北사이버부대 '소니해킹'.. 어떻게 공격했나

[아시아경제 양낙규 기자]북한은 소니 픽처스 엔터테인먼트(이하 소니) 해킹 사건에 대해 북미 공동조사를 제안했다. 미국이 소니 해킹 사건의 배후가 북한이라고 공식 발표하고 응징방침을 천명한 지 하루도 안돼 나온 반응이다.

21일 정부 관계자는 "북한 외무성 대변인이 전날 주장한 내용은 미국의 강경한 대응 방침에 대한 부담감을 반영한 것은 물론, 북미 대화의 계기로 삼으려는 의도도 엿보인다"고 말했다.

소니는 김정은 국방위원회 제1위원장의 암살을 소재로 한 영화 '인터뷰'의 제작을 추진해 논란을 일으켰다. 지난달 말부터 이달 초에는 스스로 'GOP'(평화의 수호자)라고 밝힌 해커들이 이 영화사 웹사이트를 공격해 미개봉 영화를 포함한 기밀정보가 유출됐으며 해커들의 테러 위협으로 영화 상영도 취소됐다. 북한 국방위원회 정책국 대변인은 해킹 사건이 발생한 직후인 이달 7일 이번 해킹이 북한을 지지하는 자들의 '의로운 소행'이라고 주장하며 북한 배후설을 부인했다.

소니 해킹사건을 두고 일각에서는 북한이 '스턱스넷'(Stuxnet)과 같은 신종 사이버 무기로 주요 기반시설을 파괴하는 대규모 사이버 공격을 감행할 가능성이 있다는 주장이 제기되기도 했다.

제임스 루이스 미국 전략국제문제연구소(CSIS) 연구원은 17일(현지시간) 북한 전문 웹사이트인 38노스가 주최한 기자간담회에서 "현재 스턱스넷 공격 능력을 개발하는 궤도에 올라선 것으로 보인다"면서 이같이 평가했다.

스턱스넷은 공항과 철도 등 사회간접자본을 파괴하기 위해 특수제작된 컴퓨터 바이러스로 기계의 제어판을 못 쓰게 만들거나 오작동을 일으키게 하는 악성 컴퓨터 바이러스다. 2010년 이란에서 처음 발견됐다. 바이러스에 '스텁(stub)' '엠알엑스넷(mrxnet)' 같은 이름의 파일이 많아 붙여진 이름이다. 한 번 감염되면 순식간에 해당 시설이 복구 불능 상태로 망가져 '사이버 핵폭탄' '한 방으로 끝내는 무기(one-shot weapon)'라고도 불린다. 스턱스넷은 USB 저장장치로 주로 전염되며, 악성 파일을 정상인 것처럼 둔갑시키는 방식으로 기계를 혼동시켜 고장 내거나 폭발시킨다.

이스라엘의 정보기관 모사드가 2011년 적대국인 이란의 핵시설을 무용지물로 만들기 위해 처음 개발했다. 이 개발에 미국이 개입됐다는 설도 있지만 공식적으로 확인되지는 않았다. 독일 기업 지멘스의 시설도 스턱스넷으로 피해 본 적이 있으나, 전체 피해 사례의 60%는 이란에 집중돼 있다. 이란은 스턱스넷 피해 이후에 사이버부대를 대폭 강화했다.

북한이 스턱스넷을 사용한다는 이유는 북한이 1980년대에 이라크전쟁에서 이란을 지지하며 이들과 협력관계에 있다는 전제조건이다. 현재 스턱스넷을 이용한 사이버공격기술을 보유하고 있는 국가는 3~4개국가로 알려져있다.

북한의 사이버부대의 공격능력을 가늠하기 힘들다. 하지만 군 전문가들은 상당수준 진보된 기술을 보유했을 것으로 추정하고 있다.

북한은 최근 핵무기와 탄도미사일은 물론 김정은 국방위원회 제1위원장의 전용 지하벙커를 위한 설계도와 디자인을 확보하기 위해 '국제 자연ㆍ에너지 조사계획'이라는 명칭으로 비밀리에 해킹작전을 진행한 것으로 알려졌다. 이 작전은 2010년 천안함 사건의 배후로 지목됐던 김영철 정찰총국장의 총괄아래 정찰총국 내 북한군 해커전문부대인 121국, 110 사이버연구소, 91소 등을 총동원한 것으로 전해졌다.

북한은 2012년 8월 김정은 국방위원회 제1위원장의 지시 이후 전략사이버사령부를 창설했으며 사이버전 수행과 관련한 인력은 5900여명에 달하는 것으로 알려졌다.

북한으로 의심되는 국내 해킹건수도 해마다 늘어나고 있다. 특히 올해 군을 겨냥한 해킹은 대부분 국방부 청사를 비롯한 직할부대를 겨냥했다. 국방부 직할부대에 대한 해킹시도는 998건으로 육군 346건, 공군 325건, 해군 113건을 합친 것보다 많았다.

눈여겨 봐야할 점은 해마다 악성코드나 해킹메일을 이용한 해킹횟수보다 홈페이지를 직접 공격하는 횟수가 늘어나고 있다는 점이다. 홈페이지를 통한 해킹은 2010년 675건이 발생하고 2011년에 1414건으로 늘었지만 2012년 1250건, 지난해에는 771건으로 줄었다. 하지만 올해는 1400건으로 지난해에 비해 2배 가량 증가했다. 반면, 악성코드(이메일)을 통한 해킹시도는 2010년 308건(74건), 2011년 593건(338건), 2012년 457건(234건)으로 줄어들었으며 올 들어서도 268건(114건)으로 더 감소하는 추세다. 군은 해킹의 주범으로 북한을 지목하고 있다.

군 사이버사령부도 북한의 해킹을 막기 위해 다양한 대책을 세워놓고 있다. 국군사이버사령부는 주요 임무인 사이버전이 공식적인 군사작전으로 명문화할 방침이다. 국군사이버사령부가 수행하는 사이버전을 합참의장이 작전 수행에 필요한 부분에 한해 조정ㆍ통제할 수 있도록 하는 내용으로 '국군사이버사령부령'의 개정을 추진하겠다는 것이다.

사이버사령부는 국방부 직할부대로 법령상 모든 업무는 국방부 장관의 통제를 받았다. 이때문에 합참의장은 사이버전을 통한 작전이 필요해도 법적권한이 없었다. 이번에 사이버작전 수행에 한해 합참의장의 조정 통제도 받도록 하는 것은 사이버전을 실제 '군사작전'의 범주에 포함해 작전계획을 수립하는 등 임무와 수준을 한차원 격상하겠다는 뜻으로 분석된다.방어위주의 작전수행능력만 갖추던 사이버사령부의 기능을 적 공격의 취약점을 이용해 선제적 공격으로 침해 예방활동을 강화해 나간다는 것이다.

군 관계자는 "국군사이버사가 수행하는 사이버작전은 사이버 공간상에서의 군사작전에 해당한다"면서 "이는 지상, 해상, 공중 공간에서 수행하는 물리적 작전과 연계되므로 사이버작전에 대한 합참의장의 조정 통제가 필요하다"며 "다음 달까지 입법예고 기간을 마치고 법령을 정비하면 사이버전 수행 방식은 관제위주에서 군사적 차원으로 영역이 본격적으로 확장될 전망"이라고 말했다.

양낙규 기자 if@asiae.co.kr