‘한수원 해킹’으로 본 북한 사이버戰 역량
● “한수원 해킹? 실력 10분의 1만 보여준 것”
● 美 전문가 “中 인민해방군이 배후” 주장
● 동맹, 적 구분 없는 ‘물밑전쟁’
● 이 와중에 컨트롤타워 두고 밥그릇 다툼
알려지지 않은 일화 한 토막.
2006년 1월 한국원자력연구원 관계자 등의 e메일 ID·패스워드가 해커그룹에 유출된 것이 확인됐다. 한국원자력연구원은 원자력을 이용한 에너지 기술을 연구·개발하는 곳. 해커들은 국회 서버를 공격해 원자력·안보부처 관계자 e메일 계정 정보를 다량으로 확보했다. ID와 패스워드를 알면 e메일로 오간 정보를 절취할 수 있다.
안보당국은 2005년부터 중국발(發) 해킹 시도가 대폭 늘어난 것을 포착했다. 해커들의 공격 루트를 따라 역(逆)공격해 일부 해커 PC에 접근했다. 해커들은 한국 인사 e메일 정보를 PC에 파일로 정리해놓았다. 한국 공공기관 문서도 발견됐다. 거의 모든 정부 부처를 목표로 삼았다는 것도 확인했다. 해킹 공격을 포착한 후 안보부처, 원자력 관계자의 e메일 개인정보 교체 지시가 내려졌다. 자료가 담긴 PC는 인터넷 접속을 끊고, 인터넷에 연결된 PC는 자료를 보관하지 않는 식으로 PC를 사용하라는 지침도 내려왔다. 국회에 중요 자료를 제출할 때 e메일을 사용하는 것도 막았다.
해커 PC에 e메일 패스워드가…
안보당국은 e메일 ID·패스워드 해킹을 북한 소행으로 판단했다. 노무현 당시 대통령은 국가 차원의 사이버 위기 대응을 위한 총괄 법률을 마련하라고 지시했다. 그해 8월 국가정보원, 국방부, 정보통신부가 참여한 사이버 위기 대응 통합훈련이 처음으로 실시됐다. 노 대통령도 참석했다. 남북관계를 고려한 정치적 판단에 따라 해킹 사건을 언론에 공개하진 않았다.
한국원자력연구원 관계자 등의 e메일 ID · 패스워드 해킹은 남북 간 물밑 전쟁이 수면으로 떠오른 첫 사례다. 북한이 사이버 공격을 준비하기 시작한 때는 2004년부터라고 당국은 파악한다. 2005~2007년에는 e메일, 홈페이지 공격 등 낮은 수준의 공격이 주로 이뤄졌다.
북한은 안보기관 · 국책연구소 인사를 대상으로 기밀 절취를 지속적으로 시도해왔다. 알아채지 못한 공격이 더 많을 것이다. 해킹당하고도 해킹당한 사실을 포착하지 못하는 것을 보안업계에서는 ‘폴스 네거티브 에러(False Negative Error)’라고 한다.
시곗바늘을 2015년 3월로 돌려보자. 3월 12일 한국수력원자력(한수원)을 해킹한 그룹이 트위터를 통해 박근혜 대통령이 1월 초 반기문 유엔 사무총장과 통화한 내용, 고리1·2호기 운전용 도면, 사우디에 수출하기로 한 스마트 원전(原電) 증기발생기 분석자료 등을 공개했다. 해커그룹은 박근혜 대통령의 통화 내용 등을 공개하면서 “지난해 크리스마스를 무난히 넘긴 것은 국민의 안전이 소중해서였다. 하지만 그동안 우리가 너무 조용히 있었던 것 같다. 자료를 선물로 보낸다”고 밝혔다. 해커그룹은 지난해 12월 15일부터 성탄절 직전까지 블로그와 트위터를 통해 한수원 원전 도면 등을 공개하고 12월 25일 ‘2차 파괴’를 단행하겠다고 위협했으나 공격은 실제로 이뤄지지 않았다.
