2014년 마지막까지 지구촌은 긴장 상태에 빠져들었다. 북·미 간에 펼쳐지는 사이버 전쟁은 2015년 새해에도 이어질 전망이다. 김정은 북한 조선노동당 제1비서 암살을 다룬 미국 영화 <인터뷰>의 미국 내 상영을 둘러싼 논란이 양국의 사이버 전쟁으로 번지는 모양새다. 전장(戰場)은 다름 아닌 ‘사이버 공간’이다. 지난 11월 말 <인터뷰> 제작사인 소니픽처스가 신원 불명의 해커 집단에 의해 조직적 해킹을 당했다는 사실이 알려졌다. 수사 초기만 해도 북한을 언급하는 것에 조심스러웠던 미국 연방수사국(FBI)은 12월19일 “소니픽처스 해킹은 북한의 소행”이라고 공식 발표했다. 오바마 미국 대통령은 북한에 대한 ‘비례적 대응’을 언급하는 등 단호한 대처에 나설 것임을 천명했다. 사실상 보복을 선언한 것이다.
그로부터 사흘이 지난 22일, 북한 인터넷망에 문제가 발생했다는 사실이 미국의 한 인터넷 관리업체를 통해 알려졌다. 19일부터 불안정한 상태를 보이다 22일부터는 완전히 끊긴 뒤 23일 다시 개통됐다는 것이다. 24일 또다시 중국의 한 통신사에서 공급하는 북한 인터넷망 4개의 접속이 끊기는 일이 발생했다. 현재까지 정확한 원인은 밝혀지지 않았다. 북한 인터넷의 기술적 문제일 가능성, 외부에서 해킹 공격이 있었을 가능성이 모두 열려 있다. 특히 오바마 대통령이 공언한 미국 정부 차원의 ‘비례적 대응’은 아니었는지 관심이 집중된다.
사이버 공격, 실제 ‘물리적 타격’으로 진화 중
현대전에서 사이버 전쟁이 갖는 중요성은 시간이 흐를수록 커질 것이라는 전망이 세계 유수의 미래학자와 군사학자들 사이에서 제기되고 있다. 최근의 흐름을 보면 이것이 실제로 현실화하는 모습이다. 전문가들은 과거엔 목표로 한 대상에 몰래 침투해 정보를 빼내는 것에 머물렀던 사이버 전쟁이, 이제는 주요 거점 및 시설의 무력화와 물리적 파괴까지 감행하는 흐름으로 변화하는 중이라고 지적한다. 손태종 한국국방연구원 연구위원은 “사이버 공간에서의 위협은 점점 다양화·복잡화·대량화할 것이다. 이것이 실제 물리적 공간에서의 위협으로 발전하는 양상으로 전개되고 있다는 점이 중요하다”고 강조했다.
국가 단위의 군사·안보 차원에서 ‘사이버 전쟁’이 등장한 최초의 사례로는 2007년 에스토니아 사이버 공격이 꼽힌다. 당시 대통령궁, 의회, 정부기관, 은행, 이동통신 네트워크 등에 동시다발적 분산 서비스 거부(디도스·DDoS) 공격이 퍼부어졌다. 한국과 함께 세계적인 인터넷 강국으로 분류되는 에스토니아 시민들은 인터넷 뱅킹 업무를 보지 못했고 정부 및 신문사 웹사이트에도 접근할 수 없었다. 국가의 수백 개 주요 사이트들을 대상으로 몇 주 동안 공격이 이어진 탓이다.
당시 에스토니아와 갈등 관계에 있던 러시아 정부가 배후에 있을 것이라는 의혹이 불거졌다. 실제로 역추적한 공격 루트가 러시아로 이어져 있었음에도 러시아 정부는 관련 혐의를 부인하는 한편, 공격자 추적에 협조해달라는 에스토니아의 공식 요청도 거절했다. 일부 보안 전문가들 사이에서 ‘제1차 웹 전쟁(Web War 1: WW1)’이라고 불리는 에스토니아 사태는 조직적인 사이버 공격이 실제 사회에 대규모 물리적 피해를 줄 수 있음을 보여준 사건이었다.
2010년 이란의 브세르 핵발전소를 무력화시킨 웜바이러스 ‘스턱스넷’은 사이버 전쟁의 신기원을 열었다고 평가받는다. 스턱스넷의 존재를 최초로 발견·분석한 독일 출신 보안 전문가 랄프 랭거에 따르면, 스턱스넷은 특정한 종류의 핵 원심분리기에 미세한 오작동을 일으키는 신종 무기였다. 전염성을 억제하고 자폭 시스템을 갖춰 외부에 발각될 위험을 줄이는 한편, 원심분리기 내 압력과 속도 등을 섬세하게 조정해 망가뜨리는 ‘맞춤형 공격’으로 핵발전 공정 전체를 무력화시켰다. 1년이 넘도록 계속된 공격에도 이란 당국은 해당 설비의 우연한 고장인 줄만 알았을 정도로 스턱스넷의 공작은 은밀하고 정교했다.
