북한 사이버 공격이 돈과 기술을 동시에 겨냥하는 방식으로 고도화되고 있다. 북한 해킹 조직은 지난해 국내 방위산업·정보기술(IT) 분야 기술을 집중적으로 빼낸 데 이어 2조원이 넘는 암호화폐를 탈취한 것으로 파악됐다. 딥페이크로 화상 면접을 통과하거나 피해자 스마트폰을 원격 초기화하는 신종 수법도 동원됐다.
10일 국가정보원 국가사이버안보센터가 발간한 '2025 국가사이버안보센터 연례보고서'에 따르면 북한은 지난해 국내 방산·IT 산업 기술을 집중적으로 탈취했다.
금전 피해 규모도 역대 최대였다. 북한 해커들이 국내외 암호화폐 등을 해킹해 빼앗은 금액은 2조원 이상으로 집계됐다.
북한 해커들은 추적을 피하기 위해 탈취한 암포화폐의 세탁 과정을 거쳤다. 이들은 피싱이나 악성코드를 활용해 암호화폐 지갑에서 자금을 빼낸 뒤 코인을 여러 갈래로 쪼개 전송 주체를 알아보기 어렵게 만들었다.
블록체인 데이터 플랫폼 체이널리시스에 따르면 북한 연계 해커 조직은 가상자산 세탁 과정에서 1만2000개가 넘는 계좌 주소를 사용했다.
악성 앱을 활용한 공격도 이어졌다. 해커들은 카카오 보안 파일이나 문서 열람 애플리케이션처럼 보이는 악성 앱을 공식 앱스토어와 이메일을 통해 유포했다. 사용자가 이를 설치하면 통화 기록과 문자 내용이 빠져나가는 방식이다.
국정원은 비공식 경로로 앱을 내려받지 말고, 불필요한 권한을 요구하는 앱은 실행을 중단해야 한다고 당부했다.
기업 소프트웨어 공급망도 표적이 됐다. 북한 조직은 국내 문서관리 솔루션 3종의 취약점을 파고들어 관리자 계정을 만든 뒤 자료를 유출했다. 이 과정에서 빠져나간 민감 자료는 제품별로 최소 700건에서 최대 260만건에 달했다.
의료·바이오 분야 해킹도 급증했다. 국정원은 지난해 3월 의약품·진단 시약 제조업체의 문서 중앙화 소프트웨어가 해킹된 정황을 포착했다.
국정원은 북한이 보건의료시설 현대화를 목표로 2025년을 '보건 혁명의 원년'으로 선언한 뒤 국내 의료·바이오 분야를 향한 해킹이 크게 늘었다고 분석했다.
공격 방식도 더 정교해졌다. 대표적인 사례는 딥페이크를 활용한 위장 취업이다. 북한 해커는 타인의 신분을 도용해 기업에 지원한 뒤 실시간 화상 면접에서 딥페이크 기술로 얼굴을 바꿔 면접관을 속인 것으로 확인됐다.
수사망을 피하려는 시도도 포착됐다. 해킹 공격이 탐지되거나 당국의 추적이 시작되면 피해자 스마트폰을 원격으로 초기화해 증거 확보를 어렵게 만드는 수법이다.
국정원은 올해 사이버 위협이 더 거세질 것으로 봤다. 인공지능(AI) 발전과 불안정한 국제 정세가 맞물리면서 해킹 공격의 양상이 빠르게 바뀔 수 있다는 진단이다.
국가사이버안보센터는 "북한의 9차 당대회와 미국의 신국가안보전략 등 국제 안보 변수가 늘어나며 피아 구분 없는 해킹 공격이 증가할 것"이라고 전망했다.
그러면서 "AI가 해킹 전 과정에 악용돼 새로운 사이버 공격 수법이 끊임없이 등장할 것"이라며 "국가안보 및 기업 생존에 막대한 지장을 초래할 수 있다"고 경고했다.
김대영 한경닷컴 기자 kdy@hankyung.com