무시 못할 수준으로 성장한 북한의 사이버전 역량 (3/3)
“최고지도자 김정은 동지를 향한 비방만큼은 반드시 저지하라”
북한이 사이버전을 수행하는 데 있어 가장 핵심적인 목표로 삼는 것이 있다면 최고 지도자인 33살 김정은 노동당 위원장의 이미지를 관리하고 떠받드는 것입니다. 2014년, 영국의 방송국인 채널 4가 평양에서 납치된 영국인 핵 과학자를 다룬 드라마를 제작하겠다고 발표하자, 북한 해커들은 채널 4 방송국을 공격했습니다.
먼저 북한 정부는 채널 4가 기획한 해당 드라마 “오포지트 넘버(Opposite Number)”를 가리켜 “중상모략을 꾸미는 소극(笑劇)”이라며 영국 정부에 항의했습니다. 항의가 받아들여지지 않자, 북한 해커들은 채널 4 방송국의 컴퓨터 시스템을 공격했다고 영국 정보당국이 확인했습니다. 다행히 피해가 발생하기 전에 공격을 막을 수 있었고, 채널 4의 데이비드 아브라함 사장은 당시 반드시 드라마를 제작해 선보이겠다고 약속했습니다.
하지만 무위로 돌아간 듯한 공격은 말 그대로 시작에 불과했습니다. 소니픽처스가 김정은을 암살하는 임무를 안고 평양으로 파견되는 두 기자의 이야기를 다룬 코미디 영화 “더 인터뷰”의 예고편을 내보내자 북한 정부는 유엔 사무총장에게 서한을 보내 이 영화의 제작과 상영을 금지해야 한다고 주장했습니다. 이어 소니픽처스를 직접 위협하기 시작했죠.
당시 소니픽처스의 CEO였던 마이클 린튼은 당시 미국 국무부와 어떻게 대응할지 논의했을 때 국무부로부터 북한이 그저 엄포만 놓고 물러나지는 않을 것이라는 말을 들었다고 전했습니다.
“그때 김정은은 권력을 물려받은 지 얼마 되지 않은 시점이었어요. 제가 볼 땐 그가 아버지와 뭐가 어떻게 다른지 아직 알 수 없던 때이기도 했고요. 사실 북한의 사이버 해킹 능력 같은 것이 어느 정도 수준이라고는 누구도 귀띔해준 적이 없어요.”
린튼이 인터뷰에서 한 말입니다.
채널 4 방송국에 대한 공격을 계속하던 북한 해커들이 소니픽처스의 전산망에 깊숙이 침투한 건 2014년 9월의 일입니다. 해커들은 무려 석 달 동안이나 소니픽처스를 해킹한 사실을 들키지 않은 채 공격 시점을 쟀으며, 소니픽처스는 물론 미국 정보기관도 이를 까마득하게 몰랐습니다.
심지어 당시 미국 국가정보국장이던 제임스 클래퍼가 북한에 억류된 미국인의 석방을 위해 평양을 방문해 당시 북한 정찰총국 국장과 저녁 식사까지 함께했는데도 미국은 아무런 낌새도 알아채지 못했습니다.
그리고 11월 24일, 마침내 북한은 소니픽처스에 대한 사이버 공격의 포문을 열었습니다. 소니픽처스 사무실 컴퓨터 화면은 온통 빨간 해골 사진과 “평화의 수호자(Guardians of Peace, GOP)”라는 문구로 도배됐습니다. 해커들은 더 분명한 메시지를 남겼습니다.
너희의 최고급 기밀을 포함한 모든 데이터는 이미 우리 수중에 있다. 우리의 말을 듣지 않으면 너희의 기밀과 모든 데이터는 만천하에 공개될 것이다.
사실 이 메시지는 성동격서 전술이었습니다. 악성코드는 그때도 계속해서 데이터를 파괴하고 있었고, 결국 소니픽처스 전산망에 연결된 랩톱과 컴퓨터에 저장돼 있던 데이터의 70%가 소실됐습니다. 소니픽처스 직원들은 졸지에 종이와 연필, 그리고 전화로 업무를 진행할 수밖에 없는 처지에 놓였습니다.
린튼은 FBI가 이 공격은 또 다른 주권국가가 감행한 공격이라서 사전에 막을 방법이 없었다고 털어놓았다고 말했습니다. 그는 이렇게 한 나라가 공격의 배후에 있을 때는 자신을 지킬 수 있는 방법이 별로 없다는 사실을 배웠다고 말했습니다.
또 다른 공격의 목표가 될지 두려워한 극장과 배급사들이 영화 상영을 꺼렸고, 소니픽처스의 “더 인터뷰” 상영 계획은 큰 차질을 빚게 됩니다. (마침내 소니는 상영관에 영화를 거는 데 연연하지 않고, 바로 이 영화를 온라인에 배포해 버렸고, 기대 이상의 관객을 확보합니다) 런던에서는 채널 4의 드라마에 투자하기로 했던 투자자들이 하나둘 발을 뺐고, 드라마는 끝내 제작되지 못하고 폐기됐습니다.
