2021년 7월 북한 해킹, 해커, 사이버 전력 관련 기사

출처#1. https://www.bbc.com/korean/international-57674041?xtor=CS3-33 

북한은 어떻게 최정예 해커 부대를 만들어 냈나 - BBC News 코리아

출처#2. https://www.dailynk.com/%EB%B6%81%ED%95%9C-%EC%82%AC%EC%9D%B4%EB%B2%84-%EC%A0%84%EB%A0%A5-3%EB%B0%B0-%EB%8A%98%EB%A0%A4-%E5%8D%97-%EA%B8%B0%EA%B0%84%EC%82%B0%EC%97%85-%ED%8C%8C%EA%B4%B4%EB%8F%84-%EC%A7%80%EC%86%8D/

북한, 사이버 전력 3배 늘려…南 기간산업 파괴도 지속 노린다 | DailyNK

출처#3. https://newsis.com/view/?id=NISX20210712_0001509893&cID=10301&pID=10300 

[군사대로]전면전 양상 띠는 北 해킹 공격…국지도발만큼 위협적

---

ㅇ 라자루스 강도 사건: 북한은 어떻게 최정예 해커 부대를 만들어 냈나

 

ㅡ 세계 최빈국 중 하나이자 가장 고립된 나라이기도 한 북한은 어떻게 이런 엘리트 사이버 범죄자 집단을 훈련시킬 수 있었을까.

 

ㅡ 사이버 보안 업계에서 북한 해커들은 일명 '라자루스 그룹'으로 알려졌다.

죽음에서 부활한 성경 속 인물 나자로(가톨릭에선 '라자로'라고 부른다)에서 따온 이름이다.

라자루스 그룹의 컴퓨터 바이러스에 대응해 온 전문가들은 이들이 나자로마냥 회복력이 강하다고 본다.

라자루스 그룹에 대해선 알려진 바가 많지 않다.

FBI는 최근 이 그룹의 일원으로 추정되는 용의자 박진혁(Park Jin-hyok)의 신원을 공개했다.

 

ㅡ 김정일 국방위원장은 군부를 권력 기반으로 삼았다.

탄도미사일과 핵 실험 등을 감행하며 계속해서 미국을 자극했다.

군사 실험 비용을 충당하기 위해 북한 정권은 불법적인 일들에 눈을 돌리기 시작했다.

미 당국에 따르면 수퍼달러 위조지폐도 이 같은 작업의 일환이었다.

김 국방위원장은 1990년 '조선콤퓨터중심(Korea Computer Centre)'을 세우며 일찌감치 사이버 관련 업체들을 국가 전략으로 육성한다. 이 회사는 지금도 북한의 IT 활동의 중심에 자리잡고 있다.

 

ㅡ 김정은 위원장은 김 국방위원장의 사망 직후인 2011년 말 지도자 자리에 올랐다.

그는 핵 무기가 나라의 "귀중한 재부(재산)"가 될 거라고 했다.

그러나 김 위원장 역시 돈은 필요했다. 2006년 핵 실험 및 장거리 탄도미사일 발사 이후 유엔 안전보장이사회의 대북 제재가 그 어느 때보다 엄혹했던 시기였다.

미 당국은 이런 상황에서 북한이 '해킹'을 하나의 해결책으로 여겼을 것이라고 분석했다.

그러나 과학 기술의 수용이 북한 주민들의 자유로운 인터넷 접속으로 이어진 건 아니었다.

주민들이 인터넷에 노출되면 바깥 세상에 대한 너무 많은 정보가 드러날 가능성이 있었다.

조국의 '신화'를 부정하는 정보와 마주할 수도 있었다.

 

ㅡ 사이버 전사들을 훈련시키기 위해 북한 정권은 가장 특출난 이들을 뽑아 해외로 보냈다.

목적지는 대부분 중국이었다.

그곳에서 이들은 어떻게 다른 나라들이 컴퓨터와 인터넷을 이용하는지 배웠다.

물건을 사기 위해, 도박을 하기 위해, 아니면 지인들과 연락을 하거나 오락을 즐기는 용도 등이었다.

이 수학 천재들이 '해커'로 변해가는 지점이었다.

수많은 젊은이들이 중국 내 북한이 운영하는 시설에서 살며 일한 것으로 전해진다.

김경진 전 FBI 한국 담당 국장은 "해커들은 자신들의 흔적을 지우는 데 능숙했지만 여타 다른 범죄자들처럼 증거 부스러기를 남기곤 했다"고 말했다.

