무시 못할 수준으로 성장한 북한의 사이버전 역량 (2/3)
별 볼 일 없던 수준에서 정예 해커 군단을 키워내기까지
현재 북한의 사이버 공격을 총지휘하고 있는 독재자 김정은의 아버지인 김정일은 영화광이었고, 인터넷에도 관심이 대단히 많았습니다. 북한에서 인터넷은 최고위층만 누릴 수 있는 엄청난 특권이자 사치재였는데, 김정일 국방위원장이 2011년 숨을 거뒀을 때 북한 전역에서 쓰는 IP 주소는 총 1,024개 정도였던 것으로 추정됩니다. 이는 뉴욕시의 한 블록 안에 있는 IP 주소 수보다도 적은 숫자로, 북한에서 인터넷이 얼마나 통제됐는지 알 수 있는 대목입니다.
고(故) 김정일 국방위원장은 중국이 그랬던 것처럼 인터넷을 체제 유지에 해로운 위협으로만 간주했습니다. 모든 정보를 철저히 통제해야만 했던 독재 정권의 특성상 인터넷의 개방성은 위협으로 다가올 만했습니다. 하지만 몇몇 탈북자들의 증언에 따르면 김 전 위원장의 생각이 바뀌기 시작한 건 1990년대 초반의 일로, 다른 나라에서 공부하고 돌아온 북한 컴퓨터 과학자들이 인터넷을 미국이나 한국 같은 적대국을 정찰하거나 필요하면 사이버 공격 수단으로 이용해야 한다는 주장을 받아들인 것으로 보입니다.
북한은 어린 나이부터 영재를 발굴해 특별 교육을 하고, 많은 학생을 중국으로 유학 보내 최고 수준의 컴퓨터 과학을 배우게 합니다. 1990년대 말에는 미국 연방수사국(FBI)이 유엔에 근무하러 온 북한 외교관과 관리들 가운데 몇 명이 뉴욕에 있는 대학교의 컴퓨터 프로그램 수업에 등록하거나 청강하는 사실을 알아챘습니다. 당시 미국 상무부의 사이버보안 책임자였던 제임스 루이스는 이렇게 회상합니다.
“FBI에서 제게 전화를 해서 물었죠. 북한 관리들이 컴퓨터 프로그램 수업을 듣는데 어떻게 해야 할지 묻더라고요. 저는 지금은 섣불리 행동에 나서지 말고 그들이 뭘 배우고 뭘 하려고 하는지 더 자세히 알아보는 게 우선이라고 말했죠.”
북한의 사이버전 부대가 북한 내에서 주목받기 시작한 결정적인 계기는 2003년 미국의 이라크 침공이었습니다. NK지식인연대 대표인 탈북자 김흥광 씨는 당시 CNN을 통해 미군의 ‘충격과 공포’ 작전을 접한 김정일이 북한군 전군 사령관들에게 “지금까지의 전쟁이 총탄과 석유에서 비롯된 것이었다면, 21세기의 전쟁은 정보전이 될 것”이라고 말하며 경각심을 높일 것을 촉구했다고 전했습니다.
사이버전을 담당하는 부대라고 해봤자 제대로 된 능력을 갖추지 못했고, 처음에는 크고 작은 시행착오를 겪습니다.
<사이버 보안의 딜레마(The Cybersecurity Dilemma)>라는 책의 저자이자, 하버드대학교 사이버 보안 프로젝트에서 연구하고 있는 벤 뷰캐넌은 아직 사이버전 역량이 보잘것없는 수준이었던 2009년쯤부터 북한의 능력이 일취월장했다고 말합니다.
“북한은 백악관이나 미국 정보기관이 홈페이지 어느 구석에 올린 전혀 중요하지 않은 것을 누구나 뻔히 아는 수로 공격했죠. 그런 다음 북한에 동조하는 이들이 ‘미국 정부가 북한의 사이버 공격에 뚫렸다’는 식으로 선전을 해댔어요. 그땐 분명히 신경 쓰지 않아도 되는 수준이었는데, 언젠가부터 북한 해커들의 역량이 눈에 띄게 좋아졌습니다.”
미국 국가정보위원회가 펴내는 국가 정보 총서(National Intelligence Estimates) 2009년 판을 보면, 미국 정부는 북한의 장거리 미사일을 우려하지 않아도 되는 수준으로 여기듯 북한의 해킹 능력도 전혀 신경 쓰지 않았습니다. 총서에는 북한이 가까운 미래에는 미국에 위협이 될 만한 사이버전 역량을 갖출 수 없을 것으로 쓰여 있습니다.
하지만 바로 그 순간에도 북한은 열심히 해킹 능력을 갈고닦았습니다.
2011년, 아버지 김정일의 뒤를 이어 최고 권력자가 된 김정은은 사이버전 역량을 단지 전쟁에 쓰는 무기로만 여기지 않고, 각종 디지털 갈취나 해킹, 협박, 정치적 선전용으로 활용하기 시작했습니다. 한국 국정원장은 김정은이 여러 차례 “사이버전이 핵, 미사일과 함께 인민군대의 무자비한 타격 능력을 담보하는 만능의 보검”이라고 선언했다고 증언했습니다.
