시니어월드USA

라자루스 강도 사건: 북한은 어떻게 최정예 해커 부대를 만들어 냈나

Lazarus Heist artwork

2016년 북한 해커들은 방글라데시의 국영은행 해킹 계획을 세웠다. 10억달러(약 1조1330억원) 규모였다.

계획은 간발의 차이로 실현되지 못했다. 영국 탐사전문기자 제프 화이트와 미국 우드로윌슨센터 연구원 진 리에 따르면 8100만달러(917억7300만원)가 이들 손에 넘어갔을 뿐, 나머지 금액은 운 좋게 중간에서 이체가 막혔다.

세계 최빈국 중 하나이자 가장 고립된 나라이기도 한 북한은 어떻게 이런 엘리트 사이버 범죄자 집단을 훈련시킬 수 있었을까.

시작은 고장난 프린터 한 대였다. 현대 사회에서 매일같이 발생하는 문제이기도 하다. 방글라데시은행(Bangladesh Bank) 직원들에게도 마찬가지였다. 그저 ‘귀찮은 기술 문제’ 정도일 뿐이었다.

그러나 사실 이는 단순한 프린터 고장이 아니었다. 모든 은행에서 으레 벌어지는 일도 아니었다.

수백만 명이 가난에 시달리는 이 남아시아 국가의 중앙은행은 국가의 귀중한 외화 보유고를 감독할 책임이 있었다.

그리고 문제의 프린터는 중요한 역할을 맡고 있었다.

https://bbc.com/ws/av-embeds/cps/korean/international-57674041/p09hm7h7/ko

동영상 설명,

일명 ‘수퍼노트’로 불리는 초정밀 100달러 위조지폐 이미지

이 프린터는 방글라데시 수도 다카의 은행 본사 건물 10층, 보안이 유독 강화된 방에 설치돼 있었다. 은행에서 오가는 수백만 달러 규모의 이체 기록들을 인쇄하는 게 이 프린터의 일이었다.

프린터 작동이 멈춘 사실을 직원이 발견한 건 2016년 2월 5일 금요일 오전 8시 45분쯤이었다.

담당자 주바르 빈 후다는 경찰에 “여타 다른 날들처럼 늘 발생하는 문제가 또 다시 일어난 것이라고 생각했다”면서 “예전에도 기계 결함이 있었다”고 진술했다.

사실 이는 방글라데시은행이 곤란에 빠졌다는 ‘첫 신호’였다.

해커들은 은행 컴퓨터 네트워크에 침입했고, 프린터가 고장났던 시점엔 역대 가장 대담한 사이버 공격을 벌이고 있었다.

해커들의 목표는 10억달러를 훔치는 것이었다.

이 범죄 집단은 돈을 빼돌리기 위해 가짜 은행 계좌와 자선단체들, 카지노, 그리고 곳곳에 퍼져 있는 공범들을 활용했다.

이들은 과연 누구이며, 어디서 왔을까?

조사에 따르면 사건 현장에 남은 ‘디지털 지문’은 한 지점을 가리키고 있었다.

바로 북한 정부였다.

스포일러 경고: 이 기사는 BBC 월드서비스의 10부작 팟캐스트 ‘라자루스 사기 사건(The Lazarus Heist)’의 내용을 담고 있습니다. 영어 팟캐스트는 여기에서 들으실 수 있습니다.

Short presentational grey line

북한이 사이버 범죄의 주요 용의선상에 올랐다는 사실은 일부 사람들에겐 놀라울 수 있다. 북한은 세계에서 가장 가난한 나라 중 하나일 뿐더러 기술과 경제를 비롯해 거의 모든 부문에서 뒤쳐져 있기 때문이다.

Pyongyang cityscape

그러나 미 연방수사국(FBI)에 따르면 이 대담한 방글라데시은행 해킹 사건은 북한의 음지 해커 집단과 아시아 전역에 걸쳐 있는 중개인들이 몇 년에 걸쳐 준비한 조직적 활동의 정점이었다.

그리고 그 뒤엔 북한 정권이 있었다.

사이버 보안 업계에서 북한 해커들은 일명 ‘라자루스 그룹’으로 알려졌다. 죽음에서 부활한 성경 속 인물 나자로(가톨릭에선 ‘라자로’라고 부른다)에서 따온 이름이다.

라자루스 그룹의 컴퓨터 바이러스에 대응해 온 전문가들은 이들이 나자로마냥 회복력이 강하다고 본다.

라자루스 그룹에 대해선 알려진 바가 많지 않다. FBI는 최근 이 그룹의 일원으로 추정되는 용의자 박진혁(Park Jin-hyok)의 신원을 공개했다.

그는 다른 영어 철자 표기(Pak Jin-hek) 또는 박광진(Park Kwang-jin)이라는 이름으로도 활동한 것으로 전해졌다.

FBI는 박진혁이 북한의 명문대를 졸업하고 중국의 항구 도시 다롄에 위치한 북한 기업 조선엑스포(Chosun Expo)에서 일한 컴퓨터 프로그래머라고 설명했다. 그는 세계 각국 거래처와 손잡고 온라인 게임과 도박 프로그램 등을 설계한 것으로 알려졌다.