김 전 국장은 "이들의 IP 주소를 추적해 위치를 파악할 수 있었다"고 덧붙였다.

해커들이 남긴 흔적은 조사관들을 중국 북동부 선양의 한 호텔로 이끌었다.

한반도 전통식 호랑이 석상 한 쌍이 지키고 있는 곳이었다. 호텔 이름은 '칠보산'이었는데, 북한의 명산 중 하나로 꼽히는 산에서 이름을 따온 것이었다.

호텔 예약 사이트 아고다(Agoda) 등지에 올라온 방문 후기 사진들을 보면 매혹적인 한반도 정취가 고스란히 드러난다. 다채로운 색상의 이불보, 북한식 요리, 그리고 손님을 위해 노래를 부르고 춤을 추는 여종업원들의 모습이 찍혀 있다.

 

ㅡ김 전 국장은 칠보산이 정보기관 관계자들 사이에선 상당히 유명하다고 했다.

이번 사건의 용의자로 지목된 북한 해커들이 2014년 처음 작업에 착수한 장소도 칠보산으로 알려졌다.

한편 탈북자 리현승 씨는 박진혁이 10년을 머물렀던 중국 다롄에서도 컴퓨터 프로그래머들이 비슷한 북한 운영 기관에서 일을 벌였다고 말했다.리 씨는 평양에서 나고 자랐다.

북한 정권을 위해 일하는 사업가였던 아버지를 따라 다롄에서 여러 해 거주했다. 리 씨 가족은 2014년 탈북했다.

리 씨는 북한 땅과 황해로 이어져 있는 이 복작복작한 항구 도시에 당시 북한인 500여 명이 살고 있었다고 회상했다.

그는 이들 중 60여 명이 프로그래머였다고 설명했다.

리 씨는 김일성 주석의 생일인 태양절 등 국경일에 북한 사람들끼리 모일 때 이 젊은이들과 안면을 텄다고 했다.

한 남성은 리 씨를 자신들이 사는 곳으로 초대하기도 했다.

리 씨는 그곳에서 "20여 명이 한 공간에서 함께 지내는 것을 봤다"며 "4~6명씩 한 방에서 자고, 거실은 컴퓨터 등을 들여 사무실처럼 개조해놨다"고 회상했다.

 

ㅡ 이들은 리 씨에게 자신들이 뭘 만드는지 보여줬다. 자신들이 만드는 휴대전화 게임이 브로커를 통해 한국과 일본 등지로 팔려 매년 100만달러의 수입을 낸다고 했다.

북한 보안원들이 이들을 면밀히 감시하고 있지만, 이 젊은이들의 삶은 상대적으로 자유로운 편이었다.

리 씨는 "여전히 규제는 많았지만 북한 내부에 비해서 이들은 인터넷에 접속하거나 영화를 보는 등 훨씬 더 많은 자유를 누리고 있었다"고 말했다.

 

ㅡ 2017년 5월, 워너크라이(WannaCry) 랜섬웨어가 산불마냥 전 세계를 덮쳤다.

피해자들의 자료를 긁어모은 뒤 '데이터를 복구하려면 수백 달러를 비트코인으로 내라'고 협박하는 식이었다.

영국에선 국민건강보험(NHS)이 이들에게 당했다. 한시가 급한 암 진료 등이 줄줄이 취소됐다.

영국 국가범죄수사국은 FBI와 손잡고 해킹 코드를 파헤쳤다. 그리고 이들은 여기에서 방글라데시은행과 소니픽쳐스 해킹 사건 때 쓰인 바이러스와 놀라울 정도로 비슷한 점들을 발견했다.

FBI는 이 사건까지 박진혁의 혐의에 추가했다. FBI의 추정이 맞다면, 북한의 사이버 부대는 이제 가상화폐까지 접수한 셈이다. 가상화폐 시장이 종래의 은행 거래 시스템을 늘상 빗겨간다는 사실을 고려하면 이는 상당한 진전이다. 중개인비 등 불필요한 지출을 피할 수 있기 때문이다.

워너크라이는 시작일 뿐이었다. 이후 몇 년간, 기술 보안 업체들은 여러 건의 가상화폐 범죄들의 배후로 북한을 지목했다. 업체들은 북한 해커들이 비트코인 같은 가상화폐가 기존 통화로 송금되는 때를 노린다고 설명했다. 일부 전문가들은 북한 해커들이 이렇게 중간에서 가로채는 금액이 20억 달러에 이른다고 추산하기도 한다.

