라자루스 강도 사건 북한은 어떻게 최정예 해커 부대를 만들어 냈나

라자루스 강도 사건 북한은 어떻게 최정예 해커 부대를 만들어 냈나

계획은 간발의 차이로 실현되지 못했다. 

영국 탐사전문기자 제프 화이트와 미국 우드로윌슨센터 연구원 진 리에 따르면 

8100만달러(917억7300만원)가 이들 손에 넘어갔을 뿐, 나머지 금액은 운 좋게 중간에서 이체가 막혔다.

세계 최빈국 중 하나이자 가장 고립된 나라이기도 한 북한은 어떻게 이런 엘리트 사이버 범죄자 집단을 훈련시킬 수 있었을까.

'북한, 해킹으로 가상화폐 3500억 원 훔쳐'

미국이 북한인 3명을 1.4조원 규모 절도 혐의로 기소했다

2016년 북한 해커들은 방글라데시의 국영은행 해킹 계획을 세웠다. 해커들의 목표는 10억달러를 훔치는 것이었다.

사건의 시작은 고장난 프린터 한 대였다. 사무기기 고장은 현대 사회에서 매일같이 발생하는 문제이기도 하다. 방글라데시 은행 직원들에게도 마찬가지였다. 그저 '귀찮은 기술 문제' 정도일 뿐이었다. 그러나 사실 이는 단순한 프린터 고장이 아니었고, 모든 은행에서 으레 벌어지는 일도 아니었다.

수백만 명이 가난에 시달리는 이 남아시아 국가의 중앙은행은 국가의 귀중한 외화 보유고를 감독할 책임이 있었다.

그리고 문제의 프린터는 중요한 역할을 맡고 있었다. 이 프린터는 방글라데시 수도 다카의 은행 본사 건물 10층, 보안이 유독 강화된 방에 설치돼 있었다. 은행에서 오가는 수백만 달러 규모의 이체 기록들을 인쇄하는 게 이 프린터의 임무이다.

프린터 작동이 멈춘 사실을 직원이 발견한 건 2016년 2월 5일 금요일 오전 8시 45분쯤이었다.

담당자 주바르 빈 후다는 경찰에 "여타 다른 날들처럼 늘 발생하는 문제가 또 다시 일어난 것이라고 생각했다"면서 "예전에도 기계 결함이 있었다"고 진술했다.

사실 이는 방글라데시은행이 곤란에 빠졌다는 '첫 신호'였다.

해커들은 은행 컴퓨터 네트워크에 침입했고, 프린터가 고장났던 시점엔 역대 가장 대담한 사이버 공격을 벌이고 있었다.

이들은 돈을 빼돌리기 위해 가짜 은행 계좌와 자선단체, 카지노, 그리고 세계 곳곳에 퍼져 있는 공범들을 활용했다.

방글라데시은행 직원이 프린터를 껐다 다시 켰다.

그때, 우려스러운 소식이 전해졌다. 뉴욕연방준비은행(Fed, 연준)에서 날아온 긴급 메시지였다. 방글라데시 중앙은행의 미국 달러 계좌가 있는 곳이기도 하다.

연준은 방글라데시 은행으로부터 보유액 전체를 출금해 달라는 지시를 받았다고 했다. 수십억 달러에 달하는 거액이었다.

방글라데시 측은 상황 파악을 위해 연준에 연락을 시도했다. 그러나 해커들의 치밀한 시간 계산에 따라 이들의 연락은 제때 닿지 못했다.

해커들이 '작업'을 시작한 건 방글라데시 시간으로 2월 4일 목요일 저녁 8시였다. 뉴욕은 아직 목요일 아침이었다.

방글라데시가 잠든 사이, 연준이 해커들의 계획대로 (물론 어떤 일이 벌어지는지 연준도 알지 못했다) 일을 진행할 수 있도록 시차가 시간을 벌어준 셈이었다.

이튿날인 금요일은 방글라데시에서 주말이 시작하는 날이었다 (방글라데시에선 금요일과 토요일을 주말로 친다). 다카의 은행 본사 역시 이틀간 휴무에 들어갔다.

방글라데시 측이 돈을 도둑맞았다는 사실을 깨달은 건 토요일. 뉴욕은 이미 주말이었다.

미국의 사이버 안보 전문가 라케시 아스타나는 "이 공격이 얼마나 섬세하게 설계됐는지 알 수 있는 대목"이라고 말했다.

