외화벌이·국가기밀 수집 목적 대표포털·통일부·지자체 사칭 카이스트 개인정보3만건 해킹 과기부 매년 수천건씩 피해 ↑ 국정원 "피해 규모 등 종합수집 평가 요소따라 경보 단계 결정"
북한을 배후에 둔 것으로 추정되는 해킹 공격이 공공, 금융, 기업 등 다양한 분야에서 활개를 치고 있다. 특히 이들은 시간이 갈수록 공격 수법을 다양화·고도화하고 활동량을 늘리고 있지만, 국가정보원이 운영하는 '사이버위기경보' 시스템은 최근 몇 년간 '정상' 단계를 유지하고 있다는 지적이다.
15일 보안 업계에 따르면 북한의 사이버 위협은 국내에서 일상적으로, 반복적으로 일어나고 있는 것으로 나타났다.
보안 업계 관계자는 "외화벌이와 국가 기밀 수집 등을 목적으로 북한으로 추정되는 사이버 공격이 빈번하게 발생하고 있다"며 "국가 차원에서 사이버 공작원을 양성하고 있는 상황"이라고 설명했다.
보안전문가들은 실제 북한이 배후에 있는 것으로 알려진 '김수키', '탈륨' 등의 해커 그룹이 지난해 활발한 활동을 펼친 것으로 파악하고 있다. 국내 대표 포털사, 클라우드 사업자 등 주요 IT기업은 물론 통일부, 춘천시 등 정부부처와 지자체까지 사칭하고, 코로나19와 같은 사회적 이슈를 악용해 사이버 공격을 시도한 것으로 평가되고 있다. 최근에는 제약사를 상대로 해킹을 시도하기도 했으며 지난해 발생한 카이스트의 개인정보 3만건 해킹사건 역시 탈륨이 유력한 배후로 지목되고 있다.
특히 공공기관을 상대로 하는 북한발 사이버 공격도 급증한 것으로 확인됐다. 황보승희 국민의힘 의원이 과학기술정보통신부에서 제출받은 '사이버 공격 국가별 발생 현황'에 따르면, 과기부와 소속 산하기관의 사이버 공격 건수는 2017년 1113건에서 2018년 2456건, 2019년 5127건으로 매년 급증한 것으로 조사됐다. 지난해에는 7월 말 기준 3112건의 공격이 확인됐다.
북한을 근거지로 한 사이버 공격은 미국, 러시아 등 해외에서도 활발한 것으로 파악되고 있다. 실제 구글의 위협분석그룹(TAG)은 최근 북한 해커들이 사이버 보안 전문 블로거로 위장해 보안 연구자들에게 접근하고 해킹을 시도했다고 공개했다. 미국 국토안보부 산하 사이버안보·기간시설안보국(CISA)과 재무부, 연방수사국(FBI), 사이버사령부 등 4개 기관은 지난해 북한 해커 그룹이 ATM(현금자동입출금기)을 활용한 금융 해킹을 시도하고 있다며 합동 경보를 발령하기도 했다.
북한을 배후로 둔 해커 그룹의 활동은 올해도 지속될 것으로 관측된다. 글로벌 보안 기업 카스퍼스키은 라자루스와 킴수키 등 북한 배후 해커 그룹의 공격이 올해 더 증가할 것으로 내다보고 있다.
그러나 국정원이 조정하는 사이버위기 경보는 지난 2018년 3월부터 '정상' 단계에 머물러 있다. 국정원은 사이버 업무 규정 등에 근거해 국가안보실 등과 협의를 거쳐 사이버위기 경보를 발령하고 있다. 국정원의 사이버위기 경보단계는 총 5단계로, 정상과 경보 단계인 '관심-주의-경계-심각' 등으로 구분된다. 이와 관련 국정원 측은 "국내 및 글로벌 사이버 위협정보 등을 종합 수집·분석해 피해규모·공격 수법 등 여러 평가 요소에 따라 위협지수를 정기적으로 정량 산출하고 유관기관과 공유하고 있다"며 "지수가 정상범위를 벗어나거나 대규모 공격 정황 등 특이징후 포착 시 판단 기준에 따라 정부 합동 평가회의 등을 통해 경보 단계를 결정한다"고 설명했다.
![[속보] 미·이란, 파키스탄 총리와 사전조율 시작…“이란, 4대 레드라인 제시”](https://wimg.dt.co.kr//news/cms/2026/04/11/news-p.v1.20260411.b741f723d15d4162b57bed3f279f2cc4_T1.jpg)
![[속보] 트럼프 “중국, 이란에 무기 보내면 큰 문제 생길 것” 강력경고](https://wimg.dt.co.kr/news/cms/2026/04/12/news-p.v1.20260412.bf9d94081dd24ac0b4a714f4d24c637f_R.jpg)