개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사1부장)은 3월 17일 중간수사결과를 발표하면서 “이번 범행은 북한 해커 조직의 소행으로 판단된다”고 밝혔다. 중국 IP주소를 사용하는 ‘킴수키(kimsuky)’가 범인으로 지목됐다. 해커가 한수원을 해킹하고 자료를 유포할 때 접속한 IP주소 12자리 중 9자리가 북한이 과거에 사용한 것으로 지목된 악성코드 ‘킴수키’가 사용한 것과 같았다. 악성코드 핵심기술인 셸코드도 킴수키의 그것과 99.9% 일치했으며 국내 언론사와 농협 등 금융기관을 공격할 때 쓴 것과 비슷한 방식으로 해킹이 이뤄졌다. 해커가 트위터에서 ‘아닌 보살’ ‘통채’ ‘요록’ 등 북한식 표현을 사용한 점, 소니픽처스 해킹 사건과 유사한 시기에 벌어진 점이 정황 증거로 제시됐다
훔친 e메일로 악성코드 심어
북한 웹사이트 ‘우리민족끼리’는 “해킹한 다음 흔적을 철저히 없애는 것은 물론 상대방을 기만하고자 거짓을 꾸미는 것은 해커들의 공통된 심리이고 수법이며 초보적인 상식이다. ‘12자리 중 9자리수 사용’이니 ‘킴수키’니 하는 것들은 성립되지 않는 궤변”이라고 반박했다
‘킴수키’는 한국의 외교안보 분야 공공기관뿐 아니라 미국 뉴욕의 유엔본부까지 전방위로 해킹한 것으로 지목받는 악성코드다. 박근혜 대통령과 반기문 사무총장의 대화록은 유엔본부 쪽에서 절취했을 공산이 크다는 관측이 나온다.
2013년 6월 유엔본부를 해킹한 ‘킴수키’는 e메일을 이용해 악성코드를 심을 때 한국 외교 분야 인사 e메일 계정을 도용했다. 악성코드는 하드디스크 자료를 지정된 e메일로 전송하도록 설계돼 있다. 절취한 e메일 개인정보가 2차 공격에 활용된 것이다.
한수원을 해킹한 이들도 협력업체 e메일을 공격한 후 이들 계정과 문서를 주고받은 한수원 전현직 임직원의 e메일을 공격했다. 이 과정에서 한수원 직원의 주소록을 확보해 임직원 3571명에게 악성코드 공격을 감행했다. 낮은 수준의 공격인 e메일 해킹이 한발 더 나아간 공격에 쓰인 셈이다.
북한은 2013년 12월 동아시아 FTA 연구지원단, 국방부 정책 자문위원 등 150여 명을 대상으로 외교 · 국방부 직원을 사칭해 정보 절취형 해킹 메일을 대량으로 유포하는 등 e메일을 이용한 공격을 꾸준히 벌여온 것으로 지목된다.
인지하든 그렇지 않든 우리는 전쟁 중이다. 물밑에서 진행되는 전자전·사이버전엔 동맹과 적이 따로 없다. 남·북한뿐 아니라 미국, 중국, 러시아, 일본이 얽혔다. 공격, 방어가 날마다 이뤄진다. 각국 정부는 정보 예산 상당 부분을 이 분야에 투입한다. 군사 강국들은 높은 수준의 전자전 · 사이버전을 진작부터 수행해왔다.
미국은 이라크전쟁 때 적의 정보 시스템을 해킹하고 암호화 시스템을 파괴했다. 방공망과 C4I(컴퓨터와 유·무선 통신을 통해 군사력을 유기적으로 통합해 작전을 지휘·통제하는 체계)도 무력화했다. “네트워크를 지배하는 자가 세계를 지배한다”가 2009년 창설된 미군 사이버사령부의 신조다.
중국 인민해방군은 사이버 공격과 정보교란을 임무로 삼은 넷포스(Net Force)와 전자전부대를 각각 2000년, 2003년 창설했다. “사이버 공격이 원자탄보다 효율적일 수 있다”는 게 중국 중앙군사위원회가 밝힌 교리 중 하나다.
