11월20일 미국 의회 하원정보위원회 회의실. 이날 세계 각국의 사이버 공격 능력에 대한 보고를 위해 의회에 출석한 마이클 로저스 미국 국가안보국(NSA) 국장 겸 미군 사이버사령부 사령관은 실로 놀라운 보고를 했다. 그의 입에서는 “중국과 다른 한두 개 국가가 사이버 공격을 통해 미국의 전력망 가동을 중단시킬 능력을 갖추고 있다”는 설명이 나왔다. 많은 전문가와 언론이 여러 자료를 인용해 이러한 주장을 펼친 적은 있었다. 하지만 미국 정보기관 당국자가 공식적으로 인정하는 것은 처음 있는 일이었다. 요즘 화두가 되고 있는 EMP(Electro-magnetic pulse·전자기파) 폭탄을 터뜨리지 않고도 해킹만으로 미국의 전력망을 마비시킬 수 있다는 사실에 위원회가 술렁였다.
북한 사이버 공격, 미국 전력망 마비시킬 수도
로저스 국장은 이날 중국 외 사이버 공격 능력을 갖춘 한두 개 국가가 어디인지는 끝내 밝히지 않았다. 하지만 전문가들은 발표만 안 했을 뿐 러시아와 북한을 지칭하는 것이라고 추정한다. 일부 언론에서는 이란과 시리아를 언급하지만, 해커 등을 이용한 사이버전에서 북한이 이들 나라보다 한수 위라는 것은 대다수 언론 보도를 통해 다 알려진 사실이다. 그런데 왜 로저스 국장은 이날 언급에서 북한을 직접 거명하지 않았을까.
로저스 국장의 언급이 있고 5일이 지난 후 미국의 영화제작사 ‘소니픽처스’가 전대미문의 해킹을 당했다. 직원들의 계정이 강제로 로그오프당하고, 내부 문건이 빠져나간 것으로 알려지면서 소니픽처스 내부에서는 사무용 컴퓨터를 쓰지 말라는 지시까지 나왔다. 당시 소니를 해킹한 이들은 자신들을 ‘#GOP’라고 공개했다. 개봉하기 전 영화가 노출되는 건 회사의 사활이 걸린 문제라 보통 최고의 보안 조치를 취하고 있다. 그런데 5편의 영화가 유출된 것으로 확인됐다. <애니> <스틸 앨리스> <미스터 터너> <To write love on her arm> 같은 미개봉작과 현재 상영 중인 <퓨리>도 포함돼 있었다. 영화 저장 서버뿐만 아니라 이메일 서버까지 털리면서 임직원들의 사적 커뮤니케이션이 넘어갔다.
세계 최대 보안업체인 시만텍은 이번 소니픽처스 해킹 사건에서 지난해 한국에서 발생한 3·20 사이버 테러와 동일한 공격용 서버(C&C서버)를 발견했다고 밝혔다. 같은 해커 그룹의 범행으로 단정 지을 순 없지만, 유사성이 크다는 분석이었다. 소니픽처스와의 악연, 해킹 패턴 등을 고려할 때 용의자는 북한이었다. 소니픽처스는 크리스마스 시즌에 <디 인터뷰(The Interview)>라는 영화를 전 세계에 개봉할 예정이었다. 김정은 북한 조선노동당 제1비서 암살을 다루고 있는 이 영화를 두고 북한은 “최고 존엄을 모독한 영화”라며 그동안 보복을 다짐해왔다.
하지만 막상 해킹 사건이 발생하자 북한은 “전혀 모르는 일”이라고 발을 뺐다. 이후 북한 관계자의 입에서 “상황을 지켜보자”는 말이 나왔고, 북한 당국은 자신들과는 아무런 관계가 없다는 입장을 공식적으로 피력했다. 12월7일 북한 국방위원회의 발표도 비슷한 맥락이다. “우리의 해킹 능력이 대단하기 때문에 우리 소행이라고 떠들고 있는데, 대단하다는 그 능력을 그렇게 써먹을 우리라고 생각하는가”라고 언급하며 오히려 북한을 지지하는 자들의 의로운 소행이라고 했다. 자신들이 한 짓은 아니지만 자신들의 해킹 능력까지는 굳이 부인하지 않은 것이다.
