“평양에서 제아무리 까불어도 손바닥 안”
  • 김원식│미국 통신원 ()
  • 승인 2014.12.30 10:56
이 기사를 공유합니다

세계 사이버 전쟁 최강자 미국 NSA…이란 핵시설 제어 프로그램 파괴

2012년 5월30일 이란 테헤란에 위치한 어느 핵물리학 교수의 사무실. 이란의 핵 관련 핵심 기밀을 다루는 이 교수는 자신의 노트북 보안에 철두철미하게 신경을 써왔다. 이날 외신 보도에서는 2010년께부터 ‘플레임(Flame) 바이러스’라는 최고급 해킹 툴이 이란을 비롯한 중동 지역에 펴져 있었다는 보도가 나오고 있었다. 교수는 혹시나 하는 마음에 해당 바이러스 백신을 내려받아 자신의 노트북을 검사해봤다.

교수는 검사가 진행되는 동안 자신의 눈을 의심하지 않을 수 없었다. 플레임 바이러스는 자신의 노트북 안에도 있었다. 최소 2년이 넘는 시간 동안 자신이 노트북을 켜는 순간 내장 카메라는 물론이고 녹음 장치까지 작동돼 노트북의 모든 내용이 누군가에게 전달됐다는 사실을 알게 된 순간이었다. 사무실에서 다른 사람과 대화한 내용이나 화면까지도 그대로 전달되었다는 것을 알아차린 순간 그는 가슴이 철렁 내려앉았다. 

대체 누구일까. 이처럼 정교한 바이러스를 만들어 교묘하게 침투해 모든 정보를 빼낸 그 집단은 어디란 말인가. 이틀 뒤 뉴욕타임스가 그 의문을 풀어줬다. 6월1일 뉴욕타임스는 전임 부시 행정부 시절부터 진행된 작전명 ‘올림픽 게임(Olympic Games)’을 공개했다. 미국 국가안보국(NSA)이 이란 등 중동 지역에서 사이버 공격을 강화했고, 오바마 행정부 들어서 더욱 강화됐다는 사실을 폭로했다.

ⓒ 연합뉴스
해킹 역추적해 북한 네트워크 침투 시도

미국은 국방부 산하에 사이버사령부와 조직이 있지만, 사이버 전쟁의 핵심적인 역할은 NSA가 수행한다. 다만 NSA 안의 어느 조직에서 얼마나 되는 인원이 담당하는지는 베일에 싸여 있다. NSA는 미국 메릴랜드 주 포트미드에 본부를 두고 있다. 예산이나 직원 수는 기밀이었는데, 에드워드 스노든의 폭로로 일부가 드러났다. 2013년 기준으로 연인원 3만?4만명이 근무하고, 연 108억 달러(약 10조8000억원)의 예산을 쓰는 조직인데, 전체 직원이 약 2만1000명인 미국 중앙정보국(CIA)과 비교해보면 그 위상을 알 수 있다. NSA 내부에서 활약하는 보안 전문가들은 대략 3000명 정도라는 게 정설이다. 이들은 세계 최고 수준의 해커를 능가하는 최정예 요원들로, 잠자는 시간을 빼면 24시간 모니터 앞에 앉아 전 세계 네트워크를 감시하고, 때로는 사이버 임무를 수행하면서 얼굴 없는 요원으로 활동하고 있다.

지난 5월 어느 날, NSA 내 북한 담당 조직인 ‘알파3’ 팀의 중앙 모니터에 ‘경고(alert) 등’이 반짝거렸다. 북한 정찰국 소속 해커 요원으로 추정되는 침입자가 평양에서 중국 인터넷망을 경유해 미국 국방부 네트워크에 접속하고 있다는 것을 알려주는 신호였다. 이 순간을 기다려왔던 12명의 팀원은 본능적으로 자세를 바로잡고 각자 맡은 모니터를 주시했다. 사실 이들은 국방부 네트워크망 한쪽에 취약성이 있는 것처럼 위장한 ‘꿀단지(Honey Pot)’라는 위장 프로그램을 만들어두고 침입자를 기다리고 있었다. 북한은 인터넷망이 폐쇄돼 있기 때문에 북한 요원이 인터넷망을 이용해 해킹해 오면 그것을 거꾸로 추적해 들어가야 그 내부망을 탐색할 수 있다. 이를 모르는 북한 요원은 ‘꿀단지’로 들어와 이것저것을 탐색하기 시작했다. 이 순간을 놓치지 않고 NSA 요원은 거꾸로 망을 추적해 북한 요원의 네트워크에 침입했다. 그리고 해킹 툴을 이용해 네트워크에 진입하는 순간 북한 요원의 접속은 끊어졌고 알파3팀 직원들의 입에서는 탄식이 터져 나왔다. 북한 요원은 자신이 거꾸로 해킹당하고 있다는 사실을 인지하고 접속 자체를 끊어버렸다.

