[월간중앙] 국경없는 사이버테러, 대한민국이 위험하다

해킹조직들, 전 세계 대상 ‘범죄 경유지’로 한국 눈독

■북한·중국·러시아·이란 등 국제 및 국가 배후 해킹조직 운영
■공공기관과 달리 법령 근거 약한 민간은 자체 방어에만 의존
■사이버 공격은 인터폴 공조 요청해도 당사국 협조 기대 못해
■미국 2015년 사이버안보법 제정, 한국도 정파 떠나 결단 필요

# 가상 사례(1) 공무원 계정 절취, 정부 내부 시스템에서 기밀 빼내

외교안보 부처에 근무하는 A사무관은 재택근무를 하는 동안 ‘보안 관리자’를 사칭한 해커로부터 ‘[중요] PC 보안 점검 도구 설치 안내’라는 제목의 개인 메일을 수신했다. A사 무관은 별 의심 없이 메일을 봤는데, 그사이 PC에 악성코드가 설치돼버렸다. 해커는 A사무관의 PC에 저장돼 있던 기관 내부 시스템 접근용 사용자 인증서(GPKI)를 몰래 다운로드한 후 이를 이용해 A사무관 계정으로 기관 내부 시스템에 접속해 각종 기밀을 빼냈다.

# 가상 사례(2) 국가 핵심기술 업체 직원 PC 해킹, 기술자료 유출

핵심기술 보유 기업에 다니는 B씨는 설 연휴 기간에 밀린 업무를 처리하려고 출근했다. 그는 인터넷을 검색하다 스포츠와 관련해 흥미로운 게시물을 잠시 살펴봤다. 그러던 중 해당 게시물에 은닉돼 있던 악성코드에 감염되고 말았다. 해커는 B씨의 PC를 통해 소속 기업의 전산망에 접근한 뒤 내부 시스템 관리 담당자 PC까지 장악했다. 해커는 국가에서 연구자금을 받아 연구한 미래 핵심기술 관련 자료를 손에 넣었다.

# 가상 사례(3) 병원 내부 시스템에 랜섬웨어 설치, 국제 해커에 비트코인 지불

병원 시스템 관리자 C씨는 출근 준비를 하던 중 동료에게서 “PC를 부팅했을 때 ‘중요한 파일이 모두 암호화됐으니 해독하려면 가상화폐 계좌로 비트코인을 송금하라’는 경고문 때문에 업무를 처리할 수 없다”는 전화를 받았다. C씨는 해커가 요구한 대로 비트코인을 송금했으나 암호 해독 키는 끝내 받지 못했다.

월간중앙이 한 정부기관이 분석한 ‘대한민국 사이버 안보에 관한 보고서’를 단독입수했다. A4용지 40쪽 분량 보고서는 ▷국제 및 국가 배후 해킹조직의 주요 소행 ▷왜 한국을 노리는가 ▷한국의 법 제도 허점, 해킹조직들은 웃는다 ▷해외 대응 실태 ▷사이버안보법 입법 진행 상황 등으로 구성됐다.

보고서에 따르면 과거에 국가 안보를 위협하던 주체는 적대국·테러단체·국제범죄조직 등이었다. 이들은 물리적 공간에 몰래 침투해 자료를 훔치고 중요 시설을 파괴하며 인명을 살상했다. 하지만 최근 들어서는 사이버 공격을 통한 산업 기밀 절취, 시스템 마비 등 새로운 유형의 위협이 등장했다. 대한민국 역시 국경 없는 사이버 테러 위협에서 자유롭지 못하다는 게 전문가들의 공통된 주장이다.

정보통신 기술의 발달로 행정·경제·산업 등 국가의 모든 기능이 사이버 공간으로 확대됐다. 이에 따라 전 세계적으로 발생하는 안보 위협도 과거와는 형태가 달라졌다. 현재 전 세계 사이버 공간의 안전과 신뢰를 위협하는 세력들은 대부분 국제 및 국가 배후 해킹조직이다. 고도의 전문성과 비밀성을 갖춘 이들은 국경을 초월해 암약(暗躍)하고 있다. 이에 세계 각국은 사이버 공간 방어를 위해 관련 법률을 제·개정하거나 정보·보안 기관 등 전문 기관을 중심으로 국제 및 국가 배후 해킹조직을 차단하는 데 주력하고 있다.

