위 소규모 활동… 와이파이 공격 포착 어려워

다롄·베이징·칭다오도 거점

[조선일보] 한국수력원자력을 해킹한 것으로 추정되는 인물이 사용한 인터넷 주소(IP)가 집중적으로 몰린 중국 선양(瀋陽)은 중국에 있는 북한 해커 조직의 핵심 근거지다. 지난 2009년 한·미 주요 기관에 대한 사이버 공격도 선양의 북한 해커 조직이 저지른 소행이었다. 당시 북한군 총참모부 산하 110호 연구소(평양 소재)는 선양의 조직을 활용해 디도스(DDoS ·분산서비스 거부) 공격을 감행했었다.

◇북 해커, 외화벌이 일꾼으로 활동하다 '사이버 전사'로 돌변

북한은 동북 3성의 최대 도시인 선양을 중국 내 대남(對南) 공작의 거점으로 삼고 있다. 북한이 선양에 총영사관을 개설한 것도 이런 맥락에서다. 중국 내 북한 공관은 베이징 대사관을 제외하고 선양이 유일하다. 선양에만 수천명의 북한인이 거주하고 있다. 선양 대북 소식통은 "북·중 국경인 단둥(丹東)과 옌볜(延邊)에는 의류·봉제 등 공장에서 일하는 북한 근로자가 대부분이지만, 선양에는 중국 IT(정보통신) 기업의 하도급을 받아 일하는 북한 IT 인력이 많다"고 말했다.

북한 해커들은 일반적인 IT 인력으로 위장해 중국에 취업한다. 평소에는 중국 기업이 주문한 소프트웨어를 개발하거나 전산 프로그램을 짠다. 애니메이션을 만드는 경우도 있다. 그러나 대남 공작부서인 정찰총국 등의 '특명'을 받으면 곧바로 '사이버 전사'로 돌변한다. 북한 해커는 평양의 과학 영재 학교인 금성 1·2중학교에서 컴퓨터 집중 교육을 받은 뒤 총참모부 산하 지휘자동화대학(일명 미림대학)이나 정찰총국 산하 모란봉대학(일명 223연락소)에서 3~5년간 '사이버 전사'로 키워진다. 1만명 이상으로 추정되는 북한 사이버전 요원 중 약 1000여명이 중국·동남아·유럽 등지에서 활동하는 것으로 알려졌다.

중국의 북한 해커 조직은 국내 은행과 백화점의 고객 정보를 빼내 팔거나, 인터넷 도박 사이트를 만들어 돈을 벌기도 한다. 동시에 국내 공공기관과 대기업 전산망을 뚫고 들어가는 훈련도 한다. 이 과정에서 알게 된 제품 기술이나 군사 기밀도 축적하고 있다. 그러나 해커 조직의 적발은 쉽지가 않다. 소식통은 "해커 조직은 적게는 5~6명, 많아도 15명을 넘지 않기 때문에 표시가 잘 안 난다"며 "커피숍 등에서 와이파이(Wi-Fi·무선랜)를 통해 사이버 공격을 하면 잡아내기가 어렵다"고 말했다.

◇다롄·베이징·칭다오·광저우도 북 해커 근거지

다롄(大連)·베이징(北京)·칭다오(靑島)·광저우(廣州) 등도 북한 해커 조직의 근거지다. 선양과 가까운 다롄에는 국가급 하이테크 경제개발구인 가오신(高信)구가 있다. '중국판 실리콘밸리'를 꿈꾸는 가오신구에만 북한 IT 인력 수백명이 근무하는 것으로 알려졌다. 다롄 소식통은 "중국 업체는 저렴하고 기술력이 높은 북한 IT 인력을 선호한다"며 "이 중에는 해커들도 상당수 있을 것"이라고 말했다. 북한 대사관이 있는 베이징도 중관춘(中關村)을 중심으로 소프트웨어·IT 기업이 발달해 북한 해커가 활동하기에 좋은 환경을 갖췄다. 한국 기업이 많은 칭다오는 국내 기업의 컴퓨터와 IP를 활용한 사이버 공격이 용이한 지역이다. 북한 해커는 기존 근거지에 대한 중국의 단속이 심해지자 남부 광저우 등으로 활동 무대를 옮기는 것으로 알려졌다. 베이징 대북 소식통은 "위장한 북한 해커는 중국 기업으로부터 하도급과 함께 서버·노트북 등을 받는데, 이것은 향후 대남 사이버 공격의 인프라가 된다"고 말했다.