다롄에 머무는 동안 박진혁은 이메일 주소와 이력서 등을 만들었다. 연락망 구축을 위해선 소셜미디어를 이용했다.

FBI 수사관의 진술서에 따르면 박진혁의 디지털 족적은 2002년부터 2013년 또는 2014년까지 때때로 다롄에서 발견됐다. 그 와중에 평양에서도 그의 인터넷 활동이 포착됐다.

FBI는 이어 박진혁의 사진을 공개했다. 조선엑스포 직원이 외부 고객에게 박진혁을 소개하며 보낸 이메일에서 확보한 것이었다.

사진 속 박진혁은 머리를 단정하게 자른 남성으로, 20대 후반에서 30대 초반으로 보인다. 가는 줄무늬의 검정색 셔츠를 입고 그 위엔 갈색 재킷을 걸쳤다.

지친 듯 메마른 표정을 제외하고는 평범하기 이를 데 없는 모습이다.

FBI wanted picture - Park Jin-hyok

FBI는 박진혁이 낮엔 프로그래머로, 밤엔 해커로 일한다고 설명했다.

2018년 6월 미 당국은 박진혁을 컴퓨터 사기 음모를 꾸민 혐의로 기소했다. 앞서 2014년 9월에서 2018년 8월 사이에는 이메일 등 전자통신을 이용한 사기를 계획한 혐의도 적용됐다.

붙잡힌다면, 박진혁은 징역 20년에 처해질 전망이다. 그러나 그는 혐의 적용 4년 전 이미 중국에서 북한으로 돌아간 상황이다.

박진혁. 진짜 이름이라는 가정 아래, 이 남자가 북한 정권의 해커가 된 건 하룻밤 새 벌어진 일이 아니다.

그는 ‘사이버 전사’가 되기 위해 어린 시절부터 길러진 수천 명의 북한인들 중 하나일 뿐이다. 열두 살 즈음 학교에서 수학에 재능을 보여 수도 평양으로 보내진 뒤, 아침부터 밤까지 집중 교육을 받은 그런 아이들 말이다.

Short presentational grey line

방글라데시은행 직원이 프린터를 껐다 다시 켰다.

그때, 우려스러운 소식이 전해졌다. 뉴욕연방준비은행(Fed, 연준)에서 날아온 긴급 메시지였다. 방글라데시의 미국 달러 계좌가 있는 곳이기도 하다.

연준은 방글라데시은행으로부터 보유액 전체를 출금해 달라는 지시를 받았다고 했다. 수십억 달러에 달하는 돈이었다.

방글라데시 측은 상황 파악을 위해 연준에 연락을 시도했다. 그러나 해커들의 치밀한 시간 계산에 따라 이들의 연락은 제때 닿지 못했다.

해커들이 ‘작업’을 시작한 건 방글라데시 시간으로 2월 4일 목요일 저녁 8시였다. 뉴욕은 아직 목요일 아침이었다.

방글라데시가 잠든 사이, 연준이 해커들의 계획대로(물론 어떤 일이 벌어지는지 연준도 알지 못했다) 일을 진행할 수 있도록 시차가 시간을 벌어준 셈이었다.

방글라데시 수도 다카의 저녁 풍경
사진 설명,방글라데시 수도 다카의 저녁 풍경

이튿날인 금요일은 방글라데시에서 주말이 시작하는 날이었다 (방글라데시에선 금요일과 토요일을 주말로 친다). 다카의 은행 본사 역시 이틀간 휴무에 들어갔다.

방글라데시 측이 돈을 도둑맞았다는 사실을 깨달은 건 토요일. 뉴욕은 이미 주말이었다.

“이 공격이 얼마나 섬세하게 설계됐는지 알 수 있는 대목이죠.”

미국의 사이버 안보 전문가 라케시 아스타나의 말이다.

“목요일 밤을 범행 시간으로 설정했다는 건 매우 확실한 목적이 있었다는 겁니다. 금요일에 뉴욕은 일을 하지만, 방글라데시은행은 쉬죠. 방글라데시은행이 업무에 복귀했을 때 연준은 휴무고요. 거의 사흘이 지나서야 피해 사실을 깨닫게 된다는 이야기입니다.”

해커들은 시간을 벌기 위해 다른 수법도 썼다.

이들은 연준에서 돈을 빼돌리자마자 이 돈을 다른 곳으로 보내야 했다.

해커들은 필리핀 마닐라에 개설해 둔 계좌를 이용했다. 아시아 많은 지역에서 공휴일인 2016년 2월 29일 월요일, 음력설 첫날이었다.

해커들은 방글라데시와 뉴욕, 필리핀의 시차를 악용해 닷새짜리 작전을 짰다.

사실 이 모든 계획에 이르기까지 이들에겐 충분한 시간이 있었다.

라자루스 그룹이 1년에 걸쳐 방글라데시은행 컴퓨터에 침입해 있었기 때문이다.

2015년 1월, 문제될 게 없어 보이는 이메일 한 통이 방글라데시은행 직원들에게 전송됐다. 자신을 라셀 알람이라고 소개하는 한 구직자가 보낸 것이었다.

공손한 어투의 이 문의 메일엔 그의 이력서 다운로드 링크가 포함돼 있었다.

