강대국들 “새로운 전쟁” … 미국은 백악관이 컨트롤타워

한국수력원자력(한수원)과 미국 소니 픽처스 해킹사건 이후 우리나라의 사이버전쟁(Cyberwarfare) 대비상황에 대한 우려가 높아지고 있다.

그동안 한국을 노린 사이버공격들은 더욱 잦아지고 교묘해졌다. 단순히 인터넷을 마비시키는 수법에서 악성코드를 침투시켜 특정 타깃에 보관된 자료들을 빼 가는 방식으로 진화했다.

이미 미국과 유럽연합(EU), 러시아와 중국 등은 사이버전쟁을 새로운 전쟁 형태로 규정하고 대비해 왔다. 하지만 한국은 아직 사태의 심각성조차 인식하지 못하고 있다는 게 전문가들의 우려다.

‘비례적 대응’엔 무력 사용도 포함
북대서양조약기구(나토)는 2013년 사이버전쟁 교전규칙(Rules of Engagement)인 ‘탈린 매뉴얼’을 만들었다. 일종의 가이드라인이지만 나토가 사이버전쟁을 현대전의 한 양상으로 공인했다는 의미가 있다.

버락 오바마 미국 대통령이 소니 픽처스 해킹의 주범으로 북한을 지목하고 ‘비례적으로(proportionally)’ 대응할 뜻을 밝힌 것도 탈린 매뉴얼에 따른 것이다. 매뉴얼에 따르면 가해국의 공격에 대해 질적·양적으로 보복하는 것이 허용된다. ‘비례적’ 대응은 사이버공격에만 국한된 것은 아니다. 국가 자산이나 인명 피해를 봤다면 무력 사용까지도 가능하도록 규정했다. 소니 픽처스 해킹은 국가 자산이 피해를 본 것이 아니다. 하지만 오바마 대통령의 ‘비례적 대응’ 천명에 북한이 예민한 반응을 보인 것은 무력 사용의 가능성을 우려해서였다.

미국은 2009년 사이버사령부를 창설해 사이버전력을 단일 지휘체계로 재편했다. 2013년에는 국방수권법안(National Defense Authorization Act)을 만들어 민관 전 영역에 걸친 사이버공격 모니터링 시스템을 구축했다. 미 의회는 2015년도 사이버전 예산을 올해 47억 달러(약 5조1700억원)에서 내년에는 51억 달러(약 5조6000억원)로 증액했다.

영국은 2012년도 기준 15억4000만 달러(약 1조7000억원)의 사이버전 예산을 편성했다. 2010년 악성코드 ‘스턱스넷’에 의한 원자력발전소 공격을 경험한 이란도 매년 10억 달러(약 1조1000억원)에 달하는 사이버전 예산을 책정해 놓고 있다.

임채호 KAIST 정보보호대학원 교수는 “미국은 백악관이 컨트롤타워가 돼 국토안보부와 예산관리국이 국가 차원의 보안 취약점을 모니터링하고, 사이버사령부가 사이버전쟁을 수행하는 위기관리 시스템을 구축했다”며 “우리나라는 국가정보원이 민관 컨트롤타워 역할을 하고 있다지만 민간 영역은 물론 부처 간 통제조차 이뤄지지 않고 있다”고 지적했다.

북한에 대한 사이버 공격 큰 의미 없어
주요 국가의 사이버전쟁 수행능력을 정확히 비교하긴 어렵다. 사이버전쟁이 공격 주체를 드러내지 않는 ‘그림자 전쟁’(Shadow Warfare)’의 성격을 갖는 탓이다. 나라별 사이버전쟁 수행능력을 비교한 연구로는 리처드 A 클라크가 2010년 출간한 『사이버전쟁(Cyber War)』이 공신력을 얻고 있다. 클린턴 행정부와 부시 행정부에서 백악관 안보담당조정관, 안보특별보좌관 등을 지낸 클라크는 북한의 사이버전쟁 수행능력을 세계 최고 수준으로 평가했다.

클라크는 사이버전쟁 수행능력을 사이버공격력과 사이버방어력, 네트워크 의존도로 나눠 분석했다(그래픽2). 숫자가 클수록 수행능력은 플러스(+)가 된다. 네트워크 의존도가 높은 나라는 공격 대상이 많다는 점에서 마이너스(-) 요인이다.