---

ㅇ 북한, 사이버 전력 3배 늘려…南 기간산업 파괴도 지속 노린다

 

ㅡ 국가주요보안시설인 한국원자력연구원이 지난 5월 북한 해킹 조직 김수키(Kimsuky)의 공격을 받았다는 주장이 제기되고 있다. 또한 다른 국책연구기관인 핵융합연구소, 한국항공우주산업(KAI), 항공우주연구원도 북한 해커의 공격을 받은 것으로 추정되고 있다.

이처럼 북한 해커의 공격은 정부나 공공분야뿐만 아니라 민간 영역에도 이어지고 있다는 지적이 끊이지 않고 있다. 김수키가 통일부, 통일연구원 등 정부기관이나 국내 대형포털 사이트를 사칭해 기자, 대북단체관계자, 탈북자, 외교안보 전문가들을 노리는 일을 수년간 지속하고 있다는 것이다.

또한, 북한 해커들은 신종코로나바이러스 감염증(코로나19) 백신·치료제 개발 기술을 확보하기 위해 국내외 제약사들을 해킹했으며 가상화폐 탈취를 위해서 암호화폐거래소를 공격한 정황도 포착되고 있다.

 

ㅡ 9일 데일리NK 소식통에 따르면, 끊이지 않는 북한의 사이버공격을 배후에서 지휘하는 조직이 바로 정찰총국 기술정찰국이다. 4개 부서와 직속부대로 이뤄진 기술정찰국은 대외적으로는 ‘3국’이라고 부른다고 한다.

소식통은 “기술정찰국에는 공작장비연구부(1부), 콤퓨타프로그람(컴퓨터 프로그램) 침투정보부(2부), 전자통신기술부(3부), 감청정찰부(4부)가 있다”면서 “그 외 직속부대로 121부대, 180부대, 91부대 등이 있다”고 전했다.

1부는 공작(工作)에 필요한 장비 연구, 2부는 시스템 해킹, 3부는 네트워크 해킹, 4부는 통신 감청을 담당하는 것으로 보인다.

ㅡ 시스템 해킹은 컴퓨터의 하드웨어나 소프트웨어의 취약점을 이용해 데이터나 권한을 탈취하는 공격이다.

네트워크 해킹에는 인터넷 등 네트워크로 연결된 컴퓨터나 장비 등을 해킹해 권한이나 정보를 탈취하는 것과 서버가 정상적인 동작을 못 하도록 방해하는 DDoS 공격 등이 있다.

또한, 지난 2012년 김정은 국무위원장이 방문했던 110연구소는 기술정찰국 2부 산하 연구기관이라고 소식통은 전했다.

소식통은 “110연구소는 7개실, 280명으로 구성된 조직이다”며 “여기에서는 해외 콤퓨타 프로그람 개발·연구·제작하면서 해외 거래 접속 섬(같은 기관 내 해외파견 조작자)과 협조하는 일도 한다”고 설명했다.

이어 그는 “당 중앙의 임무를 단독수행하거나 상대방의 콤퓨타 지휘 통제체계 헝클어 와해하는 조작도 진행한다”며 “전파방해 업무도 이들의 일 중 하나이다”고 덧붙였다.

110연구소가 외부에서 프로그램을 수주 및 납품하고 있으며 관련 업무 처리를 위해 해외에 파견된 인력과 협력 중이라는 이야기다. 이와 함께 110연구소는 소프트웨어 취약점을 연구해 유관기관에 기술 지원도 하는 것으로 분석된다.

 

91부대(소)는 기술정찰국의 주요 직속부대라고 소식통은 전했다.

소식통은 “(91소는) 미국 담당 콤퓨타 프로그람 침투정보를 전문 담당하는 곳”이라면서 “1000명 이상의 사람이 (미국의) 핵, 로케트(미사일), 전자제어 관리, 명령체계 감시관리(프로그램 또는 서버)를 침투하는 일을 전담하고 있다”고 설명했다. 전략무기인 핵, 미사일에 관련한 정보를 탈취하기 위한 전문부서라는 이야기다.

이어 소식통은 “기술정찰국에는 국내(북한) 인원 2만여 명, 해외 3천여 명 내외의 사람들이 있다”며 “이들 이외에도 개별 특수 임무를 수행하는 사람도 있다”고 덧붙였다.