 그는 "목요일 밤을 범행 시간으로 설정했다는 건 매우 확실한 목적이 있었다는 겁니다. 금요일에 뉴욕은 일을 하지만, 방글라데시 은행은 쉬죠. 방글라데시 은행이 업무에 복귀했을 때 연준은 휴무고요. 거의 사흘이 지나서야 피해 사실을 깨닫게 된다는 이야기입니다."라고 말했다.

해커들은 시간을 벌기 위해 다른 수법도 썼다.

이들은 연준에서 돈을 빼돌리자마자 이 돈을 다른 곳으로 보내야 했다.

해커들은 필리핀 마닐라에 미리 개설해 둔 계좌를 이용했다. 아시아 많은 지역에서 공휴일인 2016년 2월 29일 월요일, 음력설 첫날이었다.

이로써 해커들은 방글라데시와 미국, 필리핀의 시차를 악용해 닷새짜리 작전을 짰다.

사실 이 모든 계획 실행 이전부터 해커 그룹은 1년 전부터 치밀하게 준비를 했다.

라자루스 그룹이 이미 1년 전에 방글라데시 은행 컴퓨터에 침투해 있었다.

2015년 1월, 방글라데시은행 직원들에게 문제될 게 없어 보이는 이메일 한 통이 전송됐다. 자신을 라셀 알람이라고 소개하는 한 구직자가 보낸 문의 메일이며, 공손한 문구로 작성된 문의 메일엔 그의 이력서 다운로드 링크가 포함돼 있었다.

물론 라셀은 실존 인물이 아니다. FBI에 따르면 이는 라자루스 그룹이 쓰는 가명이었다.

적어도 한 명 이상의 은행 직원이 이 수법에 넘어가 다운로드 버튼을 눌렀다. 

그렇게 방글라데시 은행 컴퓨터는 바이러스에 감염됐다.

은행 시스템에 침입한 이후 라자루스 그룹은 비밀스럽게 여러 컴퓨터를 넘나들며 은행의 디지털 금고와 그 속의 돈을 향해 통로를 뚫어 나갔다.

그러던 중, 이들은 갑자기 작업을 멈췄다.

해커들은 왜 피싱 메일을 보낸 지 1년이 지나서야 돈을 빼돌렸을까. 이들이 은행 시스템에 숨어 있는 동안  무엇을 했을까? 이들은 사실 '탈출 경로'를 계획하기 위한 시간이 더 필요했던 것으로 보인다.

 주피터 스트리트는 인접한 부촌과 더불어 마카티의 상업중심지에 위치하고 있으며 늘 유동인구가 넘쳐나는 곳이다. RCBC는 필리핀의 대형은행중 한곳이다.

 이곳에서 해커들의 공범이 계좌 4개를 개설한 건 2015년 5월이었다. 해커들이 방글라데시은행 시스템에 침입한 지 몇 달이 지난 시점이었다.

 돌이켜 보면 의심스러운 정황들은 있었다.

 먼저 계좌 개설에 쓰인 운전 면허증들은 위조된 것이었다. 계좌 개설을 요청한 이 고객들은 각기 다른 회사에서 일한다면서도 모두 같은 직함과 동일한 연봉을 내세웠다.

 그러나 이 부분을 눈치챈 사람은 없었다. 이렇게 만들어진 계좌들은 초기 예치금 500달러가 입금된 이후엔 한동안 휴면 상태였다. 그동안 해커들은 다른 작업에 집중했다.

 2016년 2월, 라자루스 그룹은 방글라데시은행에 성공적으로 침입한 데 이어 돈을 빼돌리기 위한 통로까지 확보했다. 준비는 끝났지만 처리해야 할 단계 하나가 남아 있었다. 10층의 프린터였다.

 방글라데시 은행은 자사 계좌에서 오가는 모든 이체를 기록하는 '종이 백업' 체계를 갖추고 있었다. 이 거래 기록들은 해커들의 작업을 즉각 노출시킬 위험이 있었다. 해커들이 이 프린터를 관리하는 소프트웨어를 공격해 프린터 작동을 멈추게 했던 이유였다.

 2016년 2월 4일, 목요일. 작전이 노출됐을 즈음 해커들은 이미 이체를 시작한 상황이었다. 모두 35건, 액수로는 9억 5100만달러(약 1조750억원) 규모였다. 방글라데시은행의 뉴욕 연준 계좌에 예치된 금액 거의 전체를 턴 수준이었다.

 이제 돈잔치를 벌일 일만 남아 있었다. 그러나 여느 할리우드 강도 작전 영화에서처럼, 아주 사소한 단서 하나가 이들의 발목을 잡았다.