미국과 러시아·중국·이란·북한을 대상으로 한 평가에서 북한은 총점 18점으로 사이버전쟁 수행능력이 가장 뛰어난 것으로 평가됐다. 공격력은 2로 높은 편이 아니었지만 세계에서 가장 고립된 국가여서 방어력이 월등히 높았다. 국가 기간시설이 인터넷망에 거의 연결돼 있지 않아 상대방이 공격할 대상이 없는 북한이 역설적으로 뛰어난 방어력 평가를 받은 것이다.

미국의 ‘비례적’ 대응방침 천명 이후 북한 인터넷망이 마비된 것을 두고 북한의 사이버방어력이 뛰어나지 않은 것 아니냐는 분석도 있다. 하지만 전문가들은 “북한의 인터넷주소(IP)는 1024개에 불과해 대도시의 구(區) 수준에도 미치지 못한다”며 “분산서비스거부(DDoS·디도스) 공격의 목적이 인터넷망에 연결된 기간시설의 마비를 노린 것이라고 볼 때 북한에 대한 사이버공격이 큰 의미는 없는 것으로 봐야 한다”고 말했다.

고려대 정보보호대학원 김승주 교수는 “미국이 소니 픽처스 해킹의 범인으로 북한을 지목한 것은 클라크의 2010년 평가와 달리 이제는 상당한 수준의 공격력까지 갖췄음을 의미한다”며 “재래식 무기와 핵전력은 물론 ‘미국도 인정한’ 사이버공격력까지 보유한 셈”이라고 말했다.

현대의 사이버전쟁은 ‘지능적 지속 위협(Advanced Persistent Threat·APT)’ 공격으로 진화했다. APT 공격은 정부나 기관의 중요 정보 획득을 목적으로 이뤄진다. 특정 대상의 취약점을 장·단기간 분석해 악성코드를 침투시키고, 전략적으로 필요한 정보를 빼내거나 시스템을 파괴하는 것이다.

APT 공격으로 진화 … 손 놓은 우리 정부
한수원 해킹은 퇴직 임직원 수백 명의 e메일을 사칭해 내부에 악성코드를 심은 뒤 장기간 자료를 빼내는 APT 공격수법을 사용했다. APT 공격은 크게 3가지 방식으로 진행된다(그래픽1). 첫째는 소셜 엔지니어링. 시스템이 아닌 사람의 취약점을 파고드는 공격이다. e메일 사칭이나 피싱, 내부자의 USB 메모리를 바꿔치기하는 수법 등이 있다. 둘째는 제로데이(zero-day) 공격이다. 아직 백신이 개발되지 않은 악성코드를 시스템 내에 심는 공격법이다. 마지막으론 SQL 인젝션이 있다. 복잡한 개념이지만 쉽게 설명하면 소프트웨어의 보안 취약점을 이용해 기업이나 기관의 데이터베이스에 엉뚱한 명령어를 전달하는 악성코드를 심는 방식이다.

APT 공격은 한 번의 침투로 끝나는 게 아니라 백신 프로그램의 탐지를 피하면서 오랫동안 시스템 내부에서 활동하고, 자료를 빼내거나 오작동을 일으킨다는 점에서 치명적이다. 한수원 해킹사건 이후 정부의 안일한 대응을 비판하는 목소리가 높다.

손영동 고려대 정보보호대학원 초빙교수는 “북한이 사이버공격을 하더라도 우리가 보복할 대상이 없는 상황이라면 애초에 공격을 당하지 않도록 방어하는 게 최우선”이라며 “사이버안보청을 만들든, 청와대에 사이버안보수석을 두든 국가 차원의 보안 취약점 모니터링과 민관을 아우르는 사이버 위기대응 시스템 마련에 나서야 한다”고 지적했다.

김승주 교수도 “한수원처럼 APT 공격을 당한 뒤 악성코드 분석이나 하고 있는 건 소 잃고 외양간 고칠 생각도 하지 않는 것”이라며 “특정일을 지정해 공격을 예고한 상태라면 코드 분석은 백신업체에 맡기고 정부는 원전 시스템을 멈추는 한이 있어도 포맷 후 재설치해 악성코드 자체가 없음을 보여 줘야 국민이 안심할 수 있다”고 말했다.

이동현 기자 offramp@joongang.co.kr