정보기관 등에 따르면 북한은 정찰총국·총참모부, 중국은 인민해방군·국가안전부, 러시아는 군정보총국, 이란은 혁명 수비대를 중심으로 국제 및 국가 배후 해킹조직을 운영하는 것으로 알려졌다. 미국 RAND연구소는 2015년 ‘중국의 사이버전(戰)에 관한 보고서’에서 중국군(PLA)·국가안전부(MSS)·중국 공안부(MPS)를 사이버전 수행의 핵심 주체로 지목했다.

과거 북한의 사이버 공격은 대상 국가의 정보 탈취, 주요 시설 전산망 교란에 초점을 맞췄으나 최근 들어서는 은행·암호화폐 거래소 등을 해킹함으로써 외화를 강탈해가는 형태로 변모하고 있다. 실제로 북한은 2015년부터 2019년까지 베트남·방글라데시·대만·멕시코·몰타·아프리카의 은행 전산망을 해킹하고, 허위 국제은행간통신협회(SWIFT) 메시지를 발송하는 방법으로 12억 달러(약 1조3300억원) 이상을 훔쳤다.

중국의 사이버 공격도 알려진 대로 세계 최고 수준이다. 2012년 ‘미·중 경제안보검토위원회’는 미국 의회에 제출한 보고서에서 중국군이 정보를 빼가기 위해 컴퓨터 네트워크 공격 역량을 증가시키고 있다고 주장했다. 특히 중국은 미국·대만 정부, 민간기업 등을 대상으로 한 사이버 정보 수집에 주력하고 있을 뿐만 아니라 중국의 특수한 인터넷 구조인 만리방화벽(Great Firewall)을 이용한 네트워크 트래픽도 수집하는 것으로 알려졌다.

러시아 해킹조직 ‘다크사이드’는 지난해 5월 미 송유관 기업을 공격했다. 이 때문에 원유 수송이 중단되면서 유가 폭등 사태가 발생했다. 또 다른 러시아 해킹조직 ‘레빌’ 등은 지난해 5월 미 육가공 업체와 곡물 업체를 잇달아 해킹했다. 그 결과 공장 가동이 중단되면서 육가공 식품과 곡물 수급에 차질이 빚어졌다.

한국도 4년 전인 2018년 평창 동계올림픽 때 해킹 사고로 개막식 당일 홈페이지와 경기관리시스템 등에 장애가 생겼다. 국가정보원 등 유관기관의 신속한 대처로 대회는 정상 운영됐으나, 하마터면 잔칫상에 재가 뿌려질 뻔했다. 미 FBI(연방수사국)는 당시 해킹의 배후로 러시아 군정보부를 지목했다.

정부기관 관계자는 “고도의 전문성을 바탕으로 국경을 초월해 은밀히 활동하는 초국가적 국제 및 국가 배후 해킹조직에 맞서 이들의 활동을 추적하고 확인·견제·예방·차단하는 것이 사이버 안보 영역에 해당한다”며 “사이버 안보 영역은 행정부처나 수사기관이 수행하는 정보 보호나 사이버 범죄 대응 활동과는 차이가 있다”고 설명했다.

마이크로소프트(MS)는 최근 1년간(2020년 7월~2021년 6월) 해킹 자료를 분석한 ‘디지털 방위 보고서(Digital Defense Report)’에서 북한을 해킹에 매우 적극적인 국가로 지목하는 한편, 2021년 4~6월간 NSN(MS 경보서비스) 알람의 절반 이상이 북한에 기인했다고 발표했다. MS는 국제사회 제재와 코로나19 팬데믹 국경 봉쇄로 경제가 어려워지자 북한이 ‘사이버 절도’를 통해 재정을 보충하고 있다고도 분석했다.

글로벌 보안기업 카스퍼스키는 지난해 10월 발간한 ‘2021년 3분기 지능협지속위협(APT) 보고서’에서 북한 ‘라자루스’ 해킹조직이 신종 해킹 툴로 공급망 공격 능력을 증강하고 있다고 주장했다. 카스퍼스키는 북한이 같은 해 5월 라트비아 정보통신 업체와 6월 한국 싱크탱크를 겨냥해 신종 해킹 툴을 이용했다고도 발표했다.