물론 라셀은 실존 인물이 아니었다. FBI에 따르면 이는 라자루스 그룹이 쓰는 가명이었다.

적어도 한 명 이상의 은행 직원이 이 수법에 넘어갔고, 다운로드 버튼을 눌렀다. 그렇게 방글라데시은행 컴퓨터는 바이러스에 감염됐다.

은행 시스템에 침입한 이후 라자루스 그룹은 비밀스럽게 여러 컴퓨터를 넘나들며 은행의 디지털 금고와 그 속의 돈을 향해 통로를 뚫어 나갔다.

그러던 중, 이들은 갑자기 작업을 멈췄다.

해커들은 왜 피싱 메일을 보낸 지 1년이 지나서야 돈을 빼돌렸을까. 이들이 은행 시스템에 숨어 있는 동안 위험했던 이유는 뭘까.

이들은 사실 ‘탈출 경로’를 짜기 위한 시간이 더 필요했던 것으로 보인다.

필리핀 리잘상업은행 주피터 스트리트 지점
사진 설명,필리핀 리잘상업은행 주피터 스트리트 지점

주피터 스트리트는 마닐라의 주요 대로로, 유동인구도 늘 많은 곳이다. 호텔과 치과를 지나면, 리잘상업은행(RCBC)의 지점이 나타난다. RCBC는 필리핀에서 가장 큰 은행 중 하나다.

이곳에서 해커들의 공범이 계좌 4개를 개설한 건 2015년 5월이었다. 해커들이 방글라데시은행 시스템에 침입한 지 몇 달이 지난 시점이었다.

돌이켜 보면 의심스러운 정황들은 있었다.

먼저 계좌 개설에 쓰인 운전 면허증들은 위조된 것이었다. 계좌 개설을 요청한 이 고객들은 각기 다른 회사에서 일한다면서도 모두 같은 직함과 동일한 연봉을 내세웠다.

그러나 이 부분을 눈치챈 사람은 없었다. 이렇게 만들어진 계좌들은 초기 예치금 500달러가 입금된 이후엔 한동안 휴면 상태였다. 그동안 해커들은 다른 작업에 집중했다.

2016년 2월, 라자루스 그룹은 방글라데시은행에 성공적으로 침입한 데 이어 돈을 빼돌리기 위한 통로까지 확보했다.

준비는 끝났지만 처리해야 할 단계 하나가 남아 있었다. 10층의 프린터였다.

방글라데시은행은 자사 계좌에서 오가는 모든 이체를 기록하는 ‘종이 백업’ 체계를 갖추고 있었다. 이 거래 기록들은 해커들의 작업을 즉각 노출시킬 위험이 있었다. 해커들이 이 프린터를 관리하는 소프트웨어를 공격해 프린터 작동을 멈추게 했던 이유였다.

2016년 2월 4일, 목요일. 작전이 노출됐을 즈음 해커들은 이미 이체를 시작한 상황이었다. 모두 35건, 액수로는 9억5100만달러(약 1조750억원) 규모였다. 방글라데시은행의 뉴욕 연준 계좌 거의 전체를 턴 수준이었다.

이제 돈잔치를 벌일 일만 남아 있었다. 그러나 여느 할리우드 강도 작전 영화에서처럼, 아주 사소한 단서 하나가 이들의 발목을 잡았다.

방글라데시은행 건물 상층에서 내려다 본 풍경
사진 설명,방글라데시은행 건물 상층에서 내려다 본 풍경

주말 사이 돈이 사라졌다는 사실을 깨달은 방글라데시은행은 즉각 상황 파악에 나섰다.

방글라데시은행 총재는 앞서 언급된 사이버 보안 전문가 라케시 아스타나, 그리고 아스타나의 회사인 월드 인포매틱스(World Informatix)와 안면이 있었다. 총재는 아스타나에게 도움을 청했다.

아스타나에 따르면 총재는 이 시점에서도 도둑맞은 돈을 되찾을 수 있을 거라 생각했다고 한다. 총재는 피해 사실을 대중에게도, 심지어 방글라데시 정부에도 숨겼다.

그러는 사이 아스타나는 이번 사건이 얼마나 치밀하게 설계됐는지 알게 됐다.

해커들은 ‘스위프트(Swift)’로 불리는 방글라데시은행 핵심 시스템에까지 침투하는 데 성공했다. 전 세계 수천 개 은행이 거액의 돈을 이체할 때 쓰는 시스템이었다.

해커들은 스위프트의 보안 약점을 노리지 않았다. 그럴 필요가 없었기 때문이었다. 스위프트를 다루는 데 있어서 이 해커들은 진짜 은행 직원과 다름 없었다.

돈을 고스란히 되찾긴 어려울 거란 사실은 곧 명확해졌다. 일부 금액은 이미 필리핀에 다다른 상황이었다.

필리핀 당국은 돈을 회수하려면 법적 절차를 밟아야 한다는 입장이었다.

법원 명령은 공적 정보였다. 그달 말 방글라데시은행은 소송 절차에 돌입했다. 그리고 이 사기 사건은 전 세계에 알려졌다.

총재에게 내려진 처분은 즉각적이었다. 아스타나는 “총재는 사임을 요구받았고, 이후엔 그를 한 번도 보지 못했다”고 했다.

