[인터뷰] 류현우 前 북한 쿠웨이트 주재 대사대리가 말하는 北 해커 실태
● 방첩사 계엄 문건 악성 e메일 유포는 북한 소행
● 北 해커 19명 UAE IT회사 직원으로 위장 근무
● 정찰총국 소속 해커, 대부분 20대 수재 출신
● 40세만 돼도 사실상 노인 취급하는 분위기
● 해외 파견 해커는 자본주의형 성과급 구조
류현우 전 쿠웨이트 북한대사관 대사대리는 “북한 해킹의 정치적 목적까지 고려한 종합적인 사이버 안보 전략이 필요하다”고 강조했다.
지호영 기자 대한민국을 겨냥한 북한의 사이버 공격 수법이 갈수록 교묘하고 정교해지고 있다.
4월 경찰청 국가수사본부는 ‘국군방첩사령부 계엄 문건 공개’라는 제목의 악성 e메일이 2024년 11월부터 올해 1월까지 약 두 달 동안 무려 1만7744명에게 12만6266회 발송됐다는 수사 결과를 발표했다.
메일에 악성 프로그램이 포함돼 있어 수신자가 이를 열람하는 순간 개인정보가 유출될 수 있는 구조였다.
  겉으로는 합법 비자 취득, 실상은 해킹 조직 해당 e메일은 정치적으로 민감한 이슈를 내세워 불특정 다수의 시선을 끌도록 설계됐다.
‘세금 환급’ ‘유명 가수 콘서트 초대장’ ‘건강 정보’ ‘오늘의 운세’ 등 국민의 일상적 관심사를 자극하는 내용도 대거 포함됐다.
경찰은 수사를 통해 북한이 해외 서버 업체를 통해 국내 서버 15대를 임차해 공격을 감행했다는 점을 밝혀냈다.
이번 사건은 단순한 사이버 범죄 차원을 넘어 북한이 남한의 정치·사회적 혼란기와 국민의 민감한 관심사를 정조준해 해킹을 시도했다는 점에서 경각심을 불러일으킨다.
모든 것이 네트워크화한 대한민국 사회에서 사이버 안전은 중차대한 문제일 수밖에 없다.
  류현우(52) 전 쿠웨이트 북한대사관 대사대리를 만난 것은 이 때문이다.
류 전 대사는 북한 해커 조직과 정찰총국 산하 기술국의 실태를 목격한 인물이다.
조선노동당 외화벌이 기관인 39호실 실장 전일춘의 사위이자 외무성 출신 엘리트 외교관인 그는, 1995년 평양외국어대 아랍어과를 졸업한 후 2010년 시리아 파견과 본국 근무를 거쳐 2016년 쿠웨이트 북한대사관에 부임했으며, 2017년부터 대사대리를 지냈다.
이후 김일성·김정일 초상화 분실 은폐로 처벌 위기에 놓이자 2019년 9월 가족과 함께 탈북해 한국으로 망명했다.
현재는 북한이탈주민 지식인들과 연대해 북한 실상을 알리는 활동을 하고 있다.
그에게 북한 해킹 전략에 대해 물었다.
  “2016년부터 2019년까지 쿠웨이트에서 근무하면서 아랍에미리트(UAE) 두바이와 카타르 도하의 북한 해커들을 직접 봤다.
두바이엔 총 19명이 있었다.
이 중 17명이 해킹 전문 인력이었고, 도하엔 5명이 활동하고 있었다.
” 그 사실은 어떻게 알게 됐나.  “당시 쿠웨이트 주재 북한 대사관은 UAE와 카타르 지역도 관할했다.
해외에 발령된 북한인은 도착 즉시 공관에 입국 사실을 보고해야 했기 때문에 해커들도 신분을 숨기더라도 대사관과 접촉할 수밖에 없다.
또 현지 산업 현장에서 외국인 노동자가 임금을 받지 못하는 경우 대사관의 개입이 필요했는데, 해커들의 존재는 바로 이 미수금 해결 과정에서 자연스럽게 드러났다.