국제 해킹조직의 사이버 테러 대상에 민간이라고 예외일 수 없다. 국가기관이나 공공기관보다 상대적으로 방어 능력이 떨어질 수 있다는 점을 감안하면 그들에게 민간은 더없이 좋은 먹잇감이 될 수밖에 없다.

2020년 11월 이랜드그룹이 랜섬웨어(악성 프로그램) 공격에 피해를 본 게 대표적인 사례다. 랜섬웨어 공격으로 이랜드그룹은 23개 백화점의 결제가 중단된 데 이어 고객 카드 정보(200만 명)도 유출됐다. 지난해 3월에는 금융기관을 사칭한 악성 앱이 스마트폰 약 4만 대의 정보를 해킹한 사건이 발생했다. 국정원은 한국인터넷진흥원·금융보안원 등 관계 기관과 협조해 추가 피해 차단에 나섰다.

전문가들은 이처럼 민간의 피해가 클 수밖에 없는 또 다른 이유로 법령을 든다. 국가·공공기관은 ‘사이버안보업무규정’ 등의 법령에 예산을 확보하고 인프라를 개선하고 있다. 하지만 민간의 경우는 정보보호 관리체계 인증제도(ISMS-P 등) 의무 대상을 제외하고는 기업의 자체 노력에만 의존하는 실정이다.

최근 해커들은 국가 안보나 중요 시설에 직접 침투하기 어려워지자 이들 시설에 납품되거나 연계된 하드웨어와 소프트웨어의 제작·유통·공급 과정에 침투하고 있다. 해커들은 이 같은 방식으로 중요 시설에 다시 침투해서 민간을 공격하고 있다. 방어가 취약한 곳을 1차로 뚫은 뒤 점차 침투 범위를 넓혀가는 전략을 구사하는 것이다.

전문가들은 최근 국제 해킹조직들이 한국에 눈독을 들이고 있다고 입을 모은다. 전문가들은 그 이유로 한국의 세계 최고 수준의 ICT(정보통신기술)와 첨단기술을 꼽는다.

우리나라는 2019년 4월 4차 산업혁명의 기본 인프라가 되는 5G를 세계 최초로 상용화하는 등 최고 수준의 ICT 인프라를 보유하고 있다. 인터넷 평균속도, 광케이블 보급, 전자정부 수준 등도 OECD(경제협력개발기구) 국가 중에서 손가락에 꼽힌다. 수많은 국제 및 국가 배후 해킹조직이 우리나라에 전 세계 대상 ‘해킹 경유지’를 구축하고 싶어 하는 이유가 여기에 있다.

남북 분단이라는 한반도의 지정학적 특성도 국제 해킹조직들의 ‘구미’를 당기게 한다. 북한은 한·미 연합군과의 군사력 격차 해소를 위해 핵무기·미사일·장사정포를 비롯한 신형 무기를 개발하고 있다. 사이버 공격은 이러한 북한의 비대칭 군사전략과 합치한다. 북한은 사이버 공간을 지상·공중·해양·우주에 이은 다섯 번째 주요 전장(戰場)으로 지정하는 한편, 이를 필수적인 군사전략의 일환으로 간주한다.

이라크 주둔 미군의 군사 작전을 검토한 김정은은 ‘서방의 첨단산업이 사이버 공격에 취약하며 21세기 전쟁이 정보전 양상으로 흘러갈 것’이라고 결론 내렸다. 김정은은 2013년에는 “북한은 집약적인 정보통신 기술과 용맹한 사이버 전사들과 함께 강성대국 건설을 저지하는 그 어떠한 제재도 뚫을 수 있다”고 선언한 바 있다. 또 “사이버 전쟁은 마법 무기와 같고 핵 및 미사일과 함께 북한 인민군대의 무자비한 타격 능력을 담보하는 만능의 보검”이라고 공언하기도 했다.

유엔 대북제재위원회가 지난해 9월 발표한 보고서에 따르면 북한은 전 세계 방산업체와 코로나19 백신 제약사를 공격한 데 이어 가상통화를 노린 스피어 피싱 공격도 하고 있다. 최근 수년간 유엔 대북제재위원회가 발표하는 보고서마다 북한의 사이버 공격이 국제사회에 심각한 안보 위협이 되고 있다고 지적했다.

