한·미, 北 사이버위협 대응 업그레이드 [韓·美, 北 해킹위협 공조 강화]

정상회담서 ‘사이버 동맹’ 확대
尹 국내 안보시스템 재정비할 듯
2022년 국내 보안프로그램 해킹
北 ‘라자루스’ 소행으로 밝혀져
北 사이버전 능력 ‘글로벌 톱 5’ 자랑
2022년 韓 노린 해킹 시도 중 56% 차지
北 2022년 해킹, 안보 등 노리다 양상 변해
경찰 “대다수 국민 이용 프로그램 겨냥”
포린폴리시 “핵 개발 운영에 해커 활용
김정은정권 활동 자금 확보 선봉 역할”

한·미 양국이 윤석열 대통령의 다음주 국빈 방미를 계기로 북한 사이버 위협 대응을 위한 정보 공조 강화에 나선다. 세계 최고 수준인 미국의 사이버 능력과 한국의 지리적 이점을 결합해 점점 더 기승을 부리고 있는 북한의 위협을 차단하겠다는 것이다.

윤석열 대통령(왼쪽)이 지난 2022년 11월 13일(현지시간) 캄보디아의 수도 프놈펜 한 호텔에서 열린 정상회담에서 조 바이든 미국 대통령과 악수하고 있는 모습. 프놈펜=연합뉴스

윤 대통령은 오는 26일 한·미 정상회담에서 사이버 안보 협력 관련 문건을 채택한 뒤, 후속 대응으로 국내 사이버 안보 역량을 높이기 위한 시스템 강화에 나설 것으로 전망된다. 국회에 계류 중인 ‘국가사이버안보기본법’이 재조명될 가능성도 거론된다.

18일 대통령실에 따르면 윤 대통령은 한·미 정상회담 결과물로 북한 사이버 위협에 맞선 양국 공조 방안을 발표할 전망이다. 앞서 대통령실 고위 관계자는 “한·미 정상회담 결과로 사이버 안보 협력에 관한 별도의 문건이 발표될 것”이라고 밝힌 바 있다. 양국 논의는 북한 위협에 초점이 맞춰질 전망이다.

윤 대통령은 취임 후 정보 동맹 강화에 외교적 노력을 기울여왔다. 북한을 비롯한 적대 세력의 공격이 물리적 위협에 그치지 않고 사이버 영역에서 극심해지고 있어서다.

지난해 국정원에 따르면 한국에 대한 하루 평균 해킹 시도는 118만건으로 이 중 55.6%가 북한발 공격으로 파악됐다. 북한은 경제난 해소를 위한 외화 벌이와 범죄 수익을 목적으로, 암호화폐 등 가상자산을 노린 사이버 공격과 원자력, 방위산업, 정찰자산 등 첨단기술 탈취에 주력하고 있다. 북한의 사이버 능력은 미국, 러시아, 중국, 이스라엘과 함께 세계 ‘톱5’에 속한 것으로 알려졌다.

미국의 외교전문지 포린폴리시는 지난 16일(현지시간) 북한의 비밀 해커 그룹이 최근 수년간 미국이나 한국의 싱크탱크, 정부 기관, 학계 등을 상대로 민감한 데이터를 뽑아내며 조용한 전쟁을 벌이는 동시에 다른 한편으론 가상화폐망을 공격해 화폐를 훔치거나 돈세탁을 해왔다고 지적했다.

한·미는 정상회담 선언을 계기로 북한 사이버 공격에 대한 협력을 한층 강화할 것으로 보인다. 한 소식통은 “한국에 해킹 피해가 발생했을 때 해커가 남긴 흔적과 자금 흐름을 파악하는 데 있어 미국이 자문을 해주고 있다. 한국이 자체 파악을 하기에는 한계가 있다”며 “대신 정보 자산은 지리적으로 가까우면 얻을 수 있는 것들이 상대적으로 많기 때문에 한·미 공조가 가능하다”고 말했다.

미국은 동맹인 한국이 정보 능력 강화에 나설 것을 독려해온 것으로 전해졌다. 한·일 관계 개선에 대한 미국 입장도 그 일환으로 보인다. 한·일 관계 개선이 이뤄지지 않고선 한·미·일 안보 협력 강화가 어렵기 때문이다.

또한 양국이 서로 신뢰할 수 있는 정보를 공유하려면 한국이 미국 수준의 기본적인 시스템을 갖춰야 하지 않느냐는 인식도 있는 것으로 전해졌다.

윤석열정부는 출범 직후 대통령 직속으로 국가사이버안보위원회를 설치하고, 관련 법령 제정을 추진하겠다고 밝힌 바 있다. 국정원은 지난해 11월 국정원·국방부·과학기술정보통신부로 분할돼 있는 사이버 위협 대응 체계를 개편하고, 컨트롤타워를 구축하는 내용의 국가사이버안보기본법 제정안을 입법 예고하기도 했다. 하지만 민간인 사찰 우려가 제기되며 수면 아래로 가라앉았다.

조태용 국가안보실장이 의원 시절에 발의한 ‘사이버안보기본법안’과 더불어민주당 김병기 의원의 ‘국가사이버안보법안’ 제정안은 국회 정보위원회에, 민주당 윤영찬 의원의 ‘사이버보안기본법안’은 과학기술정보방송통신위원회에 계류돼 있다. 한·미 정상회담을 계기로 국제 수준의 사이버 안보 대응 능력에 대한 요구가 생기고 북한 위협이 고조될 경우 관련 법이 재조명될 가능성이 거론된다.