”  35세 이상 제외, 빠른 두뇌 회전이 중요  해커들이 어떻게 해외에 합법 체류했나.  “UAE 해커 19명은 인도 IT회사와 형식적 계약을 맺고 노동 비자를 발급받아 입국했다.
이 가운데 7명은 애플리케이션(앱) 개발을 가장해 암호화폐 해킹을 전담했다.
다만 현지 기업은 이들의 실제 신분과 활동을 인지하지 못한 것으로 보인다.
UAE 정부가 2018년부터 거주 갱신을 중단하면서 2019년 중에 전원 출국한 것으로 알고 있다.
”  당시 두바이 해커들을 직접 본 적 있나.  “물론이다.
내가 직접 숙소를 찾아가 조직원들을 만났다.
책임자 두 명만 30~40대였고, 나머지는 대부분 20대 초중반의 엘리트들이었다.
아주 새파랗게 젊었다.
내가 ‘애들이 참 젊다’고 하자, 책임자가 ‘해킹은 머리가 뱅글뱅글 돌아가야 가능한데, 35세만 넘어도 기술을 못 따라간다’고 하더라. 책임자도 컴퓨터 기술자 출신이었다.
해킹은 워낙 빠르게 변하는 분야라 40세만 돼도 사실상 노인 취급을 받는다고 했다.
”  현지에서 위장된 IT 프로젝트를 내세우고 동시에 은밀한 해킹 활동을 지시한 배후는 어디였나.  “현지에서 확인한 바에 따르면 해커들은 조선인민군 총참모부 정찰총국 산하 제6국, 즉 기술국 소속이었다.
북한 내에서는 정보가 철저히 차단돼 있어 구체적 실체를 몰랐지만, 책임자에게 ‘제6국이 뭘 하는 곳이냐’고 묻자 ‘기술국이며 해킹을 전문으로 담당하는 부서’라고 설명했다.
국제사회에 잘 알려진 북한 정부 후원 해킹 조직인 라자루스(Lazarus), 김수키(Kimsuky), 안다리엘(Andariel) 등도 이 기술국 소속이라고 들었다.
  이와는 별개로 일반적 앱 개발이나 도박 사이트 제작 등은 정찰총국 외부 기관이 맡는다.
예컨대 조선컴퓨터센터, 39호실 산하 경흥정보기술교류사, 통일전선부 산하 조직 등에서 IT 기술자들을 해외로 파견하기도 한다.
실제로 중국 단둥에서는 이들이 불법 도박·성인 사이트를 제작해 외화를 벌어들인 사례도 있다.
그러나 국가 차원의 정보 절취나 암호화폐 탈취 같은 고도화된 ‘정치 해킹’은 정찰총국이 주도한다.
”  해외 파견 해커 중 탈북 사례 전무 북한은 자체 인트라넷을 운영하며 외부 인터넷 접속을 철저히 제한하는데, 이런 상황에서 해킹 훈련이 어떻게 가능한가.  “책임자의 말에 따르면 해커들은 인터넷 접속이 자유로운 국가에 파견돼 해킹 활동을 수행한다고 했다.
이들은 가상사설망(VPN) 등을 활용해 우회 접속한 뒤 각국의 네트워크에 침투하는 방식으로 작전을 펼친다.
”  류 전 대사는 “해커 대부분이 평양 제1고등중학교 출신 수재들이었다”고 말했다.
이어 그는 “1980년대 김정일 위원장이 수재 교육을 본격 도입하며 해커 양성을 시작했다.
그 일환으로 각 도(道)에 ‘1고등중학교’라는 엘리트 육성 학교를 하나씩 세웠다”며 “이들 학교는 우리식으로 보면 중·고등학교를 통합한 6년제이며, 학년마다 진급 시험을 거쳐 매년 하위 10명을 퇴학시키는 방식으로 운영된다.
성적 미달은 곧 퇴학이고, 뇌물도 통하지 않는 구조”라고 설명했다.