 주말 사이 돈이 사라졌다는 사실을 깨달은 방글라데시은행은 즉각 상황 파악에 나섰다.

 방글라데시은행 총재는 앞서 언급된 사이버 보안 전문가 라케시 아스타나, 그리고 아스타나의 회사인 월드 인포매틱스(World Informatix)와 안면이 있었다. 총재는 아스타나에게 도움을 청했다.

 아스타나에 따르면 총재는 이 시점에서도 도둑맞은 돈을 되찾을 수 있을 거라 생각했다고 한다. 총재는 피해 사실을 대중에게도, 심지어 방글라데시 정부에도 숨겼다.

 그러는 사이 아스타나는 이번 사건이 얼마나 치밀하게 설계됐는지 알게 됐다.

 해커들은 '스위프트(Swift)'로 불리는 방글라데시 은행 핵심 시스템에까지 침투하는 데 성공했다. 전 세계 수천 개 은행이 돈을 이체할 때 사용하는 시스템이었다.

 해커들은 스위프트의 보안 약점을 노리지 않았다. 그럴 필요가 없었기 때문이었다. 스위프트를 다루는 데 있어서 이 해커들은 진짜 은행 직원과 다름 없었다.

 돈을 고스란히 되찾긴 어려울 거란 사실은 곧 명확해졌다. 일부 금액은 이미 필리핀에 다다른 상황이었다. 필리핀 당국은 돈을 회수하려면 법적 절차를 밟아야 한다는 입장이었다.

 법원 명령은 공적 정보였다. 그달 말 방글라데시은행은 소송 절차에 돌입했다. 그리고 이 사기 사건은 전 세계에 알려졌다.

 총재에게 내려진 처분은 즉각적이었다. 아스타나는 "총재는 사임을 요구받았고, 이후엔 그를 한 번도 보지 못했다"고 했다.

 미 하원 금융위원회 소속인 캐럴린 멀로니 하원의원은 이 사건에 대해 처음 알게 된 순간을 생생하게 기억한다. 그는 "공항에 가야 해서 의회를 막 나선 참이었어요. 이런 사건이 벌어졌다는 소식을 읽게 되었는데, 너무 흥미롭고 충격적이더라고요. 놀라운 사건이죠. 아마 제가 금융시장에서 본 사건들 중 가장 놀라운 축에 속할 겁니다."라고 말했다.

 멀로니는 보다 더 거시적인 전망을 내놨다.

 스위프트는 전 세계 수십억 달러 규모 거래를 뒷받침하는 시스템이었다. 이런 사건이 스위프트의 신뢰도를 심각하게 훼손할 수 있다는 것이다. 

 그는 특히 이번 일에 연준이 연루됐다는 점을 우려하며 "뉴욕 연방준비은행이라고요. 언제나 매우 주의 깊게 일을 처리하는 기관인데 말이죠. 어떻게 이런 종류의 이체가 발생할 수 있었을까요?"라고 되물었다.

 멀로니는 연준에 연락을 취했고, 직원은 멀로니에게 거래 대부분이 중간에서 막혔다고 설명했다. 우연하고 사소한 단어 하나 덕분이었다.

 해커들의 송금 목적지였던 RCBC 마닐라 지점은 주피터 스트리트에 자리잡고 있었다. 마닐라엔 은행 수백 곳이 있었지만 해커들은 이곳을 골랐다. 그리고 결과적으로 이들은 이 결정으로 수억 달러의 손실을 봤다.

 멀로니는 "거래는 연준 단계에서부터 막혔다"면서 "주소지에 쓰인 '주피터(Jupiter)'라는 단어가 제재 대상인 이란 선박의 이름과 같았던 게 문제였다”고 했다.

 이 단어 하나가 연준의 자동 컴퓨터 시스템에 경보를 울렸다. 이체 요청은 재검토 절차로 넘겨졌고, 대부분 중단됐다. 하지만 모든 이체가 막힌 건 아니었다. 5건이 이 문턱을 넘어 성공적으로 이체됐는데, 총 1억 100만달러 규모였다.

 그 중 2000만달러는 스리랑카 자선단체 '샬리카 재단(Shalika Foundation)'으로 넘어갔다. 해커들의 공모 조직 중 하나로, 훔친 돈의 통로 역할을 할 곳이었다. 재단 설립자 샬리카 페레라는 이후 "적법한 기부라고 생각했다"고 해명했다.