스턱스넷의 등장은 보안 전문가들에게 충격적인 사건이었다. 일반 해커 집단 수준에서 만들어낼 수 없는 고도의 기술이 응집된 결과물이었기 때문이다. 이란 핵발전소 구조에 대한 면밀한 파악, 침투 가능성을 높이기 위해 아낌없이 쏟아부은 해킹 자원 등을 보면 배후에 특정 국가의 지원이 있었을 것이라는 말이 나왔다. 스턱스넷의 배후에 미국 혹은 이스라엘 정부가 있다는 의혹이 설득력 있게 제기된 이유가 여기에 있다. 이에 대한 이경호 고려대 사이버국방학과 교수의 말이다. “학자들 사이에선 상당히 정통한 근거가 있는 말로 여겨진다. 핵개발을 진행하는 이란으로선 핵발전소를 운용해 얻는 플루토늄이 매우 중요하다. 이란에 맞서는 미국이나 이스라엘은 그것을 저지하고 싶으나 현실적으로 방법이 없다. 결국 스턱스넷을 통해 최소 5년 이상 이란의 핵개발이 늦어지도록 만드는 데 성공했다. 국가 안보 측면에서 성공을 거둔 사이버 공격의 대표적인 사례다.”
세계 사이버 전쟁사에 한 획을 그었다고 평가받는 이 두 사건은 북한과 미국 사이에 향후 전개될 사이버전의 시나리오를 그려보는 데도 유용하다. 디도스 공격과 스턱스넷은 미래 사이버 공격에서도 주요 무기로 활용될 것으로 예측되고 있다.
디도스 공격은 최근 등장하는 여러 사이버 공격 방식 중 가장 적은 지식과 기술로 효과적인 공격이 가능한 방법으로 알려져 있다. 향후 북·미 관계가 악화될 경우 즉각적인 사이버 무력 행동의 일환으로 디도스 공격을 주고받을 개연성이 충분하다. 이미 이를 의심케 하는 사례가 발생한 바 있다. 미국이 한국·일본 등이 참여하는 사이버전 가상 훈련 ‘사이버 스톰’ 실행 계획을 발표하고 불과 한 달도 지나지 않은 2011년 7월, 미국과 한국의 주요 기관 사이트에 대대적인 사이버 공격이 있었다. 한국에서는 ‘7·7 디도스 대란’이라고 불리는 사건이다. 당시 한국 수사 당국은 북한의 소행이라는 결론을 내렸으나, 미국은 확증이 없다는 이유로 결론을 유보했다. 하지만 당시 공격 시점, 공격에 사용된 IP가 북한 체신성이 중국으로부터 임대한 것이었던 점 등으로 비춰볼 때 북한 당국이 유력한 용의자로 꼽히는 것만은 분명하다. 최근 북한 인터넷이 불통이 된 사태 역시 디도스 공격 상황과 유사하다는 분석이 제기되기도 했다.
최근 사이버 공격의 뚜렷한 흐름으로 등장한 것이 APT(지능형 지속) 공격이다. 특정 조직 네트워크에 은밀히 잠입해 활동거점을 마련한 후 지속적으로 정보를 외부에 빼돌리는 공격 기법을 말한다. 다수의 해커들이 각각의 전문 기술을 총동원해 6개월이든 1년이든 목표 대상을 지속적으로 모니터링하며 틈을 찾아 파고든다. 소니픽처스 해킹이나 한수원 해킹에도 APT 공격이 있었을 것이라는 추정이 제기되는 상황이다. 향후 북한과 미국 사이에서도 조직적인 APT 공격 후 빼낸 민감한 내부 정보를 외부에 유출하는 ‘정보 전쟁’이 더욱 빈번해질 것이라는 전망이 나오고 있다.
사이버 공격을 통해 좀 더 직접적이고 파괴적인 물리적 타격이 나타날 가능성도 거론된다. 스턱스넷의 존재는 핵무기와 장거리 미사일 개발을 포기하지 않고 있는 북한에 잠재적인 사이버 위협으로 작용하고 있다. 스턱스넷의 무서움은 폐쇄망, 무중단 시스템으로 운영되는 국가 주요 시설물을 효과적으로 무력화할 수 있다는 점이다. 유사시 미국이 북한 핵 관련 시설 등에 비슷한 형태의 사이버 공격을 가할 수 있음을 추측하게 한다.