2019년 1월 데이비드 코헨 전 미 CIA(중앙정보국) 국장은 “금융기관들에 중대한 사이버 위협을 가하는 북한은 사이버 첩보 위협국이며, 파괴적인 사이버 공격을 가할 수 있는 역량을 유지하고 있다”고 경고했다. 미 국토안보부·재무부·FBI는 2021년 2월에 북한 해킹조직 ‘라자루스’ 소속 해커 박진혁·김일·전창혁을 지명수배했다.

이처럼 국제 해킹조직은 날로 첨단화·지능화·국제화되면서 호시탐탐 먹잇감을 노리지만, 우리나라는 법 제도의 허점을 드러내고 있다. 우리나라가 국제 해킹조직의 ‘해킹 경유지화(化)’ 위험에 노출돼 있다는 전문가들의 경고가 예사로 들리지 않는 이유다.

실제로 국정원은 지난해 2월 국가 배후 해킹조직이 국내 대기업의 IT 자회사인 A사를 해킹한 단서를 포착했다. 국정원은 2020년 12월 말 개정된 ‘국가정보원법’에 따라 A사에 해킹 원인과 악성코드·경유지 확인 등을 위한 조사를 요청했다. 하지만 A사가 “국가정보원법에 따른 조사에 반드시 따라야 할 의무가 없다”는 이유로 협조를 거부하는 바람에 조사를 종결할 수밖에 없었다.

2개월 후 국정원은 다른 국책 금융기관 B사에서 발생한 해킹 사고를 조사하는 과정에서 A사를 해킹했던 해킹조직이 같은 경유지를 통해 B사의 해킹을 시도했다는 사실을 확인했다. 2개월 전 A사가 국정원 측 조사에 협조했더라면 B사를 비롯한 추가 피해를 예방할 수 있었을 것이라는 게 전문가들의 지적이다.

마약범죄·테러 등 초국가적 범죄에 대응하기 위해 각국의 수사기관은 국제형사사법 공조체계 또는 인터폴 체계를 구축해 수사를 공조한다. 가령 한국에서 발생한 범죄에 관한 범증(犯證) 또는 용의자가 해외에 있을 경우 한국 수사기관은 그 당사국 수사기관에 요청해 증거 자료를 받거나 혹은 용의자를 체포해 인도받는 경우가 형사사법 공조의 예라 할 수 있다.

그러나 국가 배후 해킹조직과 같이 정부의 비호나 묵인하에서 수행되는 사이버 공격은 국제 형사사법 공조체계나 인터폴의 요청에 당사국이 협조하지 않는다. 그간 북한·중국 등 국가 배후로 추정되는 해킹조직이 한국을 대상으로 자행한 해킹 사건의 경우 수사기관에서 수사했더라도 용의자를 특정해서 검거하거나 기소한 사례가 없다. 이 같은 이유로 세계 주요국에서는 전문적인 대응 역량을 보유한 국가 정보·보안 기관을 중심으로 사이버 안보 수행체계를 구축·강화하는 추세다.

미국(국토안보부)·영국(GCHQ, 신호정보기관으로 미국의 NSA에 해당)·호주(신호정보국)·캐나다(통신 보안국) 등은 사이버 안보 위협에 대응하기 위해 정보·보안 기관을 중심으로 대응체계를 운영하고 있다. 특히 영국은 GCHQ 산하에 NCSC(국가사이버안보센터)를 두고 국가 사이버 안보를 총괄하고 있다. 일본도 경제안보추진법을 만들면서 사이버 안보를 강화하려는 움직임을 보인다. 특히 일본은 사이버 안보 총괄 역할을 일반 행정기관인 IT전략본부(정보화 진흥기관)가 아닌 안보기관인 사이버안보전략본부에 부여하려는 점이 눈에 띈다.

사이버 공격은 민간·공공 분야를 가리지 않는다는 점에서 국가적 사이버 안보 컨트롤타워가 필요하다는 주장이 제기된다. 현재 사이버 안보 업무 수행을 위한 근거 규정은 ‘정보통신기반 보호법’, ‘전자정부법’ 등 개별 법률에 일부 포함돼 있으나, 법 제정 목적이 상이할 뿐만 아니라 적용 대상도 제한적이다. 각각의 영역이 상호 연결된 사이버 공간 특성상 특정 대상을 보호하는 데 초점을 맞춘 현재 법령체계만으로는 범국가적 차원에서 일사불란하게 사이버 공격에 대응하기 어려운 형편이다.