적과 동맹이 따로 없다
러시아의 실력도 만만찮다. 2008년 8월 러시아가 그루지야를 침공했을 때 그루지야의 정부기관, 은행, 언론의 인터넷 체계가 무용지물로 변했으며 그루지야군 정보 시스템이 온전히 가동되지 않았다. 2007년 4월 에스토니아 국가기간통신망, 이동통신망, 방송, 은행이 마비된 것도 러시아 소행으로 지목된다. 러시아 정부는 물론 부인한다. 러시아는 고출력전자기파탄, EMP전자기탄도 실전 배치했다. 강력한 전력을 분출해 전자기기를 무력화하는 무기들이다.
북한은 국방위 산하 정찰총국을 중심으로 사이버공격 전문조직(1700여 명)과 지원인력(4200여 명)을 배치해 비밀 절취 및 방송 · 금융 · 전력 등 핵심 인프라를 공격할 역량을 갖췄으며, 중국 또한 국가기밀, 첨단산업기술, 개인정보 등의 절취를 위한 해킹 공격을 노골화하고 있다고 정부는 파악한다. 전자전·사이버전은 이렇듯 현존하는 위협이다.
사이버 공격은 흔적을 남기지 않는 게 원칙이다. 흔적을 남겨도 ‘범인’임을 증명해내기 어렵다. 한수원 공격은 트위터, 블로그를 통해 흔적을 남겼다는 점에서 이례적이다. 안보당국에서 대(對)사이버테러 업무를 담당한 전직 인사는 이렇게 말했다.
“북한 해킹이라고 결론 내린 사건의 대부분은 ‘확정’이 아니라 ‘판단’한 것일 뿐이다. 북한 소행인 것처럼 보이지만 중국이나 다른 국가가 북한이 저지른 것처럼 연출해 공격했을 소지도 배제할 수 없다.”
미국의 일부 안보 전문가는 “한국을 상대로 한 일련의 디도스(DDoS) 공격 배후에 중국 인민해방군 넷포스가 있다”고 주장한다. 헤리티지재단의 존 타식이 대표적이다. “한국과 미국의 주요 정부 기관과 금융, 언론 웹사이트라는 이상한 결합을 공격 대상으로 선정한 게 특이하다”는 것이다. 미국 보안회사 맥아피는 “북한이 자행한 것으로 파악된 일련의 디도스 공격은 유사시 주한미군과 워싱턴 지휘부 간 통신 마비를 염두에 둔 연습”이라고 추정했다.
그렇다면 북한의 실력은 어느 정도일까. 임종인 대통령안보특별보좌관은 6개 방송 · 금융사 전산장비 4800대를 파괴한 2013년 3월 20일 사이버 테러 직후 ‘신동아’ 인터뷰에서 ‘북한 전자전사(戰士) 전면 공격 시 남한 주요시설 5분 내 초토화’가 가능하다고 주장했다
“3 · 20 사이버테러는 ‘연습’이었다고 할 수 있다. 북한이 총공격에 나서면 5분 안에 남한의 주요 시설을 마비시킬 가능성이 있다. 우선 모든 방송국, 금융기관, 통신망이 뚫려 마비될 것이다. 또한 발전소가 멈춰 전기와 가스, 수도가 끊기고 항공, 철도, 지하철과 교통신호 시스템을 해킹해 각종 사고를 유발할 수 있다.”
2012년 11월 ‘이스라엘 홈랜드 시큐리티(Israel Homeland Security)’에서 북한은 미국 중국 이스라엘과 함께 사이버전의 메이저 국가로 꼽혔다. 익명을 요청한 보안업계 관계자는 “흔적을 남기면서 시스템 파괴를 협박한 한수원 공격은 보여주기식 공격, 과시용 해킹이다. 가진 실력의 10분의 1도 보여주지 않았다고 봐야 한다. 유사시 실제로 시스템을 파괴할 때는 동시다발적으로 강력하게 공격할 것이다.”