한편 경찰청 국가수사본부는 지난해 발생한 보안 인증 프로그램 해킹 사건이 북한과 연계된 해커 그룹 ‘라자루스’의 소행으로 파악됐다고 이날 밝혔다. 1000만대 넘는 국내 기관·업체·개인 PC에 설치된 보안 인증 프로그램을 이용해 대규모 대남 사이버 공격을 계획한 정황으로 추정된다. 경찰 수사 결과 덫에 걸린 PC는 단 100분의 1초 만에 악성코드에 감염된 것으로 드러났다. 북한 정찰총국이 배후에 있는 것으로 알려진 라자루스는 2014년 김정은 북한 국무위원장을 다룬 영화 ‘더 인터뷰’ 제작사 소니픽처스를 해킹해 이름을 알렸다. 2016년 방글라데시 중앙은행 해킹 사건과 2017년 워너크라이 랜섬웨어 사건에도 연루됐다.

北, 對南 사이버 공격 경고등 경찰청 안보수사국 관계자가 18일 서울 서대문구 경찰청사에서 ‘보안인증 S/W 취약점 공격 사건’ 수사 결과를 발표하고 있다. 연합뉴스

수사 당국은 해킹 인프라를 구축한 방법, 보안 서비스의 취약점을 이용한 악성코드 유포 방식의 유사성을 바탕으로 북한 라자루스를 해킹 주체로 지목했다. 라자루스는 2021년 4월부터 1년여 동안 국내 유명 보안 인증 업체를 해킹, 인터넷뱅킹에 쓰이는 보안 인증 프로그램을 이용한 사이버 공격을 준비했다.

본격적인 해킹은 지난해 6월쯤 시작됐다. 해당 보안 인증 프로그램이 설치된 PC에서 특정 언론사 사이트에 접속하면 자동으로 악성코드가 설치되도록 해 국내 언론사 8곳 등 61개 기관의 PC 207대가 뚫린 것으로 확인됐다. 라자루스가 취하는 이 공격 방식을 ‘워터링홀(Watering Hole)’이라 부른다. 방문 가능성이 높거나 많이 사용하는 사이트를 감염시킨 후 피해자가 해당 사이트에 접속할 때 컴퓨터에 악성코드를 심는 수법이다. 경찰은 보안 인증 프로그램의 국내 점유율(20∼25%)을 토대로 1000만여대의 PC가 공격 위험에 노출됐을 것으로 추정했다. 라자루스는 당초 해킹된 PC의 관리자 권한을 뺏어 이른바 ‘좀비 PC’로 만든 뒤 사이버 공격을 본격 감행할 계획이었지만, 해킹 징후가 사전에 포착돼 실제 피해는 발생하지 않았다. 대응이 늦어졌다면 디도스 공격이나 특정 기관의 자료 유출, 금전 탈취 등 피해가 상당했을 수 있다.

그동안 북한은 안보, 방산 등 일부 특정 분야를 겨냥한 해킹을 주로 저질러왔는데, 이번엔 양상이 조금 달랐다는 점에 경찰은 주목하고 있다. 라자루스가 취하는 워터링홀 공격은 대상을 일부로 한정하는 것이 특징인데, 이번에는 국내외 1000만대 이상 컴퓨터에서 사용하는 소프트웨어를 해킹했다는 점에서 대상이 전 국민으로 확대됐기 때문이다.

경찰청 관계자는 “대다수 국민이 금융 서비스 이용을 위해 필수 설치하는 프로그램을 악용했고, 의심 없이 접속하는 언론사 웹사이트를 활용한 것으로 보아 수법이 치밀하다”며 “은밀하게 내부 시스템에 침투한 뒤 기관의 자료를 탈취하거나 키보드 인식 내용을 파악하는 등 대규모 장악을 시도하려 했을 가능성이 있다”고 분석했다.

경찰에 따르면 해킹 피해를 입은 한 민간 기관으로부터 첩보를 입수한 지난 10월 말쯤부터 신속하게 관계 기관이 합동 대응해 대규모 사이버 공격을 미리 막을 수 있었다. 한층 교묘해진 북한의 해킹, 워터링홀 기법을 구체적으로 규명했다는 데에도 수사 의의가 있다고 밝혔다. 경찰청 관계자는 “추가 해킹 피해를 예방하기 위해 보안 인증 프로그램을 최신 버전으로 업데이트해달라”고 당부했다.

업데이트하려면 사용 중인 PC의 제어판에서 프로그램 및 기능을 클릭한 뒤 ‘INISAFE CrossWeb EX V3’ 버전을 확인해 취약 버전(3.3.2.40 이하)일 경우 즉시 삭제하고, 최신 버전(3.3.2.41)을 설치하면 된다. 이용 중인 금융 사이트에 접속하거나 개발사 홈페이지에 직접 접속해 재설치할 수 있다. 지난 14일 기준으로 해당 프로그램 이용자의 업데이트 상황은 약 80% 수준이라고 경찰은 전했다.

이현미·정지혜 기자, 워싱턴=박영준 특파원