애런 아놀드 전 유엔 안보리 대북제재위원회 전문가패널 위원은 북한의 사이버공격과 관련해 유엔 안보리가 북한 해킹조직 라자루스를 제재해야 한다고 말했습니다. 아놀드 전 위원은 VOA 와의 인터뷰에서 현재 유엔의 대북 제재가 사이버 분야를 다루지 않고 있다고 지적하며 이같이 말했습니다. 아놀드 전 위원은 북한이 계속 공격적인 사이버 능력을 발전시킬 것으로 전망하며서 유엔 회원국들은 이에 대응하기 위한 노력을 기울여야 한다고 말했습니다. 2019년 11월부터 지난해 9월까지 미국 대표로 전문가패널에서 활동하다 영국 합동군사연구소로 자리를 옮긴 아놀드 전 위원을 조은정 기자가 전화로 인터뷰했습니다.
기자) 북한과 연계된 해킹조직 라자루스가 지난 달 6억 2천만 달러 상당의 암호화폐를 탈취해 미국 정부가 전격 제재에 나서고 부처 합동 주의보를 발표했습니다. 북한에 있어 사이버 금융 범죄가 얼마나 중요한 자금원입니까?
아놀드 전 위원) 북한은 약 2017년부터 사이버 활동의 대부분을 ‘가상자산서비스제공자’(Virtual Asset Service Providers)와 은행, 가상화폐 거래소 공격에 집중하고 있습니다. 북한이 탈취한 가상화폐 금액은 20억 달러에서 30억 달러에 달할 것으로 추산되고 있습니다. 물론 가상화폐의 가치가 유동적이긴 하지만, 북한과 같은 나라에게는 핵무기와 탄도미사일 프로그램에 투입할 중요한 자금원입니다. 북한이 탈취한 가상화폐를 얼마나 명목화폐로 바꿀 수 있는 지는 알 수 없습니다.
기자) 북한의 해킹 활동에서 주목되는 특징은 무엇입니까? 각국의 규제를 피하는 데 집중하고 있습니까?
아놀드 전 위원) 북한의 공격 수법(modus operandi)은 규제 회피보다는 정보통신 보안의 약점을 악용하는데 중점을 두고 있습니다. 가장 최근에 암호화폐를 주고받는 네트워크인 ‘로닌’을 공격한 사례에서도 알 수 있듯이, 북한은 ‘스피어 피싱’으로 공격을 시작합니다. 스피어피싱은 특정인의 정보를 캐내기 위해 위장 이메일을 보내고 사용자가 접속하도록 유도하는 것이죠. 누군가가 링크를 클릭하면 북한이 암호키를 확보해 가상화폐를 빼돌리는 것이죠. 따라서 규제를 더 강화해야 하는 문제는 아닙니다. 자금세탁방지 규정을 강화한다고 해서 은행 도둑을 막을 수 있는 것은 아니죠.
기자) 그러면 어떤 대책이 필요할까요?
아놀드 전 위원) 정보통신 보안을 강화해야 합니다. 미국에서는 대부분의 은행이 수십 년 동안 엄격한 정보통신 보안 기준을 지켜야 했습니다. 고객 정보보호, 지급거래, 자료 보관 등 모든 분야에서요. 하지만 ‘가상자산서비스제공자’들은 이러한 규제의 대상이 아닙니다. 따라서 ‘가상자산서비스제공자’들도 은행과 같은 수준의 보안 기준을 지키도록 해야 할 때가 됐다는 의견이 나오고 있습니다.
기자) 현재 유엔 안전보장이사회 대북제재 결의들은 북한의 사이버 범죄 활동을 다루지 않고 있습니다. 이 부분에 대한 변화가 필요합니까?
아놀드 전 위원) 물론입니다. 현재의 결의들은 사이버를 전혀 언급하지 않고 있습니다. 사이버 분야가 북한에 있어 상당히 중요한 수익원이 되고 있는 것도 명백합니다. 1718 위원회, 즉 대북제재위원회가 결의들을 개정해(update) 사이버를 포함할 수 있을 것입니다. 회원국들이 이러한 새로운 내용을 어떻게 이행할 지 많은 생각을 해야 할 것입니다. 꽤 오랜 기간 동안 부족했던 부분이었습니다.
기자) 새 결의를 채택하는 것이 아니라 기존 결의들을 개정하라는 제안인가요?