캐럴린 멀로니 미국 하원의원은 이 사건에 대해 처음 알게 된 순간을 생생하게 기억한다.

“공항에 가야 해서 의회를 막 나선 참이었어요. 이런 사건이 벌어졌다는 소식을 읽게 되었는데, 너무 흥미롭고 충격적이더라고요. 놀라운 사건이죠. 아마 제가 금융시장에서 본 사건들 중 가장 놀라운 축에 속할 겁니다.”

미 하원 금융위원회 소속인 멀로니는 보다 더 거시적인 전망을 내놨다.

스위프트는 전 세계 수십억 달러 규모 거래를 뒷받침하는 시스템이었다. 이런 사건이 스위프트의 신뢰도를 심각하게 훼손할 수 있다는 것이다.

그는 특히 이번 일에 연준이 연루됐다는 점을 우려했다.

“뉴욕 연방준비은행이라고요. 언제나 매우 주의 깊게 일을 처리하는 기관인데 말이죠. 어떻게 이런 종류의 이체가 발생할 수 있었을까요?”

캐럴린 멀로니 의원이 취재진 질문을 받고 있다
사진 설명,캐럴린 멀로니 의원이 취재진 질문을 받고 있다

멀로니는 연준에 연락을 취했다. 직원은 멀로니에게 거래 대부분이 중간에서 막혔다고 설명했다. 우연하고 사소한 단어 하나 덕분이었다.

해커들의 송금 목적지였던 RCBC 마닐라 지점은 주피터 스트리트에 자리잡고 있었다. 마닐라엔 은행 수백 곳이 있었지만 해커들은 이곳을 골랐다. 그리고 결과적으로 이들은 이 결정으로 수억 달러의 손실을 봤다.

멀로니는 “거래는 연준 단계에서부터 막혔다”면서 “주소지에 쓰인 ‘주피터(Jupiter)’라는 단어가 제재 대상인 이란 선박의 이름과 같았던 게 문제였다”고 했다.

이 단어 하나가 연준의 자동 컴퓨터 시스템에 경보를 울렸다.

이체 요청은 재검토 절차로 넘겨졌고, 대부분 중단됐다.

하지만 모든 이체가 막힌 건 아니었다. 5건이 이 문턱을 넘어 성공적으로 이체됐는데, 총 1억100만달러 규모였다.

그 중 2000만달러는 스리랑카 자선단체 ‘샬리카 재단(Shalika Foundation)’으로 넘어갔다. 해커들의 공모 조직 중 하나로, 훔친 돈의 통로 역할을 할 곳이었다 (재단 설립자 샬리카 페레라는 이후 “적법한 기부라고 생각했다”고 해명했다).

그러나 이 대목에서도 작은 디테일 하나가 해커들의 발목을 잡았다.

영어 단어 ‘재단(Foundation)’의 철자를 ‘Fundation’으로 쓴 게 한 직원의 눈에 포착된 것이었다.

결과적으로 해커들 손에 들어간 건 8100만달러였다. 해커들이 당초 목표한 금액엔 미치지 못했지만 인구 5명 중 1명꼴로 ‘가난 기준’보다 더 낮은 수준의 생활을 하는 방글라데시엔 상당한 타격을 줄 수 있는 돈이었다.

Children playingon the outskirts of Dhaka

방글라데시은행이 돈을 회수하기 위한 작업에 돌입할 때쯤, 해커들은 이미 이들의 손이 미치지 못하는 곳까지 도망친 상황이었다.

2월 5일 금요일, RCBC 주피터 스트리트 지점에서 계좌 4개의 휴면 상태가 해제됐다.

돈은 계좌를 넘나들었고, 환전 업체로도 넘어갔다. 돈은 현지 화폐로 바뀌어 다시 은행 계좌로 들어갔다. 일부는 현금으로 인출되기도 했다.

돈세탁 전문가들의 눈에 이 같은 과정은 너무나도 예상 가능한 것이었다.

미국 캘리포니아 미들베리 국제연구소에서 금융 범죄 지원을 담당하고 있는 모이야라 루에센은 “차후 훔친 돈을 쓰려면 범죄 수익을 깨끗해 보이도록, 모두 적법한 출처에서 온 것처럼 보이게끔 만들어야 한다”고 설명했다.

“돈이 흘러 들어온 흔적을 최대한 흐릿하게 만들어야 하는 거죠.”

그럼에도 돈의 흐름을 추적하는 일은 여전히 가능했다.

추적을 불가능하게 만들기 위해선 은행 시스템을 완전히 벗어나야 했다.

솔레어 카지노는 2013년 문을 열었다
사진 설명,솔레어 카지노는 2013년 문을 열었다

마닐라 솔레어 카지노는 강을 바라보고 자리잡고 있었다. 쾌락주의의 결정체 같은 번쩍이는 하얀 궁전 건물에 호텔과 대형 극장, 고급 상점들이 몰려 있는 곳이었다.

무엇보다도 가장 눈길을 끄는 건 광활히 펼쳐진 카지노 공간이었다.

마닐라는 오락이 불법인 중국의 도박꾼들이 몰려드는 곳이었다. 그 중에서도 솔레어는 “아시아에서 가장 고급스러운 카지노 중 하나”라는 게 모하메드 코헨 인사이드 아시안 도박 매거진 선임기자의 평가다.

