인민군 산하 ‘110호 연구소’
컴퓨터 수재 200명으로 구성
해킹-정보戰 정예요원 활동
국가정보원이 디도스(DDoS·분산서비스거부) 공격의 배후로 북한 또는 북한 추종세력을 지목한 이유에 대해 입을 열었다. 국정원은 10일 국회 정보위원회 소속 의원들과의 비공식 간담회에서 구체적인 정보와 사전 징후, 나아가 사이버 공격 이후 수집된 각종 기술정보 등을 종합해 판단을 내린 것이라고 보고했다.
○ 북한을 지목한 구체적 근거
이날 간담회에 참석했던 한 의원은 “오늘 간담회에서 사이버 테러의 배후를 북한이나 그 추종세력으로 추정한 정보당국의 판단에 대해 성급하다는 지적도 있었지만 정보당국은 나름대로 확실한 근거를 갖고 있다고 밝혔다”고 전했다. 국정원이 국회 정보위원들에게 제시한 근거는 크게 다섯 가지다.
첫째, 북한의 지령. ‘한국의 통신망을 파괴하라’는 북한 지도부의 지령이 내려졌다는 것은 가장 직접적인 증거라고 할 수 있다. 국정원은 이날 북한의 지령 입수 경위에 대해선 밝히지 않았다. 다만 한미 정보당국이 북한의 각종 통신을 수시로 감청하고 있음은 주지의 사실이다. 전직 외교안보 당국자는 “필요하면 김정일 국방위원장의 장남 김정남이 쓴 e메일도 볼 수 있다”고 말했다.
둘째, 북한의 예고. 국군기무사령부가 지난달 ‘국방정보보호 콘퍼런스’에서 미국이 실시하는 사이버 위협 대응훈련인 ‘사이버스톰’에 참여하겠다고 선언하자 북한의 대남기구인 조국평화통일위원회(조평통)가 이를 ‘전쟁 도발’이라며 “고도의 기술전쟁을 할 준비가 돼 있다”고 선언해 이번 사태를 예고했다는 것이다.
셋째, 북한의 사전 준비. 한미 정보당국은 이달 4일 한국 1만2000대와 미국 8000대 등 모두 2만 대의 컴퓨터에 트래픽 문제가 생길 징후를 파악했다. 이에 앞서 북측이 한국정보보호진흥원(KISA)과 부산 동명대 컴퓨터학과를 상대로 모의훈련을 실시한 정황도 파악했다. 그러나 정작 공격당한 기관은 이 사실을 모르고 있었다. KISA 인터넷침해사고대응지원센터 분석예방팀 류찬호 팀장은 “북한발 공격은 확인된 바 없다”고 말했다. 추영열 동명대 컴퓨터공학과 교수는 “서버 다운이나 접속 폭주가 전혀 없었다”고 말했다.
넷째, 과거 사례와의 유사성. 국정원은 이번 사이버 공격 수법이 북한이 과거에 즐기던 수법과 유사하다고 설명했다. 특히 이번 해킹 프로그램이 북한이 흔히 사용하는 확장자명으로 돼 있는 점에 정보당국은 주목하고 있다. 하태경 열린북한방송 대표도 “공격자를 직접적으로 찾기는 어렵지만 수법과 진행 과정이 과거 북한의 그것과 유사하다”고 설명했다.
마지막으로 북한의 공격 대상. 사이버 테러 전문가들은 공격의 목표를 보면 공격하는 세력이 누구인지 추정할 수 있다고 입을 모은다. 한 정보 당국자는 “피해국인 미국과 한국에 공통적으로 불만을 가진 세력이 북한 말고 누구이겠느냐”고 말했다.
○ 110호 연구소의 정체는?
국정원이 이번 사이버 공격의 유력한 배후로 지목한 ‘110호 연구소’는 북한 인민군 총참모부 정찰국 산하의 정보전 연구소다.
군 소식통과 탈북자들에 따르면 북한은 1998년경 정보전력을 강화하고 지휘체계를 자동화하기 위해 김 위원장의 비준을 받아 이 연구소를 만들었다. 현재 평양의 지휘자동화대에 자리 잡고 있다. 100∼200명의 교수 및 연구진은 거의 현역 장교들로 평소 군복 차림으로 연구 활동을 하는 것으로 알려졌다.
이들은 지휘자동화대와 함흥 평양의 컴퓨터기술대, 김책공대 등의 상위 1% 안에 든 최우수 졸업생 가운데 엄격한 선발과정을 거쳐 뽑은 ‘컴퓨터 수재’들로 알려졌다. 이 연구소의 핵심인물은 정보전자전 분야의 최고 권위자인 김모 교수(박사)인 것으로 전해지고 있다. 김 교수를 비롯한 연구진은 사이버 전쟁뿐 아니라 첨단 전장지휘감시 시스템 구축 등 다양한 연구 활동에 주력하고 있다고 군 소식통은 전했다.
정원수 기자 needjung@donga.com
윤상호 기자 ysh1005@donga.com