‘킴수키’ 계열 해커집단이 협박한 대로 ‘2차 파괴’가 가능하기는 한 걸까. 2010년 이란 나탄즈 우라늄 농축시설 원심분리기 5000대 중 1000여 대가 오작동으로 파괴되고, 부셰르 원전이 수개월간 멈춘 일이 있다. 이란은 미국과 이스라엘이 스턱스넷(stuxnet)을 사용해 공격한 것으로 단정했다.
원전, 발전소 등 보안 시설은 분리된 네트워크를 사용한다. 스턱스넷은 네트워크에서 분리된 산업시설의 자동화 시스템을 e메일, USB 등을 이용해 악성코드를 이식해 제어 체계를 무용지물로 만드는 것이다. 그래서 ‘사이버 미사일’로도 불린다. 한국 공공기관 인사의 e메일 ID·패스워드 확보→악성코드 심기로 이어진 일련의 해킹은 나탄즈 우라늄 농축시설 공격을 닮았다. 당시 해커들은 나탄즈 농축시설 협력업체의 e메일 계정 절취로부터 공격을 시작한 것으로 알려졌다.
‘초연결 사회’의 역설
한국은 초연결 사회(Hyper-connected Society)다. 공격할 곳이 널렸다. 원전을 비롯한 발전소, 송배전망, 은행 전산망, 공항 · 지하철 · 철도 시스템이 파괴되면 어떤 일이 벌어질까. 모바일 및 사물인터넷도 공격 대상이 될 것이다.
일례로 전력망은 첨단화할수록 사이버 공격에 취약해지는 역설이 발생한다. 한국은 배전망을 컴퓨터로 제어해 낭비를 줄이는 스마트그리드 사업을 추진 중이다. 배전망의 보안이 뚫리면 어떤 일이 벌어질까. 대(對)사이버테러 업무를 담당한 전직 인사는 이렇게 말했다.
“회복 불가능한 정전 사태가 일어날 수 있다. 스마트그리드의 생명은 보안인데, 실무자들은 이걸 자동계량기쯤으로 여긴다. 미국 정부가 배전 시스템 컴퓨터 조작을 통해 발전기를 파괴할 수 있는지 실험한 적이 있다. 배전망을 공격하자 과부하가 걸린 발전기가 가동을 멈췄다. 미국은 테러리스트가 전력망을 공격하는 것을 막기 위해 보안에 막대한 예산을 투입한다.”
유비쿼터스 환경도 마찬가지다. 일상생활에서 예를 들어보자. 유비쿼터스 환경을 표방한 아파트가 들어선다. 가스, 전기, 수도, 방범을 집 밖에서 휴대전화 등으로 제어하는 것이다. 이 시스템의 보안은 ‘한심한 수준’이라고 한다. 테러리스트가 유비쿼터스 환경을 뚫으면 요인도 암살할 수 있다. 그가 거주하는 공간에 가스를 누출하거나 전기를 조작하는 것이다. 다음은 정부 관계자의 설명이다.
“북한이 2013년 3월 한국의 철도 · 지하철 신호제어시스템 개발업체를 해킹해 설계도 등 민감한 자료를 절취하려다 실패했고, 저축은행 10곳을 대상으로 해킹을 준비한 적도 있다. 전력, 철도 등 핵심 기반시설에 대한 지능형 공격을 지속 확대할 것이며, 민원포털, 사물인터넷, 인터넷 결제서비스(핀테크) 등에 대한 새로운 유형의 사이버 공격을 획책할 가능성이 높다.”
“장사정포보다 더 파괴적”
북한이 저지른 것으로 추정되는 공격의 수법도 나날이 진화했다. 한국을 공격한 해커 집단은 2005~2007년에는 자료 절취 목적의 홈페이지 해킹 및 e메일 공격 등 낮은 수준의 공격을 자행했으나 2008년부터는 공격 기술을 고도화해 이용자가 많은 채팅(IRC)·백신·자료공유(P2P)사이트를 이용한 대규모 사이버 공격을 감행했다. 2009년, 2011년 디도스 공격이 대표적이다. 2011년부터는 언론 · 금융 등 공격 파급 효과가 큰 사회 기반시설을 목표로 장기간의 치밀한 준비를 거쳐 사이버 공격을 감행했다. 2014년에는 국가 주요 기반시설을 대상으로 사이버 공격을 벌이면서 심리전 형태의 협박을 병행했다.