“동남아 여느 곳과 비교해도 정말 아름답게 설계됐어요. 테이블 400여 개와 슬롯머신 2000여 개가 설치돼 있죠.”

방글라데시은행을 턴 이들이 돈세탁의 ‘다음 단계’를 모의한 곳이 바로 이 화려한 카지노였다. RCBC를 통해 세탁한 8100만달러 중 5000만달러는 솔레어와 또 다른 카지노, 마이다스의 계좌에 보관됐다.

(다른 3100만달러는 어디로 갔을까? 이번 사건 조사를 맡은 필리핀 상원 위원회에 따르면 이 돈은 쑤 웨이캉이라는 이름의 한 중국인 남성에게 넘겨졌다. 그는 전용기를 타고 마을을 떠난 뒤 두 번 다시 소식이 들려오지 않았다고 한다.)

카지노를 돈세탁 통로로 이용하는 건 추적망을 따돌리려는 목적이었다.

훔친 돈을 카지노 칩으로 바꾼 뒤, 도박 테이블에서 굴리고, 이를 다시 현금으로 바꿔 오면 조사관들이 돈의 흐름을 추적하기가 사실상 불가능해지는 것이었다.

하지만 여전히 위험한 방법이 아닐까? 혹시 해커들이 도박장에서 돈을 잃게 된다면 어떻게 될까? 물론 그런 일은 없었다.

우선 이 해커들은 카지노의 개방된 공간이 아닌 프라이빗룸을 예약했다. 함께 판을 벌릴 도박꾼들 역시 모두 이들의 공범이었다. 해커들이 판을 쥐락펴락할 수 있었던 것이다.

또 이들은 훔친 돈을 ‘바카라’를 하는 데 썼다. 아시아에서 매우 인기있는 게임인데, 방식이 상당히 쉽다. 세 가지 확률 중 하나에 돈을 걸 수 있는데, 꽤 경험이 있는 도박꾼들은 여기서 지금까지 건 돈의 90% 또는 그 이상을 되찾아가기도 한다 (돈세탁꾼들에겐 상당히 괜찮은 확률이다).

해커들은 이제 훔친 돈을 세탁해 ‘건전한 방식’으로 회수할 수 있었다.

하지만 그러기 위해선 공범들과 그들의 배팅을 세심하게 관리할 필요가 있었다. 이는 시간이 걸리는 작업이었다. 이 도박꾼들은 몇 주에 걸쳐 마닐라의 카지노들에 처박힌 채 돈을 굴렸다.

그러는 사이 방글라데시은행은 열심히 사라진 돈을 뒤쫓았다. 은행 직원들이 마닐라에 도착했고, 돈의 행방을 파악했다. 그러나 이들은 카지노 문 앞에서 장벽을 만났다.

당시 필리핀 도박장들은 돈세탁 규제가 닿지 않는 상황이었다. 일단 중간에 카지노가 끼면 돈은 ‘합법적 도박꾼’들 손에 들어간 셈인데, 이들은 어떤 식으로든 도박장 테이블 위에 이 돈을 뿌릴 ‘권리’가 있는 사람들이었다.

(솔레어 카지노는 범죄 수익금이 오가는 줄 몰랐다며 당국의 수사에 협조하고 있다고 밝혔다. 마이다스 카지노는 입장 표명 문의에 답하지 않았다.)

은행 직원들은 마이다스 카지노에서의 ‘돈세탁 작전’을 짠 이들 중 한 명으로부터 1600만달러를 회수했다. 김 웡이라는 이름의 남성이었다. 김은 기소됐지만, 추후 혐의에서 벗어났다.

나머지 3400만달러는 여전히 세탁 중이었다. 조사관들에 따르면 그 다음 단계는 한층 더 북한에 가까워지는 길이었다.

마카오는 중국의 특별행정지역이다. 법적으로는 홍콩과 지위가 비슷하다. 필리핀처럼 마카오 역시 도박으로 유명하다. 세계적인 카지노들이 자리잡고 있기도 하다.

마카오는 북한과도 오랫동안 연을 이어 왔다.

2000년대 초 북한 관리들이 100달러짜리 위조지폐를 세탁하다 걸린 곳도 마카오였다. 이 위조지폐는 매우 정교하게 제작된 것으로 ‘수퍼달러’라고 불렸다.

미국은 이 지폐들이 북한에서 인쇄됐다고 주장한다. 이 지폐들의 세탁에 이용된 은행들은 결국 미국의 제재 대상에 올랐다. 북한 정권과 손잡은 대가였다.

2006년 일본 은행 직원들은 위조지폐 '수퍼달러'를 400배 확대한 뒤에야 겨우 들여다 볼 수 있었다
사진 설명,2006년 일본 은행 직원들은 위조지폐 ‘수퍼달러’를 400배 확대한 뒤에야 겨우 들여다 볼 수 있었다

1987년 대한항공 폭파 사건 당시 북한 간첩이 훈련받았던 곳도 마카오였다. 당시 공격으로 115명이 숨졌다.