보통 북한 기술정찰국 인원은 6천여 명 정도로 알려졌다. 기존에 알려졌던 인원보다 다소 많은 수치로 조직규모가 이전에 비해 커졌을 가능성이 있다.

 

한편, 일각에서 제기된 북한군 총참모부 내 ‘사이버전략사령부’의 창설에 대한 질문에 소식통은 ‘들은 바가 없다’고 답해왔다. 일단 소식통은 “사이버란 말 자체가 조선군(북한군) 용어가 아니다”고 했다.

그는 이어 “현재 군 안에 군단, 사단, 여단, 련대, 대대급에 전자전 전문구분대가 직속 부대들로 있다”며 “사이버전략사령부가 생겼다면 이들의 임무가 합치고 완립(완성)되야 하는데 관련 소식이나 움직임을 듣거나 본 적이 없다”고 했다.

과거 미사일지도국이 로켓전략사령부(전략로켓군)을 거쳐 전략군이 됐었던 과정처럼 부대 편제의 변화가 있어야 하지만 특별한 움직임이 없었다는 이야기다.

다만, 해당 사이버전략사령부가 다른 이름으로 북한 내부에서 만들어졌는지 여부에 대해서는 정확히 알 수 없는 상태다.

---

ㅇ 전면전 양상 띠는 北 해킹 공격…국지도발만큼 위협적

 

ㅡ 북한의 대남 사이버 공격이 갈수록 거세지고 있다. 원자력 기술을 전문으로 연구하는 한국원자력연구원이 북한 소행으로 추정되는 해킹에 12일간 노출됐고 최초의 국산 전투기 KF-21을 개발하는 한국항공우주산업(KAI) 역시 북한에 의해 해킹 피해를 입었다. 서울대학교병원에서도 북한 해커 조직에 의해 환자 정보 6969건이 유출되는 해킹 피해가 발생한 것으로 나타났다.
북한의 사이버공격이 시작된지 햇수로 20년이 넘었다. 2000년도에는 개인용 컴퓨터(PC)와 웹사이트를 중심으로 이뤄졌다. 2011년부터는 금융사와 언론사 전산망을 공격했으며 2014년도 후반에는 국가사회기반시설이 공격을 당하기 시작했다.

기술적인 측면에서 보면 북한의 사이버 공격은 단기간의 디도스(분산 서비스 거부) 공격 같은 단순한 공격에서 장기간에 걸친 높은 수준의 공격으로 진화하고 있다. 악성코드 기능은 사용자 정보 수집이 아닌 데이터 파괴, 하드디스크 파괴 등으로 한층 강력해지고 있다.
북한이 사이버전력을 전략적 무기로 활용하는 이유는 사이버공격이 적은 인원, 적은 비용으로 최대의 효과를 누릴 수 있어 효율적이기 때문이다. 나아가 직접 침투할 필요가 없고 은밀하게 활동할 수 있어 제재와 보복이 어렵다는 점 역시 장점이다.

북한 사이버 공격의 목표는 한국 사회 혼란 조성, 유사시 군사작전 방해, 국가기능마비, 체제선전, 경제수입 확보를 위한 외화벌이 등이다.

구체적인 목표는 전면전 발생 시 1차적으로 정보망을 공격해 미군 지원을 지연시키고 2차적으로 우리 군의 C4I(전술지휘정보체계)를 타격해 전투기 등 무기체계와 군수지원체계 등을 무력화하는 것이다.

북한은 사이버전사를 해외(중국, 중동, 동아시아, 남아메리카 등)에 준비해 둔 거점(안전가옥)에 파견한 후 우회 서버를 이용해 사이버테러를 실행한 다음 곧바로 공격 근원지를 폐쇄하고 인원을 복귀시킨다. 이 때문에 공격 원점을 찾기 어렵다. 공격자 식별에 수개월이 걸리기도 한다. 공격 원점을 식별한다 해도 국가 간 관할권 문제와 외교적 문제로 인해 원점 타격이 어렵다.

 

북한의 한국 대상 사이버 공격 중 사회적 파장과 국가안보상 중요성이 큰 사건들은 2000년대 후반부터 발생했다.

북한 논리폭탄 실험(2007년), 한국군 장교대상 트로이목마 메일 전파(2008년), 화학물질 사고대응정보시스템 CARIS 해킹(2009년) 등이 대표적이다.
2009년 7·7 사이버공격 사건은 북한이 2009년 7월7일부터 3일간 61개국 586대 서버를 이용한 디도스 공격으로 청와대, 국회, 네이버, 미국백악관, 재무부, 국토안보부 등 우리나라와 미국의 주요 기관 36개 사이트 인터넷 접속을 지연시키거나 접속불능을 일으킨 공격이었다.