혹독한 학습 과정을 통과한 수재들이 최종적으로 진학하는 곳은 어디인가.  “김일성종합대학 물리학부, 자동화학부, 컴퓨터학부를 비롯해 미림대학, 김책공업종합대학(김책공대) 등 북한 최고 수준의 이공계 대학으로 진학한다.
특히 미림대학은 정찰총국이 직접 운영하는 군 소속 컴퓨터 전문대학으로, 정예 해커 대부분이 이곳 출신이다.
최근에는 해킹 수요가 늘어나면서 정찰총국이 김일성종합대학, 김책공대, 평양컴퓨터과학기술대학, 함흥컴퓨터기술대학 등 다른 컴퓨터 관련 대학 졸업생도 적극 채용하고 있다.
이들은 군사·국방·방산 분야의 첨단 기밀 정보를 겨냥한 해킹 임무를 수행한다.
” 북한의 유망한 젊은이들이 해커가 되기를 꿈꾼다는 것은 그만큼 해커의 위상이 내부적으로 높다는 의미인가.  “맞다.
예전에는 외국어대학이 가장 선호됐지만 지금은 모두 해커가 되기 위해 컴퓨터 분야로 몰린다.
해외에 나갈 확률이 가장 높은 직종이 해커이기 때문이다.
실적만 좋으면 5~10년 거주할 수 있고, 그에 따른 경제적 보상도 주어진다.
해커 중 탈북 사례는 전무하다.
”  해커 선발은 실력 위주인가, 아니면 여전히 출신 성분이 중요한가.  “흥미롭게도 해커 선발은 출신 성분보다 능력을 더 중시한다.
과거엔 성분이 나쁘면 아예 선발 대상에서 제외됐지만 해커만큼은 국가 외화벌이에 직접 연관되다 보니 코딩 실력과 두뇌 회전만 빠르면 뽑힌다.
”  해커들 암호화폐 탈취 후 심현섭에게 전달 해킹으로 얻은 암호화폐는 어떤 과정을 거쳐 자금화하나. “탈취한 암호화폐는 즉시 현금화할 수 없다.
이 과정에 전문 브로커가 개입하는데, 그 대표적 인물이 바로 심현섭이다.
”  외화를 북한으로 송금한 혐의로 미 연방수사국(FBI) 수배 명단에 오른, 그 심현섭 말인가. “그렇다.
그는 평양외국어대 출신으로 영어와 중국어에 능통하고, 1982년 아니면 1983년생이다.
한때 중국 선양에 4년가량 머물렀고, 이후 UAE로 파견됐다.
사업 수완이 뛰어나고 사교성도 좋은 인물이었다.
우리가 쿠웨이트에서 두바이로 출장 가면 자기 차로 픽업해 주고, 식사도 사주며 관계 유지를 위해 적극적으로 움직였다.
아무래도 민감한 일을 하다 보니 우리와 관계를 돈독히 하려 했던 것 같다.
2019년 무렵엔 선양으로 돌아간 걸로 알고 있고, 이후 베트남이나 캄보디아 등 동남아로 옮겼다는 이야기도 들었다.
중국에서 활동하기가 정치적으로 부담스러워졌기 때문이 아니겠느냐는 추정도 있다.
”  심현섭과 북한 해커 간의 연결은 명확한가.  “물론이다.
내가 그 내용을 직접 확인했다.
당시 정찰총국 소속 해커가 ‘해킹 자금은 심 대표에게 넘긴다’고 답했다.
”  심현섭이 주도하는 암호화폐 현금화 및 자금세탁 과정은 어떻게 이뤄지나.  “내가 근무하던 당시 쿠웨이트에는 조선무역은행 지점이 있었고, 그 산하에 조선광선은행이라는 조직이 존재했다.
이 ‘광선은행’은 북한 내에는 존재하지 않는 이름으로, 해외에서만 사용하는 일종의 위장 명칭이다.
심현섭은 이 은행 소속이었다.
그의 역할은 해커들로부터 암호화폐를 넘겨받아 여러 전자지갑으로 분산한 뒤 세탁하고 현금화하는 것이었다.