김정은 위원장의 이복형 김정남이 모국을 떠나 지낸 곳도 마카오였다. 김정남은 이후 말레이시아에서 김 위원장 지시 암살로 추정되는 독극물 공격을 받아 사망했다.

방글라데시은행에서 빼돌린 돈이 필리핀을 거쳐 세탁되자, 마카오와의 연결고리가 하나둘씩 나타나기 시작했다.

솔레어에서 도박 작전을 짰던 이들 중 상당수는 마카오로 돌아간 흔적이 확인된 것이다. 프라이빗룸을 예약했던 이들 중 두 명 역시 마카오에 있었다.

조사관들은 도둑맞은 돈 대부분이 이 작은 중국 영토에 다다랐을 것이라고 봤다. 북한으로 보내지기 전에 말이다.

Short presentational grey line

밤이 되면 북한은 나사의 위성 사진에서 블랙홀처럼 보이는 것으로도 잘 알려졌다. 나라 대부분 지역이 전력난을 겪고 있기 때문이다. 밤이고 낮이고 불빛이 번쩍이는 한국과는 그 풍경이 크게 대조된다.

북한은 전 세계에서 가장 가난한 12개국 중에 든다. 북한의 1인당 국내총생산(GDP) 추정치는 1700달러에 불과하다. 미국 중앙정보국(CIA)에 따르면 이는 시에라리온이나 아프가니스탄의 GDP보다 적은 수치다.

2014년 국제우주정거장에서 내려다본 한반도. 북한 전역을 뒤덮은 어둠 사이에 평양만 밝게 빛나고 있다
사진 설명,2014년 국제우주정거장에서 내려다본 한반도. 북한 전역을 뒤덮은 어둠 사이에 평양만 밝게 빛나고 있다

그러나 북한은 명실상부 세계에서 가장 잘 다듬어진 해커들을 양산해내고 있는 것으로 보인다.

북한이 왜, 어떻게 이런 엘리트 사이버전 부대를 육성하는지 이해하려면 1948년부터 북한을 통치해온 일가족을 들여다 볼 필요가 있다. 김씨 일가 말이다.

김일성 주석은 ‘조선민주주의인민공화국(Democratic People’s Republic of Korea)’으로 알려져 있는 이 나라를 세웠다. 북한은 사회주의 정치 체제를 기반으로 돌아가지만 이 체제의 실상은 사실 군주제에 가깝다.

평양 김일성 광장에 김일성 주석과 김정일 국방위원장의 초상화가 걸려 있다
사진 설명,평양 김일성 광장에 김일성 주석과 김정일 국방위원장의 초상화가 걸려 있다

그의 아들 김정일 국방위원장은 군부를 권력 기반으로 삼았다. 탄도미사일과 핵 실험 등을 감행하며 계속해서 미국을 자극했다.

군사 실험 비용을 충당하기 위해 북한 정권은 불법적인 일들에 눈을 돌리기 시작했다. 미 당국에 따르면 수퍼달러 위조지폐도 이 같은 작업의 일환이었다.

김 국방위원장은 1990년 ‘조선콤퓨터중심(Korea Computer Centre)’을 세우며 일찌감치 사이버 관련 업체들을 국가 전략으로 육성한다.

이 회사는 지금도 북한의 IT 활동의 중심에 자리잡고 있다.

2010년 김 국방위원장의 셋째 아들인 김정은이 후계자로 지명됐다는 소식이 전해졌다. 북한 정권은 그가 ‘과학과 기술에 탁월하다’며 미래의 지도자에 대한 홍보 작업에 착수했다.

당시 김정은은 겨우 20대 중반의 청년이었다. 북한 주민들에게도 거의 알려지지 않았던 인물이었다.

이 같은 캠페인은 김정은 위원장에 대한 충성을 도모하고 주민들을 ‘그의 전사’가 되도록 독려하기 위해 설계된 것이었다.

IT 수업을 참관 중인 김일성 주석과 김정일 국방위원장을 그린 벽화
사진 설명,IT 수업을 참관 중인 김일성 주석과 김정일 국방위원장을 그린 벽화

김정은 위원장은 김 국방위원장의 사망 직후인 2011년 말 지도자 자리에 올랐다. 그는 핵 무기가 나라의 “귀중한 재부(재산)”가 될 거라고 했다.

그러나 김 위원장 역시 돈은 필요했다. 2006년 핵 실험 및 장거리 탄도미사일 발사 이후 유엔 안전보장이사회의 대북 제재가 그 어느 때보다 엄혹했던 시기였다. 미 당국은 이런 상황에서 북한이 ‘해킹’을 하나의 해결책으로 여겼을 것이라고 분석했다.

그러나 과학 기술의 수용이 북한 주민들의 자유로운 인터넷 접속으로 이어진 건 아니었다. 주민들이 인터넷에 노출되면 바깥 세상에 대한 너무 많은 정보가 드러날 가능성이 있었다. 조국의 ‘신화’를 부정하는 정보와 마주할 수도 있었다.

평양 인민대학습당에서 북한 학생들이 인트라넷을 사용하고 있다
사진 설명,평양 인민대학습당에서 북한 학생들이 인트라넷을 사용하고 있다

사이버 전사들을 훈련시키기 위해 북한 정권은 가장 특출난 이들을 뽑아 해외로 보냈다. 목적지는 대부분 중국이었다.

