한국 정부가 2월 10일 북한 사이버 활동과 관련해 첫 독자제재를 발표했다. 외교부가 대표로 발표했지만 여기에는 국가정보원, 과학기술정보통신부, 경찰청 등이 참여한 것으로 보인다.

정부의 보도자료를 보고 필자는 실소를 금치 못했다. 첫 번째는 현실을 모르고 옛날이야길 하고 있었기 때문이며 두 번째는 실효성이 없는 조치이기 때문이다.

정부는 이번에 제재 대상으로 지정되는 개인 4명이 북한 정찰총국 등에 소속돼 해킹 등 사이버공격에 가담했거나 북한 군수공업부 및 국방성 등에 소속된 IT 인력으로서 IT 프로그램 개발 등을 통한 외화벌이에 관여했다고 밝혔다.

개인은 조선엑스포합영회사 소속 해커 박진혁, 정찰총국 산하 컴퓨터기술연구소장 조명래, 로케트공업부 산하 합장강무역회사 소속 송림, 국방성 소속 IT 인력 오충성 등이다.

또 제재 대상 지정 기관 7개는 조선엑스포합영회사, Lazarus Group, Bluenoroff, Andariel, 기술정찰국(정찰총국 산하 해킹, 사이버공격 전담), 110호 연구소(기술정찰국 산하 기구로 군, 전략기관 해킹 전담 및 가상자산 탈취 가담), 지휘자동화대학(미림대학) 등이다.

정부가 제재를 하겠다고 지정한 조선엑스포는 이미 수년 전부터 활동을 하지 않고 있다.

조선엑스포는 동남아 등에서 활동하며 과거 다양한 소프트웨어, 게임, 앱 등을 개발한 회사다. 해외 기업들과 IT 협력 사업을 했고 사행성 게임 사이트 구축을 하기도 했다. 그러나 이 회사는 이미 오래 전 최소 5년 전에 자취를 감췄고 사이트 역시 사라졌다. 

새로운 이름과 조직으로 활동을 하고 있을 수 있지만 조선엑스포라는 명칭을 사용하지 않는다. 조선엑스포라는 이름을 사용하지도 않고 사라진 회사를 어떻게 제재한다는 것인가?

박진혁에 대한 제재 역시 뒷북이다. 5년 전인 2018년 미국 FBI 등에서 소니픽쳐스 해킹 사건 등의 배후로 박진혁을 지목했다.

미국 정부가 해킹에 사용된 악성코드와 경유지 등을 확인하는 과정에서 김현우라는 사람 명의의 이메일이 다수 확인됐다. 그리고 그 이메일들이 연결된 또 다른 이메일들을 확인해서 박진혁을 해커로 지목한 것이다.

미국 정부가 박진혁이라는 인물을 어떻게 특정했을까? 미국 정부가 추적하던 이메일 내용 중 IT 개발을 위한 이력서가 있었는데 거기 담긴 이름이 박진혁이었다. 이력서 정보를 기반으로 박진혁이라는 해커를 지목한 것이다.

이런 내용은 북한 개발자들이 IT 사업 수주를 위해 신분을 위장한다는 미국, 한국 정부의 주장과 모순된다. 박진혁도 위장된 신분일 수 있는 것이다. 필자가 만난 일부 관계자들은 박진혁의 이름, 사진, 개인정보 등이 모두 가짜일 수 있다고 지적했다. 

박진혁이 실존 인물이라고 해도 5년 전에 발표가 됐고 지금은 자취를 감춘 사람을 어떻게 제재할 수 있을까? 

더 문제는 근본적으로 정부가 북한의 대외 IT 사업에 대해서 모르는 것 같다는 점이다. 

이번에 정부는 정찰총국, 국방성, 군수공업부가 해킹과 IT 외화벌이를 주도하고 돈을 미사일, 핵 개발에 사용한다고 밝혔다. 

북한의 군 부문이 해킹, IT 외화벌이에서 중요한 부분을 차지하는 것은 맞다. 그런데 그들이 모든 것을 주도하는 것은 아니다. 

2012년 이전 김정일 위원장 시절에는 선군정치로 군이 가장 강력한 기관이었다. 김정일 시대에는 이번에 한국 정부가 발표한 내용이 맞을 것이다.

문제는 2012년 김정은 총비서 집권 후 북한 내 조직, 권력구조가 대대적으로 개편됐다는 것이다. 여전히 군이 중요한 역할을 하지만 실질적으로 북한에서 가장 강한 권한은 당이 갖고 있다. 내각 역시 경제발전의 총사령부라는 명목으로 위상이 강화됐다.

