Opinion :김민석의 Mr.밀리터리

세계는 사이버 전쟁중...북 해킹에 항의도 못하는 한국

중앙일보

입력 2021.07.15 00:28

업데이트 2021.07.15 14:41

지면보기

종합 25면

김민석 기자 중앙일보 전문기자
 러시아의 랜섬웨어 사이버 공격으로 미국 송유관이 마비된 5월 12일 노스캐롤라이나 벤슨에서 기름 사재기를 하고 있다. [AFP]

러시아의 랜섬웨어 사이버 공격으로 미국 송유관이 마비된 5월 12일 노스캐롤라이나 벤슨에서 기름 사재기를 하고 있다. [AFP]

최근 미국과 러시아 사이에는 살기가 돋고 있다. 미국의 소프트웨어 업체인 솔라윈즈와 송유관업체에 대한 러시아의 연이은 사이버 공격 때문이다. 러시아 해커들의 조직적이고 은밀한 사이버 공격에 미국 정부 기관과 민간 기업 등 1만8000여 곳이 피해를 보았다. 미국의 사이버 안보를 책임지고 있는 국토안보부와 국무부ㆍ재무부 등 정부 기관만 최소한 9곳이다. 민간 기업도 마이크로소프트와 인텔 등 수도 없다. 미 정부는 피해범위를 파악하는 데만 수개월이 걸리고, 보안시스템 정상화는 2022년 중반에나 가능할 것으로 판단하고 있다.
미국은 참다못해 러시아에 보복을 선언했다. 지난 3월 미 백악관 젠 사키 대변인은 “러시아에서 온 사이버 공격에 대응해 다양한 액션을 취할 것”이라고 밝혔다. 조 바이든 미 대통령은 지난 4월 러시아를 제재하는 행정명령에 서명했다. 그런 와중에 러시아에 기반을 둔 신생 해킹단체 ‘다크사이트’가 미 송유관업체를 해킹했다. 그 결과 미국 최대 송유관인 콜로니얼 파이프라인이 멈췄다. 화가 난 바이든 대통령은 지난 6월 16일 제네바에서 푸틴 대통령을 만났다. 바이든 대통령은 회담 직후 기자회견에서 “난 그에게 ‘만약 랜섬웨어가 당신 유전의 파이프라인을 마비시키면 어떤 기분이 들 것 같나’고 물었다”고 했다.