ㅡ 북한은 악성코드의 기능과 공격대상을 최신화할 수 있는 숙주서버에 특정시간에 일정주기로 접속한 뒤 10만대 이상 좀비 PC를 조종해 웹사이트들을 동시에 공격했다.
이 사건 후 민관 간 악성코드 등 관련 정보공유 부족, 좀비PC 신속한 확보체계 부재 등으로 인한 디도스 대응능력 미흡, 주요 유관기관 간 업무충돌 해소를 위한 업무 사령탑 부재 등이 문제점으로 지적됐다.
2011년 3·4 디도스 공격은 2011년 3월3일부터 7일까지 3일간 모두 70개국 746대 서버를 활용해 국내 주요 40개 사이트를 디도스 공격한 사건이다. 공격 방식은 2009년 7·7 사건과 동일했고 악성코드 설계방식과 통신방식도 일치했다.
웹하드 설치프로그램 변조를 통해 악성코드를 유포하는 방식에 대한 대응책이 미흡했던 점과 정부기관 간 위기대응역량이 분산돼 사이버공격에 효율적으로 대응하는 데 한계가 있었던 점 등이 공격을 막지 못한 이유로 꼽혔다.

2011년 4·12 농협전산망 해킹공격은 2011년 4월12일 국내 농협 전산망 자체가 이용 불가능 상황에 빠진 사건이다.

이 사건은 농협 유지보수업체 직원의 노트북을 좀비 PC로 감염시켜 7개월 이상 집중 관리한 뒤 원격조정 공격한 신종 공격이었다.
좀비 PC로 활용한 유지보수업체 직원의 노트북은 2010년 9월 S웹하드 사이트에서 범인들이 업데이트 프로그램으로 위장해 유포시킨 악성코드에 감염됐다. 악성코드가 발견되지 않도록 암호화하는 방식과 30여개 삭제 대상 파일의 확장자가 이전 북한 디도스 공격 때와 일치했다.
이 사건 후 외주 협력업체 보안 관리 상 허점과 금융기관 등 민간 기업에 대한 보안 관제를 실시하지 않아 사이버공격을 탐지하고 차단하는 데 미흡했던 점 등이 지적됐다.

2013년 3·20 방송사·금융기관 사이버공격은 2013년 3월20일 북한 정찰국이 MBC를 비롯한 방송사와 국내 주요 언론사, 농협, 신한은행, 제주은행 등 금융기관 전산망을 악성코드로 감염시켜 동시에 다운시킴으로써 8672억원에 달하는 피해를 준 사건이다. 북한은 컴퓨터 부팅 영역만 공격한 게 아니라 하드디스크 자체를 손상시켰다. 손상된 데이터는 원형으로 복구되지 않았다.

2013년 6·25 디도스 공격은 2013년 6월25일부터 7월1일까지 4회에 걸쳐 국내 정부·언론·민간업체 등 69개 서버가 공격을 받은 사건이다.
이 공격으로 주요기관 누리집이 변조됐으며 하드디스크 삭제와 함께 정부와 민간기관이 보유한 294여만명 개인정보가 유출됐다. 북한이 전산망 공격을 예고하고 있는 상황에서 예측 가능한 위기대응에 미흡했다는 점, 민관군 유관기관 간 사이버위협 정보 공유체계가 원활하지 않았다는 점 등이 지적을 받았다.

2014년 서울메트로, 한국수력원자력 원전, 국군 사이버사령부 해킹사건 역시 대규모 피해로 이어졌다.
2014년 7월23일 지하철 1~4호선을 운영하는 서울메트로의 업무용 컴퓨터 3대에서 부서 업무계획 등 12건이 북한에 유출됐다.

북한은 2014년 12월 한국수력원자력 원전을 해킹해 한수원 관련 자료를 탈취하고 한수원 관계자들의 전자우편 비밀번호를 수집한 뒤 계정에서 자료들을 빼내고 한수원 직원 3571명에게 5986통의 파괴형 악성코드 전자우편을 발송했다.

 

같은 해 9월에는 국군 사이버사령부의 내부 전용 서버인 전군의 인터넷망 컴퓨터에 보안 프로그램을 공급하는 역할을

하는 백신 중계 서버가 북한에 해킹 당했다.