NSA에서 벌어지고 있는 사이버 전쟁의 한 사례다. NSA의 조직과 실력이 이처럼 막강하다 보니 때로는 전 세계적으로 치명적인 피해가 발생할 때 NSA 책임론이 불거지기도 한다. 지난 4월7일 핀란드의 한 보안업체는 ‘하트블리드(Heartbleed)’라는 취약성을 공개했다. 인터넷상에서 보안 인증 체계를 담당하는 ‘오픈 SSL’에 치명적 결함이 있다는 내용이었는데, 이 인증 체계를 이용하는 캐나다의 국세청 전산망이 이미 뚫린 상황이었다. 구글이 개발한 안드로이드 운영체제(OS)를 이용하는 전 세계 스마트폰과 태블릿PC 수천만 대도 같은 위험에 노출돼 있었다.

반면 미국 언론들은 NSA가 2012년 초에 이미 취약성을 파악하고 있었다고 보도했다. NSA는 사실무근이라고 밝혔지만, 이를 그대로 믿는 사람은 거의 없다. 보안업체가 취약성을 발표하기 전까지 이 인증 체계를 사용하는 사이트들은 NSA에 말 그대로 자동출입문이나 마찬가지였다. 스노든이 폭로한 문서에는 ‘불런(Bullrun)’이라는 작전명이 등장한다. 네트워크의 취약성만을 찾아내 침투 공작을 벌이는 작전인데 NSA의 최정예 요원들이 벌이는 임무 중 하나다.

북한의 인터넷망을 다운시키는 것은 서버 침투도 아니기 때문에 식은 죽 먹기라는 것이 전문가들의 지적이다. 서버 침투는 서버 다운보다 훨씬 고차원적인 작업이다. 예컨대 이란의 핵개발을 지연시켜 유명세를 얻은 ‘스턱스넷’은 대표적인 서버 침투 작업이다. 네트워크 등을 통해 이란의 핵 관리 실무자들의 노트북에서 조용히 잠자고 있던 이 바이러스는 원심분리기 제어 프로그램이 실행되는 순간 깨어나 즉시 작동했다. 원심분리기가 오작동을 일으키며 중단되는 상황을 이란 실무자들은 멍하니 바라봐야만 했다. 이 정도의 최고급 바이러스 침투는 네트워크의 취약점만 알아선 되지 않는다. 이란이 사용하고 있는 원심분리기 제어 프로그램도 꿰뚫고 있어야 한다. NSA와 CIA, 그리고 이스라엘 정보기관인 모사드의 합작품이라고 보는 이유다.

“북한 서버 다운쯤은 식은 죽 먹기”

NSA의 이런 시도들이 때로는 미국을 위협하는 일이 되기도 한다. 미국 측의 바이러스 제작 툴이 공개되면 이란이나 중국 등 상대국의 사이버 요원들이 이를 활용할 수 있다. 공개된 소스를 변형해 미국의 원전 등을 공격하는 무기로 사용할 수 있는데 물론 먼저 개발한 NSA가 보안도 철저히 하겠지만 변종 바이러스가 어디까지 진화할 수 있을지는 확신할 수 없는 법이다.

어쨌든 세계 최강의 사이버 공격과 방어, 즉 창과 방패를 모두 갖춘 조직이 NSA라는 사실은 모든 보안 전문가들이 인정하는 점이다. 그래서 일각에서는 북한의 인터넷 서버를 잠시 다운시키는 허드렛일에 NSA가 직접 나섰겠느냐며 회의적으로 보기도 한다. 한국의 한국수력원자력(한수원) 원전 파괴 협박 역시 비슷한 관점으로 접근이 가능하다. 원전을 제어하는 핵심 제어 시스템까지 공격하려면 시스템 원리까지 이해해야 가능한 일인데 과연 해커가 NSA에 버금가는 능력을 갖춘 존재일지 되짚어볼 필요가 있다. 그 정도로 NSA의 작업들은 고차원적이다. 

 

이 기사에 댓글쓰기펼치기