반대 상황에 대한 우려도 나온다. 북한이 미국의 주요 시설에 정밀하게 설계된 사이버 웜바이러스를 침투시켜 공격하는 행위 역시 가능하다는 것이다. 미국 브루킹스연구소의 보안 전문가인 P.W. 싱어와 알란 프리드먼은 그들의 저서에서 이렇게 지적했다. “(사이버 무기는) 전함과 원자폭탄과는 다르게 소규모 집단이나 개인이 즉각적으로 새로운 능력을 만드는 기술을 수백만 명의 다른 이들과 공유할 수 있다.” 공유가 손쉬운 사이버 무기는 해커들 사이에서 놀라운 속도로 배포되면서 이들의 기술 수준을 단번에 끌어올린다는 것이다. 스턱스넷의 존재가 처음 알려진 것이 벌써 수년 전임을 감안하면, 이후 이를 응용한 새로운 웜바이러스가 어디서 어느 정도 수준으로 개발됐는지, 미국과 북한의 사이버전 부대는 현재 어느 정도의 관련 기술을 보유하고 있는지 알 수 없는 일이다.
보안 전문가들은 시민들의 온라인 활용도가 높은 국가일수록 사이버전에 불리하다고 말한다. 손태종 연구위원은 “미국이나 한국처럼 사이버 공간 의존도가 상대적으로 높은 국가는 사이버 공격에 의한 피해 정도가 클 수밖에 없다. 금융·전기·가스 등 국민 생활과 직결되는 분야에 심각한 피해가 발생했을 때 상상을 초월하는 대공황 사태가 유발될 수 있다”고 우려했다. 북한보다는 한국·미국이 훨씬 더 ‘잃을 것’이 많다는 뜻이다.
이 때문에 북한의 ‘벼랑 끝’ 대남·대미 도발이 사이버 공격 형태로 전개될 가능성도 점쳐진다. 전산 시스템을 토대로 운영되는 주요 생활 서비스에 결정적인 타격을 가하는 식이다. 지난 2009년 러시아 사야노-슈센스카야 댐에서는 변압기가 폭발해 수력발전소 자동 운용 시스템이 망가지는 사고가 일어났다. 그 결과 발전소가 침수되고 75명의 사상자가 발생하는 등 러시아 역사상 최악의 산업 재해가 발생했다. 그런데 이를 넘어서는 수준의 물리적 피해가 사이버 공격으로 충분히 기획될 수 있다는 것이 전문가들의 견해다.
은밀하고 치밀하게 진행되는 ‘어둠의 전쟁’
북한과 미국이 사이버 전쟁을 벌인다 해도 대부분의 활동은 어둠 속에 묻혀 있을 것이다. 정부 차원의 철저한 비밀 통제를 바탕으로 진행되는 사이버전의 특성 탓이다. 사이버전에서 승리하기 위한 세계 각국의 군비 경쟁은 은밀하게, 그리고 치밀하게 진행되고 있다.
이경호 교수는 소리 없이 진행되는 사이버 전쟁이 상대적으로 ‘약자’의 처지에 있는 국가들에 유리하다고 말한다. “항공모함 하나를 만들려면 천문학적인 비용이 들어간다. 반면 사이버 군사력은 적은 비용을 들여서도 상당한 전투력을 갖출 수 있다. 전력이 쉽게 노출되지도 않고 실제 공격을 가하더라도 범인을 특정하기도 어렵다.” 북한이 일찍부터 사이버 전력 육성에 힘을 쏟았던 이유도 여기에 있다. 과연 우리의 사이버 안보는 이러한 현실에 제대로 대응하고 있는 것일까.
|
한수원 해킹, ‘북한 소행’ 규명 어렵다 이번 ‘한수원 해킹 사태’의 배후로도 역시 북한이 지목되고 있다. 해킹을 주도했다고 주장하는 이가 사회관계망 서비스에 올린 글에 ‘아닌 보살’이라는 단어를 사용했다는 것이 근거 중 하나다. 북한에서 ‘시치미를 떼다’는 의미로 사용되는 말이다. 그러나 이는 조선족들도 쓰는 단어이며, 일부러 북한 소행처럼 보이기 위한 해커의 속임수일 수 있기 때문에 결정적 증거로 보기는 어렵다는 것이 보안 전문가들의 중론이다. 한수원 내부 자료 유출범으로 추정되는 인물이 중국 선양 지역 IP 주소를 집중 사용한 사실도 북한 소행설을 뒷받침하는 증거 중 하나다. 선양은 북한 정찰총국 소속 해커들이 파견된 곳으로 알려져 있다. 북한의 사이버 활동 거점으로 알려진 지역이다. 그러나 IP를 세탁하는 방법을 사용했을 가능성이 있어 이 또한 확실한 증거로 보기 어렵다는 지적이 나온다. 설령 북한이 한수원 해킹의 주범이라고 해도 이를 입증하는 일은 매우 어렵다고 한다. 국내 대기업 및 공공기관의 해킹 보안 자문을 맡았던 한 IT업계 전문가는 “과시하기를 좋아하는 북한의 특성을 고려할 때 이번 한수원 사태는 북한 소행이라고 볼 수 있을지 의문이다. 만약 북한의 소행이라고 해도 요즘은 토르 프로젝트 등 해킹하는 사람조차 자신의 IP를 모를 정도로 정교한 프로그램이 있기 때문에 확실한 증거를 찾아내기 어려운 상황”이라고 지적했다. |
