미국 국토안보부를 비롯한 주요 정부 기관들이 2일(현지 시각) 북한 해킹 조직이 세계 각국의 은행을 사이버 공격해 현금자동인출기(ATM)로부터 현금을 빼돌리고 있다고 밝혔다.
이날 국토안보부와 재무부, 연방수사국(FBI)은 웹사이트에 "북한 해킹 조직 '히든 코브라(Hidden Cobra)'가 아시아와 아프리카의 은행을 사이버 공격한 흔적을 발견했다"며 공동 경보를 발령했다. 히든 코브라는 악성 코드를 이용해 은행 내 소매 결제 시스템을 감염시킨 뒤 ATM에서 현금을 빼돌리는 일명 '패스트 캐시(FAST Cash)' 수법을 사용했다. 미국 정부는 "히든 코브라가 공격에 사용한 악성 코드와 보안 침해 흔적을 확인했다"고 밝혔다. 이 기관들에 따르면 히든 코브라는 2016년 무렵부터 이러한 수법으로 아프리카와 아시아 은행을 공격, 수천만달러를 탈취한 것으로 추산된다. 작년 30개 국가에 있는 ATM에서 동시에 현금이 탈취되는 사건이 벌어졌다. 올해는 23개국 ATM에서 현금이 빠져나갔다. 다만 미국에서 아직 '패스트 캐시' 수법으로 공격을 당한 사례가 발견되진 않았다. 히든 코브라는 앞서 지난 3월에도 한국소비자원을 비롯해 공정거래위원회 산하 기관들의 웹사이트에 대한 대규모 해킹 공격을 시도했었다. 국정원 국가사이버안전센터에 따르면 당시 히든 코브라는 한국소비자원의 75개 IP에 대해 무차별 접근 방식의 공격을 했다. 국토안보부는 "북한 해킹 조직은 이런 현금 인출 사기 수법으로 은행 내 결제 변경 응용 프로그램 서버를 원격으로 손상시키고 있다"면서 "히든 코브라가 원격 사기에 취약한 온라인 소매 결제 시스템을 겨냥해 불법 사이버 공격을 지속할 것"이라고 했다. 이번 사태를 일으킨 히든 코브라는 북한군 공작 기관인 정찰총국 소속인 것으로 전해졌다. 유동열 자유민주연구원장은 "정찰총국이 '히든 코브라' 'APT38' '라자루스' 등 20여개의 해킹 전문 조직을 운영하면서 사이버 공작을 진행하고 있다"고 했다. 북한의 사이버 공작은 크게 군부와 노동당이 주도한다. 군 총참모부 소속 지휘자동화국은 600여명 규모로 추정되는 사이버 전사들을 이용해 한국군의 지휘·통제·통신 교란 작전을 주임무로 하고 있다. 미 국방부가 지난해 모의실험을 통해 북한의 사이버전 능력을 평가한 결과 미군 태평양사령부 지휘통제소를 마비시키고 본토 전력망에 피해를 줄 정도의 수준인 것으로 분석했다. 북 총참모부 산하 적공국 204소는 한국군을 대상으로 사이버 심리전을 진행한다. 해킹, 금전 탈취, 사이버 테러 등은 정찰총국 소속 기술정찰국이 주도한다. 이들은 금융기관 해킹부터 블록체인과 가상 화폐를 활용한 돈세탁, 네트워크 마비나 데이터 삭제, 랜섬웨어 배포 등의 사이버 공격을 주로 한다.
1년에 사이버 금전 탈취를 통해 벌어들이는 돈만 1조원이 넘는 것으로 알려졌다. 또 이들은 2009년 디도스(DDoS·분산 서비스 거부) 공격을 시작으로 2013년 언론·금융기관 전산망 마비, 2014년 한국수력원자력 사이버 공격도 했다. 2009년 주요 정부 기관 사이트를 교란한 '7·7디도스' 공격은 정찰총국 산하 기술정찰조로 불리는 110호연구소가 주도했다. 기술정찰국 414연락소는 사이버 공간에서 역정보와 허위 정보를 유포하는 등 대남 사이버 심리전을 수행한다. 북한은 1990년대 들어 김정일의 교시에 따라 사이버 테러를 미래전과 도발의 핵심 전략으로 삼고 해커 양성에 총력을 기울였다.
2000년대 들어서는 김일군사대학(옛 미림대학)과 모란봉대학, 국방과학원, 국방대학 등을 통해 매년 수백명의 해커를 배출하고 있는 것으로 알려졌다. 2017년 국방백서에 따르면 북한은 모두 7000여명의 사이버 요원을 보유하고 있다. 작전요원 7개 팀에 1700여명, 기술 지원 13개 팀에 5100여명으로 추산된다. 이는 2014년에 비해 1000여명 늘어난 숫자다. 해외 언론에 따르면 북한의 해커 부대는 규모 면에서 미국·중국·러시아에 이어 세계 4위 수준으로 평가된다.