 그러나 이 대목에서도 작은 디테일 하나가 해커들의 발목을 잡았다. 영어 단어 '재단(Foundation)'의 철자를 'Fundation'으로 쓴 게 한 직원의 눈에 포착된 것이었다.

 결과적으로 해커들 손에 들어간 건 8100만달러였다. 해커들이 당초 목표한 금액엔 미치지 못했지만 인구 5명 중 1명꼴로 '가난 기준'보다 더 낮은 수준의 생활을 하는 방글라데시엔 상당한 타격을 줄 수 있는 돈이었다.

 방글라데시 은행이 돈을 회수하기 위한 작업에 돌입할 때쯤, 해커들은 이미 이들의 손이 미치지 못하는 곳까지 도망친 상황이었다.

 2월 5일 금요일, RCBC 주피터 스트리트 지점에서 계좌 4개의 휴면 상태가 해제됐다. 돈은 계좌를 넘나들었고, 환전 업체로도 넘어갔다. 돈은 현지 화폐로 바뀌어 다시 은행 계좌로 들어갔다. 일부는 현금으로 인출되기도 했다.

 돈세탁 전문가들의 눈에 이 같은 과정은 너무나도 예상 가능한 것이었다.

 미국 캘리포니아 미들베리 국제연구소에서 금융 범죄 지원을 담당하고 있는 모이야라 루에센은 "차후 훔친 돈을 쓰려면 범죄 수익을 깨끗해 보이도록, 모두 적법한 출처에서 온 것처럼 보이게끔 만들어야 한다"고 설명했다.

 이런 과정을 통해 "돈이 흘러 들어온 흔적을 최대한 흐릿하게 만들어야 하는 거죠."라고 말했다. 그럼에도 돈의 흐름을 추적하는 일은 여전히 가능했다. 추적을 불가능하게 만들기 위해선 은행 시스템을 완전히 벗어나야 했다.

 계좌에서 인출된 돈은 카지노를 거치면서 추적이 불가능하게 되었다. 

 쾌락주의의 결정체 같은 번쩍이는 하얀 궁전 건물에 호텔과 대형 극장, 고급 상점들이 몰려 있는 솔레어 카지노에는 도박이 불법인 중국의 도박꾼들이 몰려드는 곳이었다. 

 모하메드 코헨 인사이드 아시안 도박 매거진 선임기자는 "많은 카지노 중 솔레어는 아시아에서 가장 고급스러운 카지노 중 하나"이며 "동남아 여느 곳과 비교해도 정말 아름답게 설계됐어요. 테이블 400여 개와 슬롯머신 2000여 개가 설치돼 있죠."라고 평했다.

 방글라데시 은행을 턴 이들이 자금 세탁의 다음 단계로 삼은 것이 바로 이 화려한 카지노였다. RCBC를 통해 세탁한 8100만달러 중 5000만 달러는 솔레어와 또 다른 카지노, 마이다스의 계좌에 보관됐다.

 다른 3100만 달러는 어디로 갔을까? 이번 사건 조사를 맡은 필리핀 상원 위원회에 따르면 이 돈은 쑤 웨이캉이라는 이름의 한 중국인 남성에게 넘겨졌고, 그는 전용기를 타고 이곳을 떠난 뒤 두 번 다시 소식이 들려오지 않았다고 한다.

 카지노를 돈세탁 통로로 이용하는 건 추적망을 따돌리려는 목적이었다.

 훔친 돈을 카지노 칩으로 바꾼 뒤, 도박 테이블에서 굴리고, 이를 다시 현금으로 바꿔 오면 조사관들이 돈의 흐름을 추적하기가 사실상 불가능해지는 것이었다.

 하지만 여전히 위험한 방법이 아닐까? 혹시 해커들이 도박장에서 돈을 잃게 된다면 어떻게 될까? 물론 그런 일은 없었다.

 우선 이 해커들은 카지노의 개방된 공간이 아닌 프라이빗룸을 예약했다. 함께 판을 벌릴 도박꾼들 역시 모두 이들의 공범이었다. 해커들이 판을 쥐락펴락 할 수 있었던 것이다.

 또 이들은 훔친 돈을 '바카라'를 하는 데 썼다. 바카라는 아시아에서 매우 인기있는 게임인데, 방식이 상당히 쉽다. 세 가지 확률 중 하나에 돈을 걸 수 있는데, 꽤 경험이 있는 도박꾼들은 여기서 지금까지 건 돈의 90% 또는 그 이상을 되찾아가기도 한다. 

 해커들은 이제 훔친 돈을 세탁해 '건전한 방식'으로 회수할 수 있었다.