아놀드 전 위원) 두 가지 접근법이 있습니다. 하나는 사이버 분야를 포함하는 새로운 결의를 채택하는 것이죠. 또 다른 방법은 ‘이행 안내서’(Implementation Assistance Notice)를 발간해, 기존의 결의에 따라 북한의 사이버 활동이 제재 회피 활동으로 간주된다는 점을 설명하고 (제재의) 적법성을 제공하는 것이죠. 1718 위원회는 엘리트 해킹 조직인 라자루스를 제재 대상으로 지정하는 것을 진지하게 고려해야 합니다. 현재 유엔 제재위의 접근법은 기존의 유엔 제재 대상에 종속된 사이버 활동을 조사하는 것이죠. 해킹 조직 자체가 제재 대상이 아닌 것입니다. 이 부분은 1718 위원회가 다뤄야 할 중요한 기술적 문제입니다.
기자) 유엔 대북제재위원회가 북한의 불법 사이버 활동을 조사하는데 있어 가장 큰 어려움은 무엇입니까?
아놀드 전 위원) 가장 큰 도전은 각국이 북한의 불법 활동의 책임을 규명하고 위원회에 보고하는 것입니다. 은행들과 거래소들은 북한의 공격을 보고하거나 공격받았다는 성명을 내길 꺼릴 수 있습니다. 각국 정부도 마찬가지입니다. 또 많은 경우 범행을 저지른 주최를 규명할 능력이 없죠. 이러한 상황은 대북제재위원회가 북한의 사이버 활동에 대한 폭넓은 시각을 가질 능력을 제한하고, 결국 북한 사이버 범죄의 규모와 범위를 이해하지 못하게 합니다. 대북제재위원회가 파악한 것이 북한 사이버 활동의 전부일 수도 있지만 작은 일부분일 수도 있습니다.
기자) 전문가패널의 에릭 펜튼-보크 조정관은 미국과 한국이 북한 해킹에 대해 아마도 가장 잘 알고 있을 것이라며, 두 나라가 사이버 영역에서 협력하고 그 결과를 국제사회와 공유하는 것이 필요하다고 최근 말했습니다. 동의하십니까?
아놀드 전 위원) 조정관의 말이 맞다고 생각합니다. 미국이나 한국과 같은 회원국들이 더 많은 정보를 제공하면 북한의 사이버 활동의 전체 규모와 범위를 더 잘 이해할 수 있죠. 그런데 그 정보는 고도의 기밀 수집활동을 통해 얻었을 것입니다. 따라서 그 정보를 제재위원회에 넘기지 않는다 해도 전혀 놀랍지 않죠.
기자) 북한이 미사일 공격을 감행하는 것보다 이를 막는데 더 많은 자원과 기술이 필요하다는 말이 있습니다. 사이버 분야도 마찬가지인가요? 공격하는 북한보다 방어하는 각국이 더 많은 노력을 기울여야 하는 걸까요?
아놀드 전 위원) 북한은 능숙한 엘리트 해커들을 보유하고 있습니다. 북한이 세련되지 못한 사이버 행위자라고 추정한다면 그것은 전혀 사실이 아닙니다. 북한 입장에서 인적 자원 이외에 추가적인 자본 투자가 필요하지 않습니다. 컴퓨터와 인터넷만 있으면 되죠. 진입 장벽이 매우 낮은 것입니다. 북한 입장에서 의도적인 전략입니다. 우리는 앞으로 북한이 계속해서 공격적인 사이버 능력을 진전시키는 것을 볼 것입니다. 유엔 회원국들은 이에 대해 계속해서 대응하고 위협을 감소시키는 노력을 기울여야 할 것입니다.
기자) 유엔을 비롯해서 국제사회가 북한의 사이버 위협에 어떻게 공동으로 대응할 수 있을까요?
아놀드 전 위원) 가장 중요한 것은 각국이 민간 분야에 위험 정보를 제공하는 것입니다. 제가 앞서 미국과 한국이 기밀 정보를 대북제재위원회에 제공하지 않을 수 있다고 한 것처럼 민간 분야도 마찬가지입니다. 모든 회원국들은 민간 분야와 적절히 정보 공유를 하고, 각국 정부들 간에도 정보 공유 관계가 맺어져야 합니다.
지금까지 애런 아놀드 전 유엔 안보리 대북제재위원회 전문가패널 위원으로부터 북한의 사이버 범죄에 대한 유엔 차원의 대응 방안에 대해 들어봤습니다.