러시아의 솔라윈즈 해킹은 오랜 시간에 걸쳐 정교하게 이뤄졌다. 미 연방수사국(FBI) 등의 조사에 따르면 러시아의 솔라윈즈 해킹은 2019년 9월 4일부터 이뤄졌다. 러시아 해커들은 같은 해 11월까지 해킹 코드를 솔라윈즈 내부망에서 시험하면서 취약점을 파악했다. 이어 지난해 2월 오리온에 백도어를 설치한 뒤 본격적인 해킹에 들어갔다. 솔라윈즈가 공급하는 오리온은 미국의 정부와 많은 기업의 네트워크 상황을 모니터링하는 솔루션이다. 해커들은 오리온만 장악하면 오리온에 연계된 모든 기관과 업체의 정보를 빼낼 수 있었다.
해커들은 지난해 6월 해킹을 끝내고 그 흔적까지 제거했다. 솔라윈즈가 해킹당한 사실을 알아차린 건 한참 뒤인 지난해 12월이었다. 미국 최대 사이버 보안업체 파이어아이는 ‘국가 주도의 사이버 공격’이라고 했다. 마이크로소프트는 올 1월에서야 러시아의 신생 해커조직인 노벨리움이 해킹을 주도했다고 지목했다. 미국과 영국 정보기관은 그 배후가 러시아 해외정보국(SVR)이라고 특정했다. 러시아는 즉각 부인했다. 그런데 노벨리움의 사이버 공격은 다시 이어졌다. 미국 국제개발처(USAID)의 이메일을 탈취해 24개국 150개 기관의 계정 3000개를 확보해 사이버 공격했다.
중국의 사이버 공격은 무차별적이다. 지난 4월 뉴욕 지하철 시스템이 중국 해커에 뚫렸다. 중국 정부와 연계된 해커들이 뉴욕 메트로폴리탄 교통국 컴퓨터 시스템에 침입했다고 한다. 해커들은 교통 운영시스템에 침투해 끔찍한 지하철 사고를 유도할 수도 있었다. 중국 외교부는 “근거 없이 추측하지 말라”며 부인했다. 중국은 지난해부터 코로나19와 관련된 기술과 정보 해킹에 집중하고 있다. 중국 해커들이 코로나19 치료제로 유력시된 렘데시비르를 개발한 제약사 길어드사이언스를 표적으로 삼았다는 것이다. 중국 지능형지속위협(APT) 공격 단체는 지난해 10월부터 올 3월까지 미 정부와 방산업체들을 해킹한 것으로 나타났다. 중국은 과거에도 미국 방산업체 록히드 마틴 등 국방ㆍ항공ㆍ우주 관련 업체들을 해킹했다. 중국 스텔스기 젠-21과 젠-31은 록히드 마틴의 F-35 전투기 설계도를 해킹해 카피했다는 의혹이 제기됐다.
우리에겐 북한의 사이버 공격이 더 심각하다. 국가정보원에 따르면 최근 북한 추정 해커조직이 한국항공우주산업(KAI)ㆍ한국원자력연구원을 해킹했다. 대우해양조선은 제3국으로 추정되는 해커로부터 침해를 받았다. 북한 정찰총국 산하 해커 조직의 사이버 공격에 KAI의 국산 전투기 KF-21의 설계도 등이 유출된 것으로 추정하고 있다. 원자력연구원에선 잠수함용 소형 원자로 자료가 빠져나갔을 가능성이 있다. 북한은 그동안 한국에서 개인정보, 암호화폐, 군사기밀 등 수많은 정보를 빼갔다. 앞으로 무슨 일을 벌일지 알 수 없는 노릇이다.

그런데도 우리 사이버 안보 시스템은 크게 취약하다. 법체계에서부터 컨트롤 타워 등 제대로 된 게 없다. 사이버 안보와 관련된 유일한 법체계는 지난해 12월 제정한 ‘사이버안보 업무규정’인데 대통령령 수준이다. 충돌하는 상위법에 우선하기 어렵다. 청와대가 2019년 ‘국가 사이버안보 전략’을 발표했지만, 후속조치는 더디다. 컨트롤 타워 격인 청와대 안보실에는 사이버안보 전담 비서관조차 없다. 사이버 안보 책임기관도 공공부문은 국정원이, 민간부문은 인터넷진흥원, 군은 사이버작전사령부 등으로 분산돼 있다. 미ㆍ일ㆍ중처럼 국가 차원에서 총괄할 사이버안전센터가 없다.
국회에서 법체계를 보완하기 위해 ‘사이버안보 기본법’을 발의했지만(국민의힘 조태용 의원), 잠자고 있다. 민변 등 진보단체들이 표현의 자유와 프라이버시 등을 이유로 반대하고 있다. 국민을 사찰할 우려가 있다는 것이다. 그러나 현재 법령으로는 사이버 테러나 공격 징후가 있어도 관련 기관의 동의가 없으면 정보 수집을 할 수가 없다.(사이버안보 업무규정 제3조 2항)  ‘통신비밀보호법’ 등 기존의 법체계로는 분초를 따지는 사이버 공격에 대응하기 어렵다. 사이버작전사령부는 여전히 제 기능을 발휘하지 못하고 있다. 고난도의 사이버 작전을 수행할 정예 사이버 전사 확보는 요원한 상태다. 통합방위법엔 사이버 공간을 작전영역으로 규정하지 않아 유사시 정부 차원의 대응도 곤란하다.
앞으로 사이버 안보 환경은 더 복잡해지고 속도는 빨라진다. 북한은 한반도 유사시 장사정포를 쏘기 전에 사이버 공격으로 우리 사회와 군을 먼저 마비시킬 수 있다. 5G 환경에서 자동차를 해킹해 사고를 유발하는 건 기본이다. 군에 로봇 등 무인전투체계가 본격적으로 도입되면 네트워크 보호가 최우선이지만, 보안대책은 막연하다.
미ㆍ중 경쟁이 더 가열될 경우도 문제다. 중국의 사이버 공격의 1순위는 미국이지만, 2순위는 한국이다. 그만큼 우리에 대한 관심이 많다. 북한의 해커들도 주로 중국에서 한국을 공격한다. 중국이 한국 내에 어떤 사이버 스파이를 심어놨을지 알 수 없는 일이다. 국가 차원의 사이버 안보 대책을 보완이 시급하다.