 하지만 그러기 위해선 공범들과 그들의 배팅을 세심하게 관리할 필요가 있었다. 이는 시간이 걸리는 작업이었다. 이 도박꾼들은 몇 주에 걸쳐 마닐라의 카지노들에 처박힌 채 돈을 굴렸다.

 그러는 사이 방글라데시 은행은 열심히 사라진 돈을 뒤쫓았다. 은행 직원들이 마닐라에 도착했고, 돈의 행방을 파악했다. 그러나 이들은 카지노 문 앞에서 장벽을 만났다.

 당시 필리핀 도박장들은 자금 세탁 규제가 닿지 않는 상황이었다. 일단 중간에 카지노가 끼면 돈은 '합법적 도박꾼'들 손에 들어간 셈인데, 이들은 어떤 식으로든 도박장 테이블 위에 이 돈을 뿌릴 '권리'가 있는 사람들이었다.

 솔레어 카지노는 범죄 수익금이 오가는 줄 몰랐다며 당국의 수사에 협조하고 있다고 밝혔다. 마이다스 카지노는 입장 표명 문의에 답하지 않았다.

 은행 직원들은 마이다스 카지노에서의 '돈세탁 작전'을 짠 이들 중 한 명으로부터 1600만 달러를 회수했다. 김 웡이라는 이름의 남성이었다. 김은 기소됐지만, 추후 혐의에서 벗어났다.

 나머지 3400만달러는 여전히 세탁 중이었다. 조사관들에 따르면 그 다음 단계는 한층 더 북한에 가까워지는 길이었다.

 마카오는 중국의 특별행정지역이다. 법적으로는 홍콩과 지위가 비슷하다. 필리핀처럼 마카오 역시 도박으로 유명하다. 세계적인 카지노들이 자리잡고 있기도 하다.

 마카오는 북한과도 오랫동안 연을 이어 왔다.

 2000년대 초 북한 관리들이 100달러 짜리 위조지폐를 세탁하다 적발 된 곳도 마카오였다. 이 위조지폐는 매우 정교하게 제작된 것으로 '수퍼달러'라고 불렸다.

 미국은 이 지폐들이 북한에서 인쇄됐다고 주장한다. 이 지폐들의 세탁에 이용된 은행들은 결국 미국의 제재 대상에 올랐다. 북한 정권과 손잡은 대가였다.

 1987년 대한항공 폭파 사건 당시 북한 간첩이 훈련받았던 곳도 마카오였다. 당시 공격으로 115명이 숨졌다. 김정은 위원장의 이복형 김정남이 모국을 떠나 지낸 곳도 마카오였다. 김정남은 이후 말레이시아에서 김 위원장 지시 암살로 추정되는 독극물 공격을 받아 사망했다.

 방글라데시 은행에서 빼돌린 돈이 필리핀을 거쳐 세탁되자, 마카오와의 연결고리가 하나둘씩 나타나기 시작했다.

 솔레어에서 도박 작전을 짰던 이들 중 상당수는 마카오로 돌아간 흔적이 확인된 것이다. 프라이빗룸을 예약했던 이들 중 두 명 역시 마카오에 있었다.

 조사관들은 도둑맞은 돈 대부분이 이 작은 중국 영토를 거쳐 북한으로 보내졌다.

 북한은 전 세계에서 가장 가난한 12개국 중에 든다. 북한의 1인당 국내총생산(GDP) 추정치는 1700달러에 불과하다. 미국 중앙정보국(CIA)에 따르면 이는 시에라리온이나 아프가니스탄의 GDP보다 적은 수치다.

 그러나 북한은 명실상부 세계에서 가장 잘 다듬어진 해커들을 양산해내고 있는 것으로 보인다.

 북한이 왜, 어떻게 이런 엘리트 사이버전 부대를 육성하는지 이해하려면 1948년부터 북한을 통치해온 일가족을 들여다 볼 필요가 있다. 김씨 일가 말이다.

김일성 주석은 '조선민주주의인민공화국(Democratic People's Republic of Korea)'으로 알려져 있는 이 나라를 세웠다. 북한은 사회주의 정치 체제를 기반으로 돌아가지만 이 체제의 실상은 사실 군주제에 가깝다.

그의 아들 김정일 국방위원장은 군부를 권력 기반으로 삼았다. 탄도미사일과 핵 실험 등을 감행하며 계속해서 미국을 자극했다.