오바마 행정부는 소니픽처스 해킹에 북한도 거의 눈치채기 어려운 제재로 응수했습니다. 하지만 사이버에는 사이버로만 응수했을 뿐 섣부른 확전으로 이어질 만한 행동은 하지 않았습니다. 로버트 실버스 전 사이버 정책 부국장은 “사이버전이 확대되면 북한보다 더 큰 피해를 보는 건 미국과 동맹국이기 때문”이라고 말했습니다.
평양 스타일 은행털이
친애하는 김정은 위원장의 이미지를 사수하는 것도 중요하고, 적대국의 간담을 서늘케 하는 응징도 좋지만, 사이버 프로그램을 계속 운영해야 하는 북한에 무엇보다 필요했던 건 달러였습니다.
북한은 바로 은행 인터넷 전산망에 침투해 돈을 빼가려는 시도를 잇달아 했습니다. 2015년 10월 필리핀 은행이 공격받았고, 그해 말 베트남의 띠엔퐁 은행이, 이어 방글라데시 중앙은행도 공격을 피해 가지 못했습니다. 시만텍의 연구진은 한 나라가 해킹 등 사이버 공격을 첩보전을 위해 활용하지 않고 사이버 프로그램을 운영하는 돈줄을 대기 위해 활용하는 건 처음 있는 일이라고 말했습니다.
공격은 갈수록 정교해지고 있습니다. 지난 2월 폴란드 금융감독원 웹사이트가 페이지를 찾는 방문자의 컴퓨터와 네트워크에 악성코드를 감염시키도록 누군가 공격해놓은 사실을 보안 전문가들이 발견했습니다.
폴란드 금융감독원 웹사이트를 방문한 이들은 폴란드 은행 직원들은 물론 브라질과 칠레, 에스토니아, 멕시코, 베네수엘라 중앙은행 관계자들, 그리고 뱅크오브아메리카 같은 서방 주요 은행들도 다수 포함돼 있었습니다. 북한 해커들은 이른바 물웅덩이 덫(watering hole attack)을 치고 악성코드를 심어놓은 웹사이트 방문자들을 차례차례 공격한 겁니다. 조사 결과 해커들은 대부분 은행이 포함된 총 103개 기관의 인터넷 웹사이트를 목표로 삼고 악성코드를 심었으며, 특히 해당 은행 전산망을 통해 방문자가 오면 그 은행 전산망에 잠입하려고 했습니다. 전산망을 해킹해 돈을 훔치고, 훔친 돈을 무사히 인출하려면 해당 전산망에 더 깊숙이 침투해야 했던 겁니다.
최근 들어 북한은 또 한 차례 전략을 바꾼 것으로 보입니다. 북한 해커들은 한국의 암호화폐 거래소를 여러 차례 공격했습니다. 이 가운데 적어도 한 차례 공격은 성공을 거둬 투자금을 빼간 것으로 전문가들은 보고 있습니다.
하루에 수백만 달러어치 비트코인이 거래되는 비트코인 거래소는 북한 정권에는 잠재적으로 대단히 매력적인 돈줄입니다. 게다가 전문가들은 해킹을 통해 유실된 비트코인이 훨씬 더 익명성이 강한 또 다른 암호화폐인 모네로로 거래된 증거가 있다고 말합니다. 모네로는 전 세계적으로 추적하기 훨씬 까다로운 암호화폐입니다.
가장 널리 퍼졌던 워너크라이(WannaCry)라는 해킹 공격은 전 세계 동시다발적으로 진행된 랜섬웨어 공격으로 컴퓨터를 마비시키고 잠가버린 뒤 암호를 해제하거나 데이터를 복구하려면 돈을 내라고 요구하는 공격이었습니다. 북한도 이번 공격으로 한몫을 챙겼을 겁니다. 해커들은 미국 국가안보국의 비밀 해킹 툴로 알려진 이터널 블루(Eternal Blue)를 훔쳐 이를 기반으로 랜섬웨어 공격을 감행했습니다.
지난 5월 12일 늦은 오후, 영국을 비롯한 세계 곳곳에서 다급한 전화가 빗발쳤습니다. 영국 주요 병원의 컴퓨터 시스템이 순식간에 먹통이 돼 구급차들이 엉뚱한 곳으로 출동해 환자를 놓치거나 수술 계획이 통째로 어그러지는 등 엄청난 혼란이 빚어졌습니다. 많은 나라의 금융권과 교통망도 공격을 받았습니다.
