[이슈분석]끊이지 않는 해킹 위협, 대책은

북한 사이버 부대발로 추정되는 해킹 공격이 올해 전면화했다. 최근 수면 위로 드러난 한국원자력연구원 침해사고는 '빙산의 일각'에 불과하다는 게 보안업계 중론이다. 보안업계가 수년간 요구해 온 '사이버보안청' 설립은 이제서야 필요성이 부각되고 있다. 사이버전에 집중 투자해 온 북한 사이버 부대에 맞서려면 지금이라도 관련 법령과 정부 조직, 전문성을 갖춰야 한다는 지적이 나온다.

Photo Image

◇원자력연 해킹 등 상반기 피해 늘어

올 상반기는 북한 해킹조직의 위협이 극명하게 드러난 시기였다. 원자력연과 한국항공우주산업(KAI) 등 국내 주요 정부출연연구기관(출연연)을 비롯해 대우조선해양 등 국가 주요 산업체가 해킹 공격을 받았다.

이 가운데 원자력연은 지난 5월 가상사설망(VPN) 취약점에 의해 정보가 유출된 것으로 확인됐다. 승인되지 않은 외부 인터넷프로토콜(IP) 13개가 원자력연 내부망에 무단 접속한 것으로 조사됐다. 이후 대만 인텔리전스 업체에 의해 북한 해커 사이에 원자력연 직원 계정정보 목록이 오고간 정황까지 드러났다. 원자력연 직원의 이메일 주소, 개인 휴대폰 번호, 사내 아이디·비밀번호 등이 포함됐다.

원자력연 해킹 사고와 관련해 국가정보원은 현장 조사를 실시하고 VPN을 통한 전산망 침투를 확인했다고 추후 밝혔다. 이 사고에서 국정원은 원자력연 VPN 운영을 중단하도록 즉시 조치하고 보안 장비를 통해 해킹 경유지를 차단하도록 하는 등 긴급 대응했다. 정확한 공격 배후에 대해서는 확인 중이라고 밝혔지만 보안업계는 분석 결과 북한 해킹조직 '김수키'를 배후로 지목했다.

김수키는 상반기 대우조선해양을 겨냥한 해킹 공격도 수행한 것으로 알려졌다. 김수키는 대우조선해양이 검토해 온 원자력추진잠수함 연구 내용을 노린 것으로 전해졌다.

KAI는 해킹 공격을 받아 첫 국산 전투기 'KF-21 보라매' 설계 도면 등 기밀 정보를 대거 유출 당했다. KAI는 상반기 두 차례 해킹 공격을 받았으며 이로 인해 전력 사업 정보가 공격자에게 넘어간 것으로 분석됐다. 이 역시 북한 해킹조직에 의해 감행된 것으로 지목되면서 논란이 일었다. KAI는 침해사고가 드러난 뒤 “향후 보안 강화에 모든 노력을 기울이겠다”는 입장문을 냈다.

보안업체도 별도로 크고 작은 침해사고를 보고했다. 이스트시큐리티 시큐리티대응센터(ESRC)는 지난 2월 북한 해킹조직에 의한 방위산업체 스피어 피싱 이메일 공격, 4월 차세대 공군 훈련 체계를 겨냥한 해킹 공격 등을 포착 경고했다.

차세대 공군 훈련 체계 해킹 공격은 최근 부각된 KAI 침해사고와 연관성이 깊다. 당시 공격자는 국방부 주관 공군 워게임 모델 사업 '창공모델 성능개량 체계개발 사업' 협력업체 자료인 것처럼 위장한 악성 파일을 유포했다. 이 사업은 국방부에서 수년간 추진한 것으로 지난 3월 KAI가 관련 기술을 보유한 8개 업체와 업무협약을 맺고 참여한다는 소식으로 홍보됐다. ESRC는 공격자가 사용한 명령제어(C2) 서버가 김수키가 사용하는 도메인 서비스와 유사성이 높다는 사실을 발견하고 북한 정부를 공격 배후로 지목했다.

◇방치된 북 사이버위협

북한발로 의심되는 사이버 공격은 지난해 코로나19가 촉발한 대규모 디지털 전환으로 속도가 붙었다. 코로나19 백신 개발 제약사, 한국과학기술원(KAIST), 암호화폐거래소뿐만 아니라 개성공단 연구, 청와대 행사 견적서 등을 사칭해 국내 통일·외교·국방 관계자 대상 공격이 이어졌다. 미국 언론은 이 같은 북한 행태를 두고 '해킹 범죄를 노골적으로 저지르는 지구상 유일한 국가'라고 명명하기도 했다.

북한이 우리나라에 해킹 공격을 감행한 것으로 추정되는 것은 2009년 7.7 디도스 대란이 대표적이다. 이후 외교·안보·통일 관련 부처 해킹(2010년), 농협 전산망 디도스 공격(2011년), 신한은행 해킹(2013년)에 이어 2014년에 이르러 육군사령부 인터넷망 해킹과 한국수력원자력 서버 해킹 사고가 터졌다.