“사이버 전사만 있으면 어떤 제재도 다 뚫어”
1990년대부터 이미 해커를 양성해왔던 북한이다. 김정일 국방위원장이 1990년대 초 군부대를 시찰하며 “미래의 전쟁은 사이버 전쟁이 될 것이다”라고 말하며 본격적인 양성이 시작됐다. 김 위원장의 지시 이후 평양시에 있던 ‘미림대학’은 ‘김일자동화대학’으로 이름을 바꾸며 확대 개편됐다. 이곳에서 양성되는 인재들은 사이버 전쟁을 책임지는 총참모부 정찰총국의 121국을 중심으로 각 조직에 포진해 있다. 일각에서는 최고 정예 요원이 3만명을 넘는다는 관측도 나오지만, 최소 3000명 이상의 해커가 포진해 있다는 것이 정설이다. 미국 전문가들 사이에서는 미국 국가안보국(NSA)이나 중앙정보국(CIA) 사이버 요원들의 수준과 필적한다는 게 정설이다.
올해 2월 김정은 제1비서는 정찰총국을 방문해 “강력한 정보통신 기술, 정찰총국과 같은 용맹한 (사이버) 전사들만 있으면 그 어떤 제재도 뚫을 수 있고 강성국가 건설도 문제없다”고 말했다. 지금 북한이 이들을 얼마나 중요하게 여기는지를 대변해주는 정황이다. 일부는 북한의 인터넷 인프라 수준을 거론하며 해킹 능력이 형편없을 것이라고 추측하지만, 오히려 이는 정반대다. 이들이 수행하는 해킹은 북한 내부의 인프라와는 전혀 관계가 없다. 이들은 중국 등을 경유한 인터넷망에서 미국 국방부 서버 등 세계 모든 사이트들을 초고속으로 접속해 실시간으로 서버들의 취약점을 분석하고 있다.
오히려 이런 환경은 보호막이기도 하다. 북한은 컴퓨터 시스템으로 ‘붉은 별’이라는 자체 운영체제(OS)를 사용하고 있다. 그러다 보니 해외에서 북한을 뚫으려고 하는 해커들은 윈도우 체제가 아닌 ‘붉은 별’ 체제를 공부해 취약점을 찾아야 하는 부담을 안고 있다. 게다가 북한은 일반적인 내부 인트라넷으로 자체적인 ‘광명망’을 사용하는데 이는 인터넷과 연결돼 있지도 않다. 해외 해커가 북한을 뚫으려면 인터넷망을 통해 북한 내부망으로 들어가야 하고 거기서 다시 ‘붉은 별’을 뚫어야 하는 이중고를 겪는다.
흔히 해킹이나 사이버 전쟁을 창과 방패의 싸움이라고 묘사한다. 하지만 엄밀히 말하면 이런 설명은 잘못됐다. 해킹은 창의 일방적인 승리일 뿐이다. 운영체제의 취약점은 해커의 공격을 통해 세상에 공개되거나 보안 전문가가 문제점을 발표해야만 비로소 알려질 뿐이다. 기존 방화벽도 알려진 해킹 기술에 대응하고 있다고 하지만 알지 못하는 또 다른 취약점에 의해 금세 뚫릴 수 있다. 새로운 취약점을 찾은 해커가 침투 후 조용히 사라지면 해당 서버 담당자가 로그 등을 따로 조사하지 않는 한 해킹을 당했는지조차 알 수 없다. 소니픽처스처럼 홈페이지를 변경하는 방법으로 해킹 사실을 공개하기 전에는 해킹을 당했다는 사실도 모를 수 있다는 것이다.
더 중요한 문제는 해킹당한 사실이 알려져도 사실상 범인을 밝히는 것이 거의 불가능하다는 점이다. 공격의 주체가 해외 여러 서버들을 경유했을 경우 해당 서버에 남아 있는 로그를 일일이 확인하면서 역추적을 해야 한다. 하지만 현실적으로 조사 시간은 고사하고 관련국에 협조 요청을 해 하나하나 역추적하는 것은 불가능에 가깝다. 소니픽처스 해킹 사건을 다루는 모든 언론은 북한의 소행이거나, 또는 북한과 관련되어 있을 것이라고 추정한다. 하지만 딱히 증거를 잡을 수 없어 단정 짓지는 못하고 있다.
기관도 마찬가지다. 12월9일 조 디마레스트 미국 연방수사국(FBI) 사이버국 부국장은 “현 시점에서는 북한 측 소행이라고 단정할 수 없다”고 말했다. 그는 “북한 당국이 연루돼 있다는 점은 다뤄지지 않고 있고, 그렇다고 확인해줄 수도 없다”며 신중한 자세를 취했다. 증거를 잡기가 힘든 사이버 공격인 만큼 함부로 공격 주체를 거론해서 생길 역공을 사전에 차단하겠다는 뜻을 내비쳤다.
소니픽처스 해킹 사건은 이미 세계 각국이 도·감청뿐만 아니라 상대방의 전산망에 침투해 모든 자료를 빼내 감쪽같이 사라지거나 파괴 공작을 벌일 수 있는 시대가 왔음을 알려준다. 그것을 실행할 수 있는 최고 수준의 해커들이 우리 북쪽에 있다.