영국 국립 사이버보안센터의 운영을 총괄하는 폴 치체스터는 센터가 사전에 어떤 경고도 받은 적이 없다고 말했습니다. 현재 전문가들은 워너크라이 공격이 아직 더 날카롭게 무기를 가다듬는 와중에 실수로 공격 버튼을 눌러 일어난 혼란이었을 가능성을 염두에 두고 있습니다. 아니면 제한된 목표를 정해 공격을 감행해 전술을 시험하고 취약점이 어디인지 살펴본 것일 수도 있습니다.
영국 정보통신위원회의 정보 사이버 보안 담당 부국장을 지냈던 브라이언 로드는 주요 산업을 마비시키려는 해커들이 갈수록 진화한 방법으로 더 정교한 무기를 개발하고 있다고 말했습니다.
“해커들은 사회 기간시설의 핵심 부분에 어느 정도 적당한 타격을 가할 수 있는 공격만 준비하면 그만입니다. 공격이 일어나고 나면 그다음에는 언론이 알아서 호들갑을 떨면서 대중을 공포로 몰아넣으니까요.”
랜섬웨어 공격을 막은 영웅은 대학교를 자퇴하고 영국 남서부에 있는 한 작은 도시에서 부모님과 함께 사는 독학한 해커 마르커스 허친스 씨였습니다. 그는 랜섬웨어 공격이 빠르게 퍼지던 중 소프트웨어에 나온 한 인터넷 주소를 보고 그 주소를 도메인으로 등록하기 위해 우리돈 약 1만2천 원을 내고 도메인을 샀습니다. 그러자 랜섬웨어는 더 이상 확산을 멈췄는데, 알고 보니 그 도메인 주소가 랜섬웨어 확산을 중지하는 명령어로 정해져 있었던 겁니다.
영국 정부 관계자는 사적인 자리에서 북한이 이번 공격에 참여했다는 사실을 확인했다고 말했습니다. 하지만 영국 정부는 어떻게 응징해야 할지 분명하지 않은 탓에 아무런 보복 조치를 취하지 않았습니다.
사이버 군비경쟁
미국과 한국 정부 관계자들은 북한의 해킹 공격이나 사이버전 역량을 이야기할 때마다 분노를 표하며 비난을 멈추지 않습니다. 하지만 반대로 자국의 사이버전 역량에 관해서는 극도로 언급 자체를 꺼립니다. 이른바 사이버 군비경쟁이 일어날 수 있다는 우려에 관해서도 구체적으로 언급하는 정부 관계자는 만나기 어렵습니다.
그러나 한국과 미국 정부 모두 북한 정찰총국을 비롯해 북한의 핵무기 개발계획과 미사일 프로그램을 예의주시하고 있다는 건 공공연한 비밀입니다. 수백, 수천 명에 이르는 미국 해커들은 매일 북한의 몇 안 되는 인터넷 전산망을 들여다보며 유사시 공격할 수 있는 취약점을 찾고 있습니다.
최근 미국의 전략가들이 모여 북한의 전술적 역량에 관해 토론한 자리에서 일부 참석자들은 북한이 핵무기와 사이버 무기를 모두 동원해 선제공격에 나설지 모른다고 우려했습니다. 사이버상에서 지금처럼 공방이 오가고 긴장이 고조되다 보면, 북한은 전력상 우위에 있는 미국이 북한의 취약점을 공략해 사이버 해킹 공격으로 국가 시스템 전체를 마비시킬지 모른다는 두려움에 조급해질 수 있기 때문입니다.
마이크 폼페오 CIA 국장은 지난주 트럼프 대통령에게 북한 김정은 지도부와 더 좋은 관계를 맺는 방안을 검토하고 있다고 보고했습니다. 북한의 사이버 사령부를 비롯한 특수전 담당 부서를 누가 관리하고 운영하는지는 여전히 베일에 싸여 있습니다. 일본 언론은 최근 장길수라는 이름의 관리가 그 역할을 맡고 있다고 보도했지만, 지난해 5월 조선노동당 중앙위원회 정치국 후보위원으로 승진한 인민군 장성 출신 노광철을 주목하는 이들도 있습니다. 노광철은 현재 정확한 직책이 알려지지 않은 인물입니다.
핵무기는 설사 개발이 완료되어 실전에 배치되더라도 함부로 쏠 수 없을뿐더러 상대방에게 공격의 구실을 줄 수도 있습니다. 이런 상황에서 김정은 위원장이 미사일을 전혀 쏘지 않고도 미국을 마비시키거나 그런 수단을 동원해 위협할 수도 있는 사이버전 카드에 얼마나 관심을 두고 진지하게 생각하고 있는지가 결국 가장 중요한 부분이자, 가장 궁금한 지점입니다. 실버스 전 부국장은 이렇게 말합니다.
“모두가 핵무기에만 온통 신경이 팔렸지만, 사실 어쩌면 또 다른 재앙이 될지도 모르는 긴장이 첨예하게 고조되고 있어요.”