우리나라 피해 기관이 내부 책임 소재를 따지는 동안 북한 해킹 공격은 지속됐다. 북한 해킹조직은 양적, 질적 측면에서 매년 진화를 거듭했다. 이들은 2016년 정부 주요 인사 스마트폰을 해킹한 데 이어 2017년부터 암호화폐거래소 해킹 공격에 열을 올렸다.

미국 국토안보부(DHS) 산하 사이버·인프라안보국(CISA)과 재무부, 연방수사국(FBI), 사이버사령부 등 4개 기관은 북한 해킹조직이 현금자동입출금기(ATM)를 공격하고 있다는 합동 기술 경보를 내리면서 2019년 11월 한국 암호화폐거래소 업비트에서 발생한 약 580억원 규모 자금 유출 사고 배후로 북한 해킹조직이 연루됐다고 적시했다.

미국이 지난해 말 박진혁·전창혁·김일 등 북한군 소속 해커 3명을 기소한 가운데 북한 해킹조직의 최대 타깃인 우리나라의 경우 공격 배후를 북한으로 명시조차 한 사례가 없다. 국내 사이버보안 분야 주요 직책을 역임한 보안 전문가는 “우리나라 정부는 사이버안보에 관심이 매우 저조하다”면서 “우리나라를 가장 많이 공격하는 곳이 북한인데 지난 수년간 사고가 이어졌음에도 대응에는 손을 놓은 상태”라고 말했다.

◇사이버보안 전담부처 현실화 가능성은

'사이버보안청'은 보안업계에서 수년간 요구해 온 사안이다. 사이버보안 전담 부처가 필요하다는 배경에서였다. 보안업계가 국회 등 정권을 상대로 사이버보안청 설립을 본격 요청한 것은 2017년부터다.

이상민 더불어민주당 의원은 지난 5월 '정보보호 미래비전 토론회'에 패널로 나서 “명칭은 추후 논의하더라도 사이버보안 전담 부처가 필요하다는 사실은 분명하다”면서 “내년 대선 때 각 후보가 이에 대한 정리 정돈된 조직과 법제를 공약으로 내걸 수 있도록 하자”고 제안했다.

하태경 국민의힘 의원도 지난 4일 “국정원, 군사안보지원사령부, 경찰, 과학기술정보통신부, 한국인터넷진흥원(KISA) 등으로 흩어져있는 사이버안보팀을 통폐합해 장관급인 '사이버안보청'을 대통령 직속으로 만들겠다”고 밝혔다.

문종현 이스트시큐리티 이사는 KISA에 권한을 주는 방안을 제시했다. 과기정통부로부터 KISA를 독립시켜 사이버보안청 역할을 하게 하자는 것이다. 사이버 관련 전 분야를 포괄하려면 북한 해킹 전담 조직을 신설해 KISA에 둬야 한다고 강조했다.

문 이사는 “민간 사찰 이슈로 인해 국정원에서 민·관 사이버보안을 총괄하기는 어려울 것”이라면서 “민간 분야 사이버보안을 담당하고 있는 KISA의 예산과 전문 인력을 보강하고 북한 해킹 전담 조직을 만드는 것이 필요하다”고 주장했다.

코로나19 사태 심화로 질병관리본부가 질병관리청으로 승격된 것처럼 이번 사태를 계기로 북한 해킹 전담 조직 신설을 추진해야 한다는 설명이다.

KISA를 사이버보안청으로 승격시킬 경우 보안 인력 양성 난제도 자연스레 풀릴 것으로 봤다. 저가 입찰 등에 시달리는 영세 사업자가 대부분인 보안 업체에 '10만 화이트해커 양성'을 부담 지우는 것보다 독립 국가기관이 민간 사이버방위산업체를 만들면 인력 양성도 수월해질 수 있다.

전담 조직 신설에 앞서 '사이버안보기본법'부터 만들어야 한다는 의견도 있다.

박춘식 아주대 교수는 “지난해 말 국정원법에 겨우 (사이버안보) 근거 하나가 생겼다”면서 “사이버보안청 하나를 만들면 되는 것이 아니라 기본법 마련과 정부조직법 개편, 공무원 전문성 확보 등이 체계적으로 선행돼야 한다”고 지적했다.

공무원이 2~3년 주기로 부처를 옮기는 데 공공 분야에서 사이버보안 전문성을 어떻게 갖출 것인지 고민도 필요하다. 박 교수는 “일례로 중국에서 활동하는 북한 해커 정보를 우리 정부가 갖고 있어야 한다”면서 “이 같은 정보력과 전략을 공공 집단에서 갖춰야 북한 해킹에 제대로 대응할 수 있다”고 말했다.


오다인기자 ohdain@etnews.com


브랜드 뉴스룸