게다가 유엔의 잇따른 대북 제재로 김정은의 선택지는 더욱 명확해졌습니다. 오바마 행정부 국토안전부에서 사이버 정책 부국장으로 일했던 로버트 실버스는 이렇게 말합니다.
“우리는 북한에 관해서 할 수 있는 제재는 모조리 다 하고 있어요. 북한은 이미 세계에서 가장 고립된 국가가 됐습니다.”
정부 관리와 민간 연구자들은 2012년쯤 되면 북한이 해커들을 해외로 분산, 배치를 완료했다고 말합니다. 북한 해커들은 주로 중국의 인터넷 인프라를 통해 활동했는데, 중국에 거점을 둠으로써 보안이 취약한 인터넷을 최대한 활용할 수 있었고, 무슨 일이 생겨도 북한이라는 배후가 드러나지 않도록 숨을 수 있었습니다.
사이버보안 업체 레코디드 퓨처는 최근 들어 인도, 말레이시아, 뉴질랜드, 네팔, 케냐, 모잠비크, 인도네시아에서 북한의 인터넷 활동이 많이 늘어났다고 지적했습니다. 뉴질랜드의 사례에서 볼 수 있듯 해커들이 다른 나라에서 뉴질랜드 컴퓨터를 원격으로 조종해 공격을 감행하기도 했고, 해커들이 직접 상주하며 작전을 펼치는 나라도 있는 것으로 전문가들은 보고 있습니다. 대표적인 나라가 인도인데, 최근 북한이 감행하는 사이버 공격의 20% 정도가 인도에서 시작되는 공격입니다.
정보기관은 테러조직의 끄나풀이나 핵확산을 돕는 정보원을 잡아낼 때처럼 이 나라들에 잠입해 있는 북한 해커들을 추적하고 있습니다. 해커들이 자주 머무는 호텔을 알아내고, 이들이 활동하는 온라인 서버에 반대로 잠입해 이들의 컴퓨터와 전산망에 악성 코드를 심어 역공을 가하기도 합니다.
이란에서 대담함을 배우다
이란과 북한은 수십 년 동안 미사일 기술을 공유해 온 우방이었습니다. 미국 정보기관은 두 나라가 핵무기 관련 기술도 비밀리에 협력하리라 의심하고 증거를 찾아 왔죠. 사이버 분야에서 이란은 북한에 상당히 중요한 것을 가르칩니다. 은행부터 거래소, 송유관이나 송수관, 댐, 병원, 전체 도시에 이르기까지 인터넷에 크게 의존하고 있는 상대방과 대적하는 한 끝도 없이 막대한 손해를 끼칠 수 있다는 사실입니다.
2012년 여름, 이란 해커들은 사우디아라비아의 국영 석유회사이자 세계에서 가장 가치 있는 기업인 사우디 아람코가 의외로 사이버 공격에 취약하다는 사실을 발견합니다. 당시 이란은 핵물질 농축 시설이 미국과 이스라엘의 합동 사이버 공격으로 대거 마비되거나 망가진 후유증을 여전히 앓고 있었습니다.
그해 8월, 이란 해커들은 정확히 11시 8분에 공격을 감행했습니다. 아람코 컴퓨터 3만 대와 회사 서버 1만 곳에 간단한 와이퍼(Wiper) 바이러스를 침투시켰죠. 일종의 악성 코드인 와이퍼는 데이터를 모두 지워버렸고, 컴퓨터마다 성조기가 불타고 있는 사진을 띄웠습니다. 엄청난 규모의 피해가 발생했습니다.
일곱 달 뒤, 한미 합동 군사훈련 중에 북한 해커들은 중국에 있는 컴퓨터와 서버에서 한국의 은행 세 곳과 방송사 두 곳을 목표로 비슷한 사이버 공격을 감행했습니다. 이란이 아람코를 공격했을 때처럼 북한도 한국의 목표 기관에 데이터를 지우거나 파괴해버려 영업을 마비시키는 악성 코드를 심으려 했습니다.
영국 정보통신위원장 출신 로버트 하니건은 최근 이렇게 말했습니다.
“(한국 기관에 대한 북한의) 해킹 공격이 단지 앞선 사례를 보고 그대로 따라 한 것일 수도 있지만, 여기서 주목해야 하는 것은 북한이 이란 해커들로부터 도움을 받는 듯하다는 점입니다.”
그리고 불과 몇 년 전 북한의 사이버 위협을 우려하지 않아도 된다고 얕잡아봤던 미국 국가안보국 내부에서는 갑자기 북한의 사이버전 역량을 재평가하는 움직임이 활발합니다. 마치 북한이 핵시험을 할 때마다 괄목상대할 만한 핵전력에 놀랐던 것처럼 말입니다.
“북한은 자신들의 정치적 목표만 이룰 수 있다면 어떤 회사건, 목표물이건 가리지 않고 반드시 치명타를 입히겠다고 선언한 셈입니다.”
오바마 행정부 국토안전부에서 사이버 정책 부국장으로 일했던 로버트 실버스의 말입니다.