군사 실험 비용을 충당하기 위해 북한 정권은 불법적인 일들에 눈을 돌리기 시작했다. 미 당국에 따르면 수퍼달러 위조지폐도 이 같은 작업의 일환이었다.

김 국방위원장은 1990년 '조선콤퓨터센터(Korea Computer Centre)'을 세우며 일찌감치 사이버 관련 업체들을 국가 전략으로 육성한다. 이 회사는 지금도 북한의 IT 활동의 중심에 자리잡고 있다.

 2010년 김 국방위원장의 셋째 아들인 김정은이 후계자로 지명됐다는 소식이 전해졌다. 북한 정권은 그가 '과학과 기술에 탁월하다'며 미래의 지도자에 대한 홍보 작업에 착수했다.

 당시 김정은은 겨우 20대 중반의 청년이었다. 북한 주민들에게도 거의 알려지지 않았던 인물이었다.

 이 같은 캠페인은 김정은 위원장에 대한 충성을 도모하고 주민들을 '그의 전사'가 되도록 독려하기 위해 설계된 것이었다.

 김정은 위원장은 김 국방위원장의 사망 직후인 2011년 말 지도자 자리에 올랐다. 그는 핵 무기가 나라의 "귀중한 재부(재산)"가 될 거라고 했다.

 그러나 김 위원장 역시 돈은 필요했다. 2006년 핵 실험 및 장거리 탄도미사일 발사 이후 유엔 안전보장이사회의 대북 제재가 그 어느 때보다 엄혹했던 시기였다. 

미 당국은 이런 상황에서 북한이 '해킹'을 하나의 해결책으로 여겼을 것이라고 분석했다.

그러나 과학 기술의 수용이 북한 주민들의 자유로운 인터넷 접속으로 이어진 건 아니었다. 주민들이 인터넷에 노출되면 바깥 세상에 대한 너무 많은 정보가 드러날 가능성이 있었다. 조국의 '신화'를 부정하는 정보와 마주할 수도 있었다.

사이버 전사들을 훈련시키기 위해 북한 정권은 가장 특출난 이들을 뽑아 해외로 보냈다. 목적지는 대부분 중국이었다.

그곳에서 이들은 어떻게 다른 나라들이 컴퓨터와 인터넷을 이용하는지 배웠다. 물건을 사기 위해, 도박을 하기 위해, 아니면 지인들과 연락을 하거나 오락을 즐기는 용도 등이었다. 이 수학 천재들이 '해커'로 변해가는 지점이었다.

수많은 젊은이들이 중국 내 북한이 운영하는 시설에서 살며 일한 것으로 전해진다.

김경진 전 FBI 한국 담당 국장은 "해커들은 자신들의 흔적을 지우는 데 능숙했지만 여타 다른 범죄자들처럼 증거 부스러기를 남기곤 했다"고 말했다.

김 전 국장은 "이들의 IP 주소를 추적해 위치를 파악할 수 있었다"고 덧붙였다.

해커들이 남긴 흔적은 조사관들을 중국 북동부 선양의 한 호텔로 이끌었다. 한반도 전통식 호랑이 석상 한 쌍이 지키고 있는 곳이었다. 호텔 이름은 '칠보산'이었는데, 북한의 명산 중 하나로 꼽히는 산에서 이름을 따온 것이었다.

호텔 예약 사이트 아고다(Agoda) 등지에 올라온 방문 후기 사진들을 보면 매혹적인 한반도 정취가 고스란히 드러난다. 다채로운 색상의 이불보, 북한식 요리, 그리고 손님을 위해 노래를 부르고 춤을 추는 여종업원들의 모습이 찍혀 있다.

김 전 국장은 칠보산이 정보기관 관계자들 사이에선 상당히 유명하다고 했다.

이번 사건의 용의자로 지목된 북한 해커들이 2014년 처음 작업에 착수한 장소도 칠보산으로 알려졌다.

한편 탈북자 리현승 씨는 박진혁이 10년을 머물렀던 중국 다롄에서도 컴퓨터 프로그래머들이 비슷한 북한 운영 기관에서 일을 벌였다고 말했다.

리 씨는 평양에서 나고 자랐다. 북한 정권을 위해 일하는 사업가였던 아버지를 따라 다롄에서 여러 해 거주했다. 리 씨 가족은 2014년 탈북했다.

리 씨는 북한 땅과 황해로 이어져 있는 이 복작복작한 항구 도시에 당시 북한인 500여 명이 살고 있었다고 회상했다.

