“한국 IT 방산기술만 골라 훔쳐서” 결국 2조 원 탈취 후 달아난 ‘이 특수 부대’
||2026.05.11
방산·IT 기술만 골라 노린 북한 해킹 부대
국가정보원 국가사이버안보센터 연례보고서에 따르면 북한 해킹 조직이 최근 몇 년 사이 한국 방위산업과 정보기술(IT) 분야의 핵심 기술을 집중적으로 노리며 사이버 공격을 이어온 것으로 드러났다. 방산 설계 자료, 소스코드, 네트워크 구조까지 포함된 민감 정보가 주요 표적이 됐고, 국내 방산업체뿐 아니라 협력사·IT 서비스 업체까지 연쇄적으로 공격을 받았다. 전통적인 군사적 도발 대신, 사이버 공간에서 한국의 기술 우위를 잠식하려는 ‘비대칭 전력’ 전략이 본격화했다는 평가가 나온다.
악성 앱으로 통화·문자까지 통째로
북한 해커들은 일상적인 앱으로 위장한 악성 프로그램을 활용해 개인과 기업의 정보를 빼냈다. 카카오 보안 파일, 문서 열람 앱 등으로 둔갑한 악성 앱을 공식 앱스토어와 이메일 첨부파일을 통해 유포하고, 사용자가 설치하면 통화 기록과 문자 메시지 내용을 통째로 가로채는 방식이다. 이때 연락처·인증 문자·사내 메신저 내용까지 함께 노출될 수 있어, 계정 탈취와 내부망 침투의 ‘발판’으로 악용되기 쉽다. 국정원은 비공식 경로나 출처가 불분명한 앱 설치를 금하고, 과도한 권한을 요구하는 앱은 즉시 삭제하라고 경고했다.
피싱·악성코드로 2조 원 가상화폐 ‘싹쓸이’
이번 보고서에서 가장 눈에 띄는 부분은 가상화폐 탈취 규모다. 북한 해킹 조직은 피싱 사이트와 악성코드를 통해 개인·거래소의 지갑 정보와 비밀키를 빼낸 후, 코인을 잘게 쪼개 여러 지갑으로 분산 전송하는 세탁 기법을 반복해 추적을 회피했다. 이렇게 빼낸 가상화폐·디지털 자산 규모가 지난해에만 2조 원 이상으로 집계돼 역대 최대를 기록했다. 탈취된 자금은 무기 개발, 고급 물자 조달, 정권 유지 자금 등으로 쓰일 가능성이 커 국제사회에서도 심각한 안보 위협으로 간주된다.
소프트웨어 공급망까지 파고든 정교한 침투
국내 기업들이 사용하는 문서 관리 솔루션과 협업 도구도 북한 해커들의 공격 대상이 됐다. 이들은 국내에서 널리 쓰이는 문서 관리 솔루션 3종의 취약점을 노려 관리자 계정을 몰래 생성했고, 이를 통해 서버 내부 자료를 장기간에 걸쳐 유출했다. 조사 결과, 제품별로 최소 700건에서 최대 260만 건에 이르는 민감 자료가 빠져나간 것으로 파악됐다. 공급망을 장악하면 해당 솔루션을 쓰는 수많은 기업과 공공기관이 한 번에 노출되는 만큼, 단일 해킹 사고가 국가적 리스크로 확대될 수 있다는 점이 드러난 셈이다.
왜 ‘한국 IT·방산’에 이렇게 집착하나
북한이 한국의 IT·방산 기술을 집요하게 노리는 이유는 분명하다. 자체 연구개발 능력이 제한적인 북한 입장에선, 한국이 수십 년에 걸쳐 축적한 반도체·통신·방산 기술을 훔치는 것이 가장 빠른 지름길이기 때문이다. 특히 한국은 K9 자주포, 천궁-II, KF-21 등으로 세계 시장에서 입지를 넓히고 있는 만큼, 관련 설계와 소프트웨어, 테스트 데이터는 북한 입장에선 ‘돈이 되는 정보’이자 군사력 격차를 줄일 수 있는 전략 자산이다. 여기에 암호화폐 탈취로 제재를 우회한 외화 획득까지 동시에 노리면서, 한국 IT·방산은 북한 해킹 조직에게 가장 효율적인 표적이 되고 있다.
우리에게 남은 과제, 기술 강국답게 ‘사이버 방패’도
이번 보고서는 한국이 세계적인 IT·방산 강국으로 올라선 만큼, 그 뒤편에서 사이버 위협 역시 세계 최고 수준으로 따라붙고 있음을 보여준다. 기업과 기관은 이제 개별 PC나 서버 방어를 넘어, 공급망 전체와 모바일 환경, 가상화폐 지갑까지 엮여 있는 복합 위협에 대비해야 한다. 국정원과 보안 당국은 “출처가 불분명한 앱·프로그램 설치 금지, 다중 인증 도입, 관리 계정 접근 통제, 가상자산 지갑 분산 관리” 등을 기본 수칙으로 제시하고 있다. 한국이 쌓아 올린 기술력과 방산 경쟁력을 끝까지 지키려면, ‘공장과 연구소’만이 아닌 ‘사이버 공간’까지 포함한 전방위 방어가 필수가 되는 시점이다.