그곳에서 이들은 어떻게 다른 나라들이 컴퓨터와 인터넷을 이용하는지 배웠다. 물건을 사기 위해, 도박을 하기 위해, 아니면 지인들과 연락을 하거나 오락을 즐기는 용도 등이었다. 이 수학 천재들이 ‘해커’로 변해가는 지점이었다.

수많은 젊은이들이 중국 내 북한이 운영하는 시설에서 살며 일한 것으로 전해진다.

김경진 전 FBI 한국 담당 국장은 “해커들은 자신들의 흔적을 지우는 데 능숙했지만 여타 다른 범죄자들처럼 증거 부스러기를 남기곤 했다”고 말했다.

김 전 국장은 “이들의 IP 주소를 추적해 위치를 파악할 수 있었다”고 덧붙였다.

해커들이 남긴 흔적은 조사관들을 중국 북동부 선양의 한 호텔로 이끌었다. 한반도 전통식 호랑이 석상 한 쌍이 지키고 있는 곳이었다. 호텔 이름은 ‘칠보산’이었는데, 북한의 명산 중 하나로 꼽히는 산에서 이름을 따온 것이었다.

호텔 예약 사이트 아고다(Agoda) 등지에 올라온 방문 후기 사진들을 보면 매혹적인 한반도 정취가 고스란히 드러난다. 다채로운 색상의 이불보, 북한식 요리, 그리고 손님을 위해 노래를 부르고 춤을 추는 여종업원들의 모습이 찍혀 있다.

중국 선양 칠보산 호텔
사진 설명,중국 선양 칠보산 호텔

김 전 국장은 칠보산이 정보기관 관계자들 사이에선 상당히 유명하다고 했다.

이번 사건의 용의자로 지목된 북한 해커들이 2014년 처음 작업에 착수한 장소도 칠보산으로 알려졌다.

한편 탈북자 리현승 씨는 박진혁이 10년을 머물렀던 중국 다롄에서도 컴퓨터 프로그래머들이 비슷한 북한 운영 기관에서 일을 벌였다고 말했다.

리 씨는 평양에서 나고 자랐다. 북한 정권을 위해 일하는 사업가였던 아버지를 따라 다롄에서 여러 해 거주했다. 리 씨 가족은 2014년 탈북했다.

리 씨는 북한 땅과 황해로 이어져 있는 이 복작복작한 항구 도시에 당시 북한인 500여 명이 살고 있었다고 회상했다.

그는 이들 중 60여 명이 프로그래머였다고 설명했다. 리 씨는 김일성 주석의 생일인 태양절 등 국경일에 북한 사람들끼리 모일 때 이 젊은이들과 안면을 텄다고 했다.

한 남성은 리 씨를 자신들이 사는 곳으로 초대하기도 했다. 리 씨는 그곳에서 “20여 명이 한 공간에서 함께 지내는 것을 봤다”며 “4~6명씩 한 방에서 자고, 거실은 컴퓨터 등을 들여 사무실처럼 개조해놨다”고 회상했다.

안개 낀 다롄 풍경
사진 설명,안개 낀 다롄 풍경

이들은 리 씨에게 자신들이 뭘 만드는지 보여줬다. 자신들이 만드는 휴대전화 게임이 브로커를 통해 한국과 일본 등지로 팔려 매년 100만달러의 수입을 낸다고 했다.

북한 보안원들이 이들을 면밀히 감시하고 있지만, 이 젊은이들의 삶은 상대적으로 자유로운 편이었다.

리 씨는 “여전히 규제는 많았지만 북한 내부에 비해서 이들은 인터넷에 접속하거나 영화를 보는 등 훨씬 더 많은 자유를 누리고 있었다”고 말했다.

다롄의 고급 상점가
사진 설명,다롄의 고급 상점가

다롄에서 8년 가까이 지낸 뒤, 박진혁은 평양으로 돌아가는 것을 걱정했던 것으로 보인다. FBI가 확보한 그의 2011년 이메일에서 박진혁은 여자친구와 결혼하고 싶다는 이야기를 썼다. 하지만 결혼을 위해서 그는 몇 년을 더 기다려야 했다.

FBI는 박진혁의 상사가 그에게 또 다른 임무를 내렸다고 설명했다.

세계 최대 엔터테인먼트 회사를 상대로 한 사이버 공격이었다. 대상은 미국 캘리포니아 로스엔젤레스의 소니픽쳐스였다. 우리가 아는 그 ‘할리우드’ 말이다.

2013년 소니픽쳐스는 세스 로건과 제임스 프랑코 등이 출연하는 새 영화 ‘인터뷰’ 제작 계획을 발표했다. 배경은 북한이었다.

‘토크쇼 진행자’인 프랑코와 ‘감독’ 역할의 로건이 김정은 위원장을 인터뷰하러 북한으로 향하는데, CIA로부터 김 위원장 암살 제안을 받는다는 이야기였다.

북한은 소니픽쳐스가 영화를 예정대로 개봉한다면 미국에 보복할 것이라고 예고했다. 2014년 9월 해커들이 소니픽쳐스 경영진에게 보낸 이메일에서 해커들은 스스로를 ‘평화의 수호자’라고 칭하며 “중대한 타격이 있을 것”이라고 경고했다.