그는 이들 중 60여 명이 프로그래머였다고 설명했다. 리 씨는 김일성 주석의 생일인 태양절 등 국경일에 북한 사람들끼리 모일 때 이 젊은이들과 안면을 텄다고 했다.

한 남성은 리 씨를 자신들이 사는 곳으로 초대하기도 했다. 리 씨는 그곳에서 "20여 명이 한 공간에서 함께 지내는 것을 봤다"며 "4~6명씩 한 방에서 자고, 거실은 컴퓨터 등을 들여 사무실처럼 개조해놨다"고 회상했다.

이들은 리 씨에게 자신들이 뭘 만드는지 보여줬다. 자신들이 만드는 휴대전화 게임이 브로커를 통해 한국과 일본 등지로 팔려 매년 100만달러의 수입을 낸다고 했다.

북한 보안원들이 이들을 면밀히 감시하고 있지만, 이 젊은이들의 삶은 상대적으로 자유로운 편이었다.

리 씨는 "여전히 규제는 많았지만 북한 내부에 비해서 이들은 인터넷에 접속하거나 영화를 보는 등 훨씬 더 많은 자유를 누리고 있었다"고 말했다.

다롄에서 8년 가까이 지낸 뒤, 박진혁은 평양으로 돌아가는 것을 걱정했던 것으로 보인다. FBI가 확보한 그의 2011년 이메일에서 박진혁은 여자친구와 결혼하고 싶다는 이야기를 썼다. 하지만 결혼을 위해서 그는 몇 년을 더 기다려야 했다.

FBI는 박진혁의 상사가 그에게 또 다른 임무를 내렸다고 설명했다.

세계 최대 엔터테인먼트 회사를 상대로 한 사이버 공격이었다. 대상은 미국 캘리포니아 로스엔젤레스의 소니픽쳐스였다. 우리가 아는 그 '할리우드' 말이다.

2013년 소니픽쳐스는 세스 로건과 제임스 프랑코 등이 출연하는 새 영화 '인터뷰' 제작 계획을 발표했다. 배경은 북한이었다.

'토크쇼 진행자'인 프랑코와 '감독' 역할의 로건이 김정은 위원장을 인터뷰하러 북한으로 향하는데, CIA로부터 김 위원장 암살 제안을 받는다는 이야기였다.

북한은 소니픽쳐스가 영화를 예정대로 개봉한다면 미국에 보복할 것이라고 예고했다. 2014년 9월 해커들이 소니픽쳐스 경영진에게 보낸 이메일에서 해커들은 스스로를 '평화의 수호자'라고 칭하며 "중대한 타격이 있을 것"이라고 경고했다.

사흘 뒤, 소니픽쳐스 직원들의 컴퓨터 화면에 송곳니와 번뜩이는 눈동자를 가진 피칠갑한 해골 이미지가 떴다.

해커들은 꽤나 성공적으로 이들을 협박했다. 간부들의 연봉, 기밀 내부 이메일들, 개봉하지 않은 영화들이 온라인에 풀렸다. 해커들이 회사 컴퓨터까지 장악하면서 업무도 중단됐다.

직원들의 회사 출입 카드도 작동하지 않았고, 하다못해 프린터도 쓸 수 없었다. 소니픽쳐스 본사 건물의 카페에선 6주 내내 신용카드 결제도 안 됐다.

소니픽쳐스는 '인터뷰' 개봉 전 여느 때처럼 언론 시사회를 기획했지만, 이 일정들도 서둘러 취소됐다. 해커들이 물리적 공격을 예고했기 때문이었다.

주요 영화관 체인은 영화를 상영하지 않겠다고 했다. '인터뷰'는 디지털 버전으로 풀렸고, 일부 독립 영화관에서만 상영됐다.

추후 이 소니픽쳐스 해킹 사건은 더 큰 계획을 위한 '연습 작업'이었던 것으로 드러난다. 이들의 더 큰 계획이 바로 2016년 방글라데시은행 강도 사건이었다.

방글라데시 당국은 여전히 나머지 돈을 회수하기 위해 고군분투하고 있다. 6500만달러에 달하는 돈이다.

방글라데시은행은 수십 명의 개인과 기관에 대해 법적 조치를 취했다. RCBC도 그 대상에 포함됐다. RCBC는 자사가 어긴 법은 없다는 입장이다.

방글라데시은행 해킹 작전은 매우 능수능란했다. 하지만 북한 정권은 그 결과에 얼마나 만족했을까?

이들의 계획은 10억달러 규모 강도 작전으로 드러났지만, 최종적으로 이들이 손에 쥔 건 수천만 달러선이었다.