사이버 역량은 북한이 가진 비대칭 전력이다. 대(對)사이버테러 업무를 담당한 전직 인사는 이렇게 말했다.
“해킹 기술, 사이버전 수행 능력은 우리가 월등하다. 문제는 우리는 공격할 곳이 별로 없고, 북한은 공격할 곳이 많다는 점이다. 따라서 사이버전이 발발하면 우리 피해가 훨씬 심각할 것으로 보인다. 마음만 먹으면 인천공항 관제센터를 마비시킬 정도의 능력은 가진 것으로 판단된다. 사이버전은 부드럽지만 치명적이다. 네트워크를 무용지물로 만든다. 장사정포보다 더 파괴적이다”
제임스 울시 전 미국 중앙정보국(CIA) 국장은 지난해 7월 23일 하원 군사위원회 청문회에 제출한 서면 답변서에서 “러시아가 북한의 EMP탄 개발에 도움을 줬다고 미국 측에 알려왔다”고 밝혔다. 북한이 EMP를 실제로 개발했다면 국군 C4I(지휘통제통신전산정보체계)를 원거리에서 타격할 수 있다. 누가 막아야 하나?
청와대는 3월 31일 국가안보실 산하에 사이버안보비서관을 신설한다고 밝혔다. 국무조정실과 미래창조과학부, 행정자치부, 국방부, 산업통상자원부 등 관계기관은 3월 17일 국가안보실 중심의 사이버안보 컨트롤타워 기능을 강화하는 것을 골자로 하는 ‘국가 사이버안보 강화방안’을 발표했다. 청와대가 컨트롤타워 임무를 맡기로 한 것이다.
노무현 전 대통령이 사이버 위기 대응을 총괄하는 법률을 마련하라고 지시한 때가 2006년인데, 이제껏 ‘사이버 테러 방지법’은 제정되지 않았다. 어느 부처가 컨트롤타워를 맡을지를 놓고 논박이 이어졌다. 한수원 해킹 사건을 계기로 법 제정이 탄력을 받는 모습이다. 청와대(국가사이버안전체계)와 국무조정실(주요기반시설 보호체계)로 이원화한 컨트롤타워를 국가안보실로 일원화하고 국정원이 실무 총괄 업무를 수행한다는 것이 정부의 구상으로 보인다.
2010년 국군사이버사령부가 창설됐다. 사령관은 있으나 두뇌집단은 없는 ‘단팥 없는 찐빵’이라는 비판을 듣는다. 2012년 대선 때 정치 댓글로 오명만 뒤집어썼다. 연제욱(소장), 옥도경(준장) 전 사이버사령관이 정치 관여 혐의로 기소됐다.
국정원도 2012년 대선 때 정치 개입, 대선 개입으로 홍역을 앓았다. 법원은 2월 9일 항소심에서 국가정보원법과 공직선거법 위반 혐의를 인정해 원세훈 전 국정원장에게 징역 3년형을 선고했다.
국정원에 대(對)사이버테러 총괄을 맡기자니 정보 독점, 권력 남용, 개인 프라이버시 침해가 우려된다. 정치 관여, 대선 개입이 불과 3년 전 일이다. 일반 행정부처가 총괄하게 하자니 공격하는 쪽이 공작·정보기관인 데다 첩보수집, 분석활동, 기술적 전문성이 떨어진다. 정부 내 새로운 조직을 만들자는 안도 나오는데, 사이버 공격 정보 수집은 기술적 탐지뿐 아니라 휴민트(인적정보자산) 첩보 수집도 연계돼야 한다.
댓글 0