4차 산업혁명 시대에 세계 각국은 백신 제조 기술 등 코로나19로 촉발된 첨단기술 경쟁에서 우위를 점하기 위해 핵심산업기술 확보에 집중하고 있다. 홈네트워크·자율주행·초(超)연결 등 사회 전반에 신기술이 보편화되면서, 공급망 보안체계의 허점을 노린 공격도 빈발할 것으로 예상된다. 민간 분야에서도 ▷다크웹(특수한 웹 브라우저를 사용해야 접근할 수 있는 웹)을 통한 랜섬웨어 ‘절취 개인정보’ 거래 증가 ▷메타버스 가상재화·NFT(대체불가 토큰) 등을 노린 신종 금전 갈취 등의 테러 위협이 고조될 것으로 보인다.

우리나라는 국정원 국가사이버안전센터(현 국가사이버안보센터)가 2003년 1월 25일 인터넷 대란 이후 설립돼 국가 차원의 사이버 위협에 대응해왔다. 그러나 보다 체계적으로 사이버 테러 위협에 대응하려면 통합 법률을 제정해야 한다는 목소리가 높다.

국내에서 사이버 안보 관련 법안 마련 논의가 시작된 건 16년 전이다. 2006년 1월 고(故) 노무현 전 대통령은 국가 차원의 사이버 안보 활동을 뒷받침하고자 국정원에 법안을 마련하라고 지시했다. 이후 20대 국회까지 공성진·서상기·이철우 의원 또는 정부 차원에서 총 8건을 발의했으나, 모두 임기 만료로 자동 폐기됐다.

21대 국회에서는 2020년 6월 조태용 국민의힘 의원이 ‘사이버 안보 기본법안’을 먼저 발의한 데 이어 김병기 더불어민주당 의원이 ‘국가 사이버 안보법안’을 발의했다. 두 법안은 현재 심의를 위해 국회 정보위에 계류 중이다. 이 법안들은 사이버 테러를 국가 안보 및 국익에 심각한 안보 위협으로 간주하는 한편, 법령 적용 대상과 대응체계가 상이한 개별 법령만으로는 대응하기 어렵다는 인식하에서 발의됐다.

이들 두 법안은 총괄 심의위원회 소속을 대통령으로 하느냐 국정원장으로 하느냐 정도의 차이만 있을 뿐, 중대사고 발생 시 신속히 대책본부를 구성하고 행정·국방·통신·금융·교통·의료 등 부문별 책임기관 간에 정보를 공유하도록 하는 등 내용 면에서는 매우 유사하다.

사이버안보법이 제정되면 국정원의 해외 정보 역량과 사이버 기술력 그리고 축적된 경험을 바탕으로 사이버 위협을 사전에 차단하는 것은 물론, 사고 발생 시 국가 차원에서 신속히 대응해 피해 확산을 방지할 것으로 기대된다. 반면 사이버안보법이 제정되고 국정원이 사이버 안보 대응체계를 총괄할 경우 권한이 특정 기관에 집중될 거라는 우려도 있다.

한 사이버 안보 분야 전문가는 “정치 관여나 인권침해 논란을 빚었던 국내 정보 파트가 문재인 정부 들어 폐지된 데 이어 대공수사권도 조만간 경찰로 이양되는 등 국정원 개혁이 사실상 완료된 만큼 큰 문제는 없을 것”이라고 설명했다.

또 다른 사이버 안보 분야 전문가는 “미국의 경우 2011년 사이버안보법안이 발의된 후 찬반 논쟁을 거치다가 2014년 소니픽처스 해킹, 2015년 인사관리처(OPM) 정보 유출 등의 사고를 계기로 민주당·공화당 간 합의해 의회에서 통과 됐다”며 “우리도 국민 피해 방지를 위해 신속한 법 제정이 절실하다. 여야·정파를 떠나 대승적 결단이 필요한 시점”이라고 강조했다.

- 최경호 월간중앙 기자 squeeze@joongang.co.kr