북한에서 IT 외화벌이는 군만 하는 것이 아니라 당, 내각 등의 다양한 기관들이 수행하고 있다. IT가 돈이 된다는 것을 알고 각 기관들이 산하에 기업들을 만들어 사업을 하고 있다. 예를 들어 필자는 중국 기업이 당 선전선동부를 통해서 IT 인력을 고용해 일하는 사례를 들었다. 국가보위성 등 여러 기관들 역시 IT 사업을 하고 있다.

또 북한의 IT 역사는 조선콤퓨터쎈터(KCC)로부터 시작된다. 과거 조선콤퓨터쎈터는 중국, 유럽, 동남아 등에 지사를 두고 활발히 외화벌이를 했다. 

조선콤퓨터쎈터는 군수공업부 산하 기관과 국가정보화국으로 분리됐고 다시 2021년 국가정보화국이 체신성과 합쳐져 내각 정보산업성이 됐다. 정보산업성은 대외 IT 사업을 하고 있지 않을까? 당연히 할 것이다.

한국 정부 주장에 따르면 국가보위성, 선전선동부, 정보산업성 등이 모두 정찰총국, 국방성 등의 지시를 받는다는 뜻이다. 말이 안되는 이야기다.

이것을 정부가 모르고 정찰총국이 다 한다고 발표했다면 그것은 무능한 것이다. 알면서 그렇게 발표했다면 다른 의도가 있는 것으로 보인다.

북한이 IT 외화벌이, 해킹 등으로 번 돈을 무기 개발에 쓰고 있을 것이다. 그러나 모든 돈을 다 그렇게 쓰지는 않는다. 코로나19 비상방역전 상황에서 의약품도 사야하고 식량과 석유 등도 구매할 것이다.

또 북한 IT 기관, 기업, 개발자들이 불법적인 활동만 하는 것이 아니다. 일반적인 IT 개발도 한다.

그런데 이런 혼재된 내용이 발표되면 대북 제재의 명분이 약해질 수 있다고 판단해서 정찰총국이 핵, 미사일을 만들기 위해서 활동한다고 발표한 것은 아닌지 의구심이 든다.

이번 발표는 앞서 말한 것처럼 실효성이 낮다. 정부가 발표한 북한 IT 개발자들의 접근 방식은 이미 7~8년 전에 사용되던 방식이다. 수년 전부터는 완전히 방식을 바꿔서 해외에서 IT 기업을 만들고 외국인으로 완전히 가장하고 있다.

북한 IT 개발자, 북한 기업이라고 전혀 생각할 수 없는 수준이다. 실질적으로 국내 IT 기업들이 북한 관련된 내용을 알 수 없다. 

정부가 말한 북한 IT 개발자 고용 시 제재도 말이 안 된다. 제재 대상인 Lazarus Group, Bluenoroff, Andariel 등은 해커 조직으로 제재가 아니더라도, 북한과 관련이 없어도 그들과 거래하는 것은 불법이고 처벌을 받게 된다.

또 정부는 북한 IT 개발자 고용과 관련해 외국환거래법과 공중 등 협박목적 및 대량살상무기확산을 위한 자금조달행위의 금지에 관한 법률을 언급했다.

그런데 현행법상 한국인이 북한 사람과 통일부 신고 없이 접촉만해도 남북교류협력법 위반이다. 접촉에는 이메일 등 온라인 부문도 포함된다.

또 한국인이 북한 IT 개발자와 거래를 하겠다고 통일부에 신고를 한다면 통일부가 이를 승인하지 않을 것이다. 제재가 아니더라도 접촉과 거래 자체가 남북교류협력법 등에 저촉되는 것이다.

어쩌면 정부 관계자들은 사이버 분야 단독제재가 선언적, 경고의 의미라고 주장할지도 모른다.

앞서 설명한 바와 같이 제대로 알지도 못하는 내용으로 제재를 하면 오히려 북한이 비웃을 것이다. 또 실효성 없는 목소리만 큰 제재는 오히려 사이버공간에서 긴장만 높이고 공격의 빌미를 줄 수 있다.

정부가 진짜로 해킹을 막고 싶다면 이런 발표 보다 북한 IT를 심도있게 연구하고 공부할 것을 권하고 싶다. 조용하고 치밀하게 대응하고 준비하고 추적하는 것이 필요하다.