이 과정을 전부 혼자 처리하는 건 아니고 중국·스웨덴 등에 있는 다른 브로커들에게도 분담시켰다.
본인을 포함한 브로커들은 각각 10%의 수수료를 가져가고, 나머지 60%는 북한으로 전달하는 식이다.
”  해커 부문과 자금세탁 부문 철저히 분업 설명을 듣고 보니 북한의 해킹 기술 부문과 자금세탁 부문이 철저히 분업화돼 있다는 인상을 받는다.
  “작업 과정 전체가 일종의 자동화된 세탁 구조처럼 운영된다.
내가 해커에게 ‘그렇게 해킹해서 번 돈은 어떻게 처리하느냐’고 묻자, 그는 ‘우리는 심현섭 대표에게 넘기면 그다음은 모른다.
원칙적으로 알아서도 안 되고, 알려고도 하지 않는다’고 답했다.
그게 내부 룰이라는 것이다.
심현섭은 외화벌이를 총괄하는 기획자 역할을 맡고 있었다.
”  2017년 유엔 안전보장이사회가 북한의 핵미사일 개발을 이유로 강도 높은 경제제재를 단행한 이후 북한은 외화 확보 경로를 다변화하기 위해 사이버 공간에 주목했다.
특히 2018년을 기점으로 암호화폐 해킹이 본격화했다.
유엔 전문가 패널 보고서에 따르면 북한은 2017년부터 2018년 9월 사이 아시아 지역 최소 5개 암호화폐 거래소를 해킹해 총 5억7100만 달러(약 7868억 원) 상당의 암호화폐를 탈취한 것으로 파악됐다.
이는 제재를 회피하기 위한 새로운 자금 조달 수단으로 암호화폐 해킹이 조직적으로 활용되고 있음을 보여준다.
이후 북한의 해킹 조직은 더욱 정교한 수법으로 활동을 이어가며 국제사회의 경계를 받고 있다.
  북한의 해킹 조직은 날로 정교한 수법으로 활동을 이어가며 국제사회의 경계를 받고 있다.
Gettyimage 이 대목에서 류현우 전 대사는 “2018년을 기점으로 북한의 암호화폐 탈취 활동이 급격히 증가한 것은 사실이지만, 북한 해킹의 본질적 성격은 여전히 정치·군사적 정보전 나아가 심리전에 가깝다는 점을 간과해선 안 된다”고 강조했다.
이어지는 그의 말이다.
  “지난해 한국수력원자력의 협력사가 북한으로 추정되는 사이버 공격을 받아 원전 관련 정보를 포함한 72만 건의 자료가 유출됐다.
이처럼 북한 해커들의 주된 목표는 첨단 방산 자료나 에너지 시스템 정보다.
정부청사, 방산업체, 언론사, 심지어 미국 국방부 본청인 펜타곤(The Pentagon)이나 독일 정부 기관까지 침투한 사례도 존재한다.
암호화폐 탈취는 이들의 부차적 활동일 뿐 본질은 정치적·군사적 효과를 극대화하기 위한 전략적 해킹에 있다.
동시에 심리전 성격도 띤다.
”  한국 사회를 향한 심리전이란 구체적으로 어떤 것인가. “정보 혼란, 불신, 냉소를 유포해 사회의 결속력을 약화시키는 전략이다.
단순한 기술 침투가 아니라 심리전을 겨냥한 해킹이다.
” 한국의 해킹 방어 능력은 어느 수준인가. “보안 인프라는 세계적 수준이지만 문제는 인식이다.
사이버 위협은 조용히 퍼지기 때문에 경계심이 부족하면 허점을 노출할 수밖에 없다.
”  어떤 대비가 필요하다고 보는가. “실시간 정보 공유와 신속한 대응체계, 정부와 민간의 긴밀한 협업이 필수다.
해킹의 정치적 목적까지 고려한 종합적 사이버 안보 전략이 필요하다.
무엇보다 국가 차원에서 안보의식을 높일 수 있는 교육이 마련돼야 한다.
” 
“北 해커, 남한 사회 결속력 약화시키려 틈 파고든다”