격화하는 북·중·러의 사이버 공격

러, 미 정부ㆍS/W업체 해킹, 송유관 마비
뉴욕 지하철 해킹, F-35 설계도 절도한 중국
북한, 우리 방산업체ㆍ원자력연 무차별 해킹
한, 법 미비, 컨트롤타워 부재, 책임 혼선

북한의 사이버 조직과 공격 행태
북한은 사이버전에 일찍 눈을 떴다. 1998년 사이버부대 ‘121소’를 만들었다. 2004년부터는 중국 단둥을 거점으로 사이버부대를 본격적으로 운영한다. 중국의 해외 거점은 중국 동북 3성에서 동남아와 아프리카로 확대된다. 2010년 규모가 3000명으로 커지자 정찰총국이 맡았다. 2012년에는 김정은 지시로 전력사이버사령부가 생겨났다.
사이버 전사도 조직적으로 양성한다. 수학적 재능이 뛰어난 학생을 선발해 평양의 과학영재학교인 금성 1ㆍ2중학교에서 컴퓨터 기반교육을 한다. 그런 뒤 총참모부 산하의 지휘자동화대학 또는 모란봉대학에서 3∼5년간 특별교육을 거쳐 사이버 전사가 된다.
현재 활발한 북한의 해킹조직은 라자루스, APT38, 스카크러프트(APT37), 안다리엘 등인데 모두 정찰총국 소속이다. 이 가운데 라자루스는 외국 정부와 금융 및 방송을 주로 공격 대상으로 삼는다. APT38은 전세계 금융산업과 암호화폐 거래소 등을 해킹해 외환과 암호화폐를 훔친다. 스카크러프트는 탈북자, 정치인, 통일관련 연구원 및 정부기관, 금융사 특정업무 담당자 등을 표적으로 삼는다. 안다리엘은 방산과 민간기업, 보안 솔루션업체, 정부기관 등이 사이버 공격 대상이다. 최근 한국원자력연구원을 해킹한 김수키(Kimsuky)는 APT37 소속이다. 2016년 국방통합데이터센터에 침투해 군사기밀을 훔쳐간 조직은 안다리엘이다.
북한의 해킹 수법은 고도화되고 있다. 북한이 일으킨 7ㆍ7 사이버 대란(2009년), 3ㆍ3 DDOS 공격 및 농협 전산망 무력화(2011년) 등은 사이버 공격을 위한 연습이었다. 이를 토대로 한국수력원자력(2014년)과 외교ㆍ안보라인 휴대폰 및 국방부 해킹(2016년)은 본격적인 정보 수집이었다. 최근 원자력연구원이나 KAI 등에 대한 해킹은 북한이 필요한 정보를 표적화해서 얻는 좀더 발전된 방식이다. 수년 전 이뤄졌던 해외은행과 암호화폐 탈취는 대북제재에 따라 부족한 외화를 확보하기 위한 범죄였다. 2013년 3ㆍ20 사이버 공격은 3차 핵실험에 이은 무력도발을 극대화하기 위한 조치로 추정됐다.

☞APT(Advanced Persistent Threat)=알려지지 않은 신종 또는 변종의 악성 코드와 신규 취약점을 이용한 지능적이면서 지속적인 위협.
☞랜섬웨어=사용자 디바이스 또는 네트워크 스토리지 디바이스의 파일을 암호화하는 방식. 해커는 암호를 풀어주는 대신 돈을 받는다.

김민석 군사안보연구소  선임위원

김민석 군사안보연구소 선임위원

Innovation Lab

ADVERTISEMENT