통일부 산하 탈북민 지원기관인 경북 하나센터의 PC가 해킹돼 경북지역 탈북민 997명의 개인정보가 유출되면서 누구의 소행인지 궁금증을 자아내고 있다.

하나센터는 하나원(북한이탈주민정착지원사무소) 수료 이후 탈북민의 각종 지역 적응 지원 등을 위해 전국 25곳에 설치된 통일부 소속 기관이다. 사이버 보안이 철저해야 할 정부 기관이 해킹을 당해 탈북민 관련 자료가 빠져나간 점에서 허술한 보안관리의 문제점이 지적된다. 

통일부 당국자는 28일 "관계기관에서 경북하나센터(지역적응센터) 사용 PC 1대에 대한 해킹 정황을 인지하고, 지난 19일 경북도청, 하나재단과 함께 현장 조사를 실시해 해당 PC가 악성코드에 감염된 사실을 확인했다"고 밝혔다.

해당 PC는 하나센터 직원이 지난달 기관 대표메일에서 악성코드가 심어진 이메일을 열람하면서 해킹을 당한 것. 

해당 직원은 탈북민 개인 정보가 담긴 파일에 암호를 설정하고, 개인 정보 파일은 인터넷을 연결할 수 없는 PC에 저장해야 한다는 지침을 어긴 것으로 알려졌다. 

탈북민 이름·생년월일·주소 등 개인정보 담긴 문서 유출...타깃 공격에 북한 소행 의심

해당 PC에는 경북 경산 지역을 제외한 997명의 탈북민 개인정보가 포함된 업무 자료와 함께 하나센터의 다른 업무자료 등이 저장돼 있었다.  

이름·생년월일·주소 등 개인정보가 담긴 문서가 유출됐다. 연락처와 주민등록번호는 담겨있지 않았다.

탈북민 입장에서는 개인 신상정보가 유출돼 불안에 떨 수 밖에 없다. 

서재평 탈북자동지회 사무국장은 한 매체에서 "대다수 탈북민은 공개적으로 자신이 탈북민이라고 밝히지 않고 살아간다"며 "이름과 생년월일, 주소가 유출된 것이 이들에겐 위협적"이라고 밝혔다.

한 탈북민은 "실제로 신변에 위협이 생길 가능성이 작다고 하더라도 북한의 국가보위부에 대한 두려움이 강한 사람들은 본인과 가족에게 피해가 생길까봐 노심초사할 것"이라고 말했다.

통일부는 27일부터 현지에 '피해 접수처'를 운영하고 있으며 피해 사례가 접수되면 구제 방안을 강구할 계획이다. 

일각에서는 해킹 대상이 정부 산하기관인 점과 1대의 PC를 타깃으로 해킹 공격을 당한 점 등을 들어 북한 소행설이 나오기도 한다. 해킹이 불특정 다수를 향한 것이 아니라 탈북민 정보를 노린 것이라는 얘기다.

한 보안전문가는 "기관의 대표메일을 인증하고 (메일이) 들어왔다고 하면 어느 정도 사전작업을 충분히 하고 진행 했을 수 있다"며 "스피어 피싱(spear phishing) 공격방식"이라고 분석했다. 스피어 피싱은 해커가 사전 정보를 수집하고 분석해 공격을 수행하는 형태를 의미한다. 

'심증은 있어도 물증이 없어' 기술적인 확인은 어려워...스피어 피싱 등 각종 의혹

또 다른 보안전문가는 "하나센터에서 유출된 내용이 탈북자의 주소 등 개인정보는 점에서 전략적인 차원에서 보면 북한으로도 추정할 수 있다"면서도 "기술적으로 확인은 어렵다"고 말했다. 

이어 "해킹 시발점이 특정 국가라고 하더라도 다른 나라를 경유해서 시도하기 때문에 북한 소행으로 단정짓기는 어렵다"며 "지난 2009년 디도스 대란 등 대형 보안사고도 북한소행설만 무성할 뿐 물증이 확실하지는 않다"고 덧붙였다. 

통일부에 따르면 지난 5년간 총 47개 국가에서 해킹 시도가 있었다. 이중 국내 사례가 가장 많았고 이어 중국과 미국 순이었다.

47개국에 북한은 포함되지 않았다. 다만 북한이 중국 등을 경유했는지에 대해서 당국은 별도로 파악하지 않았다.

일부 전문가들은 대체로 중국의 해킹 시도가 국내 다음으로 많은 점을 고려할 때 북한이 중국을 경유해 해킹 등 공격에 나섰을 가능성을 제기한다.  