2016년 국방통합데이터센터(DIDC) 해킹은 2016년 12월 북한 해커로 추정되는 세력이 각 군의 웹사이트와 인트라넷 등 군의 모든 IT 서비스를 통합 관리하는 경기 용인 국방통합데이터센터 서버를 2016년 8월부터 2~3개월간 해킹 공격한 사건이다. 이 사건으로 악성 코드에 감염된 군 인터넷용 컴퓨터는 2500여대에 이른다. 인트라넷용 컴퓨터 중에서도 700여대가 감염된 것으로 나타났다. 해킹이 발생한 사실을 2~3개월간 인지하지 못했다는 점이 충격을 줬다.

 

ㅡ 이 같은 공격을 위해 북한은 1999년부터 사이버공격 역량 확충을 국가전략으로 채택했다.

북한 내 최고권력기관인 노동당과 군의 정찰국이 직접 통제하는 등 사이버공격 능력 강화에 집중해왔다.
북한 노동당 산하에 통일전선부와 문화교류국, 그리고 국무위원회(구 국방위원회) 산하에 정찰총국, 국가보위성, 인민군보위국 등이 사이버테러 조직을 두고 있다.
사이버전을 연구하는 국방과학연구원과 사이버전 인력을 양성하는 김일 군사대학(이하 미림대학, 구 지휘자동화대학) 등도 사이버전을 수행한다.
이들 조직은 한국과 각국을 대상으로 해킹과 악성코드 유포 등을 통해 각종 정보절취, 암호통신, 통신감청, 대남공작 기술연구·개발, 간첩 교신, 외화벌이, 사이버심리전 등 임무를 수행하고 있다.

국내외 민·관 사이버보안 전문 업체에 따르면 북한 공작기관 지원하에 라자루스(Lazarus), 김수키(Kimsuky), 금성121, APT38 등 해커 그룹이 활동하고 있다. 명칭은 해커 그룹을 최초로 발견한 보안업체가 붙였다.
정찰총국 사이버테러 전담부서인 기술정찰국(3국)은 라자루스 그룹 안에 침묵 천리마, 미로 천리마(APT37), 빛나는 천리마, 물수제비 천리마, 별똥 천리마, 안다니엘, 불루노로프, 히든코브라(평화의 수호자) 등을 두고 있다.

라자루스 그룹은 2007년 가장 먼저 창설돼 각국 정부와 군, 금융기관과 언론 등 전산망을 대상으로 데이터 절도, 금전강탈과 악성코드를 사용한 컴퓨터 파괴 공작 등 임무를 수행해왔다.
라자루스는 소니픽쳐스 영화사 해킹(2014년), 방글라데시 중앙은행 8100만 달러 해킹(2016년), 워너크라이(WannaCry) 랜섬웨어 공격(2017년) 등의 주범으로 지목됐다. 미국 연방수사국은 2018년 9월6일 라자루스 소속 박진혁을 붙잡았다.

북한은 어떻게 해커들을 키우고 있을까.

북한은 10대 컴퓨터 영재들을 전국적으로 선발한 후 IT전문대학에 진학시키거나 외국에 조기유학을 보내 사이버 전사로 양성하고 있다.
중앙, 도(시·군·구역) 단위 영재 교육기관인 제1중학교에서 선발된 영재들이 금성1·2 고등중학교 컴퓨터전문반에서 IT인재 영재 교육을 이수한다. 우수 인재들은 김일성종합대학의 컴퓨터과학대학, 평양컴퓨터기술대학, 평양이과대학, 함흥컴퓨터기술대학 등에 입학한다. 이들은 프로그래밍, 명령어 자동화, 전산화 연산, 기술정찰, 사이버전 등에 대한 심층 교육을 통해 사이버 전문가로 양성된다.
이들 중 우수한 자들은 북한군 총참모부 김일 군사대학(구, 지휘자동화대학, 일명 미림대학), 정찰총국 산하 모란봉대학 등에 진학하거나 외국 유학으로 전문적인 교육을 받은 후 해킹 전문부대에 배치된다. 이 밖에 사이버 공작 전문 연구소인 국방과학원 '정보전 연구소'와 압록강 대학 등이 해킹 요원을 키우고 있다.
국내외 전문가들은 북한의 사이버 해킹 역량을 중국과 이란, 러시아에 이어 세계 4위에서 5위권으로 평가하고 있다.