중국 선양이 북 사이버전사들의 소굴이 된 이유
외화벌이 하며 지령 떨어지면 해킹 작업 용이
본산으로 지목되는 칠보산호텔도 선양에
외화벌이 하며 지령 떨어지면 해킹 작업 용이…본산으로 지목되는 칠보산호텔도 선양에
최근 외교·통일·국방부 등 외교안보 분야의 공무원이나 북한관련 연구소 관계자 등에 대해 이뤄진 해킹이 중국 선양에 주재하고 있는 북한의 해킹팀 소행으로 추정되고 있다. 지금까지 국내에서 일어났던 굵직한 해킹 사건들의 진원지는 모두 선양으로 지목돼 관심이 모아지고 있다.
지난 4일 대검찰청 사이버수사과에 따르면 이번 해킹에서 활용된 IP는 '175.167.xxx.xxx'로 과거 한국수력원자원(한수원)을 해킹했던 IP 주소와 상당부분 일치한 것으로 드러나 북한 소행으로 추정됐다.
이번 해킹에서 사용된 IP주소 중 앞 자리의 '175'는 중국 선양에 할당된 주소로 그동안 '175'로 시작되는 IP를 통해 △2014년 한수원 해킹 △2013년 언론사와 금융기관 해킹 △2011년 농협전산망 해킹 △2009년 7·7디도스 사태 등 북한의 소행으로 추정되는 해킹이 수차례 이뤄진 바 있다.
대검 사이버수사과 관계자는 '데일리안'에 "유동IP(로 이뤄진 공격)이기 때문에 다른 숫자들은 일치하지 않는다. 앞자리가 일치하는 것은 북한 소행 추정의 근거 중 하나로 활용된다"면서 "더욱이 선양은 북한과 바로 인접한 지역"이라고 말했다.
북한의 해킹, 왜 하필 선양에서 이뤄지나?
최근까지 굵직했던 해킹 사건들은 중국 선양에 주재하고 있는 북한 해킹팀의 소행으로 추정되고 있다. 전문가들과 북중 접경지대와 선양 등지에서 활동한 복수의 활동가들에 따르면 선양은 북한과 인접했고 동북지방에서 가장 규모가 큰 도시이기 때문에 북한의 공작 조직들의 본산이 이곳에 집중돼 있다고 주장하고 있다.
특히 공작 활동외의 '외화벌이'도 진행하려면 선양 같은 큰 대도시에서 돈을 벌어들이면서 본국의 지령이 있을 때마다 해킹 작업 등 대남 공작에 투입되는 것이 효율적이다.
2016년 상반기 중국에 사업차 방문했던 이모(38) 씨는 본보에 "선양에 IT사업에 관심이 많다고 하니까 13~20명 정도 되는 어플리케이션 제작팀이 있다고 투자할 용의가 있느냐고 제안이 들어왔었는데 어플 제작팀은 북한 사람들이었다"면서 "1명당 1달에 20만원만 지불하면 사업을 진행할 수 있고 젊은 남성들이 모두 합숙하고 있기 때문에 그들의 숙박문제는 걱정하지 않아도 된다고 했다"고 전했다.
이 씨는 "중국에 집을 하나 빌리면 그 안은 비어있기 때문에 그곳을 어플 제작환경 등으로 만들어서 작업을 하고 있다고 들었는데 이런 팀이 2~3개 있다고 들었다"고 말했다.
북한 국가안전보위부 출신의 한 탈북자도 "200~300명 정도가 선양에 나와 집 하나씩을 배정받아 점조직 형태로 작업하고 있는 것으로 안다"면서 "선양이 북한과도 가깝고 예전부터 북한 측 업체들이 많이 들어와있었다. 6개월에서 1년정도 작업을 한 후 작업 장소를 옮기는 것으로 안다. 선양 뿐만아니라 연길에도 이런 조직이 있다"고 밝혔다.
북한이 선양에서 운영하고 있는 칠보산호텔이 북한 해킹 및 공작조직의 본산이라는 설도 지속적으로 제기되고 있다. 김광진 국가안보전략연구원 연구위원에 따르면 칠보산 호텔은 북한 대외보험총국이 소유하고 있는 북한 최초의 해외 부동산이다.
김광진 연구위원은 "해킹 사건이 터질때마다 중국 선양이 지목되는 것은 칠보산호텔이 선양에 있기 때문"이라면서 "북한 해킹조직들이 이곳에 파견돼서 숙박을 하며 작업을하는데 평소에는 프로그램 개발 등 평소업무를 하며 외화벌이를 하고 지령을 받으면 해킹에 가담한다"고 말했다.
김영환 북한민주화네트워크 연구위원도 "선양은 중국 동북지역의 핵심거점이자 북한과 인접한 지역으로 이곳의 북한 영사관도 규모가 큰 편"이라면서 "북한과 가까운 곳은 단둥이 있지만 심양에 파견되는 조직이 더 크거나 핵심이고 파견되는 인사들도 직급이 더 높은 것으로 안다"고 말했다.
이어 그는 "단둥보다 선양에 자리 잡는 것이 협력사업이라든지 중국 관련 부업을 하는 등 여러 가지 측면에서 첩보·공작 등의 거점이 되고 있다"고 덧붙였다.
©(주) 데일리안 무단전재 및 재배포 금지