하지만 모든 대형 보안사고를 '북한 소행'으로 결론짓는 것에 대한 우려도 있다. 

지난 2011년 4월 농협 전산망 마비 사태는 공격자가 모든 목적을 달성한 후 증거 인멸을 목적으로 전산망마저 파괴하는 사건이었는데, 정부는 북한의 소행이라고 밝혔다. 지난 2013년 MBC·KBS·YTN, 신한은행, 농협 등의 전산망을 마비시킨 '3.20 전산 대란' 또한 정부는 북한 정찰총국의 소행으로 추정된다고 결론내렸다. 

이후에도 북한 소행이라는 결론은 이어졌다. 2013년 '625 사이버 테러', 2014년 한국수력원자력 내부문서 유출, 2015년 서울메트로 해킹, 2016년 SK그룹·한진그룹을 포함한 160개 한국기업과 정부기관의 14만 개 시스템 해킹, 인터파크 개인정보 유출, 사이버 사령부 인트라넷 해킹, ATM 기기 해킹까지도 정부가 내린 결론은 북한이었다.

이러한 대형 보안사고 모두를 살펴보면 북한이라는 확실한 물증은 없었다. 

하지만 북한 소행이 제기되는 사건도 있다. 미국 보안업체 시만텍은 2014년 소니 해킹과 지난 2017년 방글라데시 중앙은행 강도 사건과 연루된 것으로 알려진 사이버공격 집단인 '라자루스(Lazarus)' 그룹이 북한을 위해 일하고 있다고 주장했다.

북한 해킹조직 의심받는 '라자루스', 작년 150여개국 30만대 공격...최근 의심 파일 등장

북한 해킹조직으로 알려진 ‘라자루스’는 지난 2017년 5월 전 세계 150여 개국 30여 만대의 컴퓨터를 강타한 ‘워너크라이’ 랜섬웨어 공격의 배후로도 의심받고 있다. 지난 9월 미국 정부가 처음으로 해커 이름과 얼굴까지 공개한 북한 해커 박진혁이 소속된 조직도 '라자루스'라는 것.

FBI는 소니 공격에 사용된 데이터 삭제 악성코드에 하드코딩(Hardcoding)된 IP 주소와 통신한 것으로 알려진 북한의 인프라와 관련된 여러 IP(Internet Protocol) 주소를 발견했다고 밝힌 바 있다.

대부분 악성코드는 재활용이 가능하며, 소니에서 와이퍼 악성코드가 사용한 툴은 공개된 툴이다. 북한과의 관련성을 직접적으로 입증할 수 있는 것이 하나도 없다는 의미다. 사이버 세계에서는 무엇이든 위조하거나 숨길 수 있다. 미국 이외에 어떤 국가도 다른 국가를 해킹하거나 공격했다는 것을 시인한 적이 없다. 

실제 물증을 제시한 경우도 있다. 2017년 9월, ATM 기기 해킹을 통해 금융거래정보 23만 건을 탈취 유통한 사건에 대해 경찰청은 이를 북한 해커의 소행으로 발표한 바 있다. 범행에 가담한 피의자들을 검거해 북한 해커 소행이라는 피의자 진술을 확보했다는 것이 이전과 다르다. 

이스트시큐리티는 남북 정상회담 이후 한국 통일부 직원을 사칭한 북한 소행의 해킹 이메일도 부쩍 많이 늘었났으며 '라자루스'가 최근 민관 첩보활동에 나섰다며 주의를 당부하기도 했다.

한편 통일부는 이번 사안에 대해 경찰청에 수사를 의뢰하고 자체 조사에도 나서고 있다. 통일부 당국자는 해킹 주체나 경로, 의도 등 대해서는 "수사를 해야 정확히 알 수 있다"고 전했다.

통일부는 모든 하나센터가 내년 1월부터 업무전용 PC와 인터넷용 PC를 분리해 운영할 예정이다. 올해 8억원의 예산을 투입, PC 환경을 업무 영역과 인터넷 영역으로 분리하고 보안 소프트웨어가 설치된 업무전용 PC를 설치했다. 

한편, 이번 사건으로 통일부의 탈북민 정보 관리가 허술하게 이뤄지고 있다는 지적이 많다. 지난해 통일부 6급 공무원이 2010년부터 6년간 탈북자 48명의 정보를 탈북 브로커에게 팔아넘긴 사실이 적발됐다. 유출된 정보는 북한 보위성에 넘겨져 탈북민 협박·납치에 이용될 위험성이 크다.