한 영화관이 문제의 영화 '인터뷰' 상영을 거부한 뒤 포스터가 내려지고 있다
사진 설명,한 영화관이 문제의 영화 ‘인터뷰’ 상영을 거부한 뒤 포스터가 내려지고 있다

사흘 뒤, 소니픽쳐스 직원들의 컴퓨터 화면에 송곳니와 번뜩이는 눈동자를 가진 피칠갑한 해골 이미지가 떴다.

해커들은 꽤나 성공적으로 이들을 협박했다. 간부들의 연봉, 기밀 내부 이메일들, 개봉하지 않은 영화들이 온라인에 풀렸다. 해커들이 회사 컴퓨터까지 장악하면서 업무도 중단됐다.

직원들의 회사 출입 카드도 작동하지 않았고, 하다못해 프린터도 쓸 수 없었다. 소니픽쳐스 본사 건물의 카페에선 6주 내내 신용카드 결제도 안 됐다.

소니픽쳐스는 ‘인터뷰’ 개봉 전 여느 때처럼 언론 시사회를 기획했지만, 이 일정들도 서둘러 취소됐다. 해커들이 물리적 공격을 예고했기 때문이었다.

주요 영화관 체인은 영화를 상영하지 않겠다고 했다. ‘인터뷰’는 디지털 버전으로 풀렸고, 일부 독립 영화관에서만 상영됐다.

추후 이 소니픽쳐스 해킹 사건은 더 큰 계획을 위한 ‘연습 작업’이었던 것으로 드러난다. 이들의 더 큰 계획이 바로 2016년 방글라데시은행 강도 사건이었다.

Short presentational grey line

방글라데시 당국은 여전히 나머지 돈을 회수하기 위해 고군분투하고 있다. 6500만달러에 달하는 돈이다.

방글라데시은행은 수십 명의 개인과 기관에 대해 법적 조치를 취했다. RCBC도 그 대상에 포함됐다. RCBC는 자사가 어긴 법은 없다는 입장이다.

방글라데시은행 해킹 작전은 매우 능수능란했다. 하지만 북한 정권은 그 결과에 얼마나 만족했을까?

이들의 계획은 10억달러 규모 강도 작전으로 드러났지만, 최종적으로 이들이 손에 쥔 건 수천만 달러선이었다.

해커들이 세계 금융 시스템을 거치는 사이 수억 달러가 사라졌고, 또 다른 수천만 달러는 중간책들에 돌아갔다. 미 당국은 북한이 다음 작전에선 이 같은 손실을 막을 방법을 고심할 것이라고 봤다.

2017년 전략부대를 시찰 중인 김정은 위원장
사진 설명,2017년 전략부대를 시찰 중인 김정은 위원장

2017년 5월, 워너크라이(WannaCry) 랜섬웨어가 산불마냥 전 세계를 덮쳤다. 피해자들의 자료를 긁어모은 뒤 ‘데이터를 복구하려면 수백 달러를 비트코인으로 내라’고 협박하는 식이었다.

영국에선 국민건강보험(NHS)이 이들에게 당했다. 한시가 급한 암 진료 등이 줄줄이 취소됐다.

영국 국가범죄수사국은 FBI와 손잡고 해킹 코드를 파헤쳤다. 그리고 이들은 여기에서 방글라데시은행과 소니픽쳐스 해킹 사건 때 쓰인 바이러스와 놀라울 정도로 비슷한 점들을 발견했다.

FBI는 이 사건까지 박진혁의 혐의에 추가했다. FBI의 추정이 맞다면, 북한의 사이버 부대는 이제 가상화폐까지 접수한 셈이다. 가상화폐 시장이 종래의 은행 거래 시스템을 늘상 빗겨간다는 사실을 고려하면 이는 상당한 진전이다. 중개인비 등 불필요한 지출을 피할 수 있기 때문이다.

워너크라이는 시작일 뿐이었다. 이후 몇 년간, 기술 보안 업체들은 여러 건의 가상화폐 범죄들의 배후로 북한을 지목했다. 업체들은 북한 해커들이 비트코인 같은 가상화폐가 기존 통화로 송금되는 때를 노린다고 설명했다. 일부 전문가들은 북한 해커들이 이렇게 중간에서 가로채는 금액이 20억 달러에 이른다고 추산하기도 한다.

우리는 영국 런던 북한 영사관에 이 같은 혐의들에 대해 물었다. 최일 영국주재 북한 대사는 자신의 조국이 미국 등 다른 세력이 제기한 혐의를 부인한다고 전해 왔다. 북한에 대한 이런 문제 제기가 ‘어리석은 짓’이라고도 덧붙였다. 그는 또 미국의 ‘진짜 동기’가 이런 비방들로 북한의 이미지를 훼손시키는 것이라고 주장했다.

그럼에도 혐의들은 계속 나오고 있다. 지난 2월 미국 법무부는 또 다른 북한인 두 명을 기소했다. 라자루스 그룹의 일원으로 지목된 이들이다. 이들은 캐나다에서 나이지리아로 이어지는 돈세탁 네트워크와 연관된 혐의를 받고 있다

(연합뉴스)

Leave a Reply

Scroll to Top