해커들이 세계 금융 시스템을 거치는 사이 수억 달러가 사라졌고, 또 다른 수천만 달러는 중간책들에 돌아갔다. 미 당국은 북한이 다음 작전에선 이 같은 손실을 막을 방법을 고심할 것이라고 봤다.

2017년 5월, 워너크라이(WannaCry) 랜섬웨어가 산불마냥 전 세계를 덮쳤다. 피해자들의 자료를 긁어모은 뒤 '데이터를 복구하려면 수백 달러를 비트코인으로 내라'고 협박하는 식이었다.

영국에선 국민건강보험(NHS)이 이들에게 당했다. 한시가 급한 암 진료 등이 줄줄이 취소됐다.

영국 국가범죄수사국은 FBI와 손잡고 해킹 코드를 파헤쳤다. 그리고 이들은 여기에서 방글라데시은행과 소니픽쳐스 해킹 사건 때 쓰인 바이러스와 놀라울 정도로 비슷한 점들을 발견했다.

FBI는 이 사건까지 박진혁의 혐의에 추가했다. FBI의 추정이 맞다면, 북한의 사이버 부대는 이제 가상화폐까지 접수한 셈이다. 가상화폐 시장이 종래의 은행 거래 시스템을 늘상 빗겨간다는 사실을 고려하면 이는 상당한 진전이다. 중개인비 등 불필요한 지출을 피할 수 있기 때문이다.

워너크라이는 시작일 뿐이었다. 이후 몇 년간, 기술 보안 업체들은 여러 건의 가상화폐 범죄들의 배후로 북한을 지목했다. 업체들은 북한 해커들이 비트코인 같은 가상화폐가 기존 통화로 송금되는 때를 노린다고 설명했다. 일부 전문가들은 북한 해커들이 이렇게 중간에서 가로채는 금액이 20억 달러에 이른다고 추산하기도 한다.

우리는 영국 런던 북한 영사관에 이 같은 혐의들에 대해 물었다. 최일 영국주재 북한 대사는 자신의 조국이 미국 등 다른 세력이 제기한 혐의를 부인한다고 전해 왔다. 북한에 대한 이런 문제 제기가 '어리석은 짓'이라고도 덧붙였다. 그는 또 미국의 '진짜 동기'가 이런 비방들로 북한의 이미지를 훼손시키는 것이라고 주장했다.

그럼에도 혐의들은 계속 나오고 있다. 지난 2월 미국 법무부는 또 다른 북한인 두 명을 기소했다. 라자루스 그룹의 일원으로 지목된 이들이다. 이들은 캐나다에서 나이지리아로 이어지는 돈세탁 네트워크와 연관된 혐의를 받고 있다.

컴퓨터 해킹, 국제적 돈세탁, 면밀하게 설계된 가상화폐 강탈까지. 북한이 받고 있는 혐의들이 모두 사실이라면, 많은 이들은 북한의 기술적 능력과 위험을 과소평가하고 있는 셈이다.

이는 점점 더 긴밀하게 연결되고 있는 우리 세계의 역학, 그리고 보안 전문가들이 '비대칭적 위협'이라고 부르는 우리의 취약성 측면에선 걸리적거리는 요소이기도 하다. 이 비대칭적 위협은 상대적으로 작은 적이 새로운 방식으로 힘을 이용해 본래의 능력보다 더 큰 위협을 가하는 능력을 일컫는다.

조사관들은 이 작고 가난한 나라가 어떻게 이렇게 소리없이 수천 마일 떨어진 부자들과 권력자들의 은행 계좌와 이메일에 접근할 수 있었는지 밝혀냈다.

해커들은 피해자들의 경제적, 또 전문직으로서의 삶을 황폐하게 만들고 이들의 평판을 진흙더미로 처박는 데 이 같은 능력을 썼다. 범죄의 검은 연결고리, 첩보 활동과 국가 간의 힘겨루기···. 이는 분명 이 국제 전선의 새로운 최전방 영역이다. 그리고 이 영역은 빠르게 확장하고 있다.

<제프 화이트는 '크라임 닷컴: 바이러스부터 투표 조작까지, 해킹은 어떻게 전세계를 장악했나(Crime Dot Com: From Viruses to Vote Rigging, How Hacking Went Global)'의저자다. 진 리는 2012년 통신사 AP(Associated Press) 평양 지국을 개설한 인물로, 현재 미국 워싱턴 D.C. 윌슨 센터에서 선임 연구원직을 맡고 있다.>