北 해킹에 대응할 역량 크게 부족하다[포럼]

이경호 고려대 정보보호대학원 교수

국가정보원은 최근 지난 8, 9월 북한 해킹 조직이 주요 국내 조선 업체들을 상대로 사이버 공격을 시도한 사례를 탐지했다고 밝혔다. 주요 수법은 정보·기술(IT) 유지·보수 업체의 PC를 점거 및 우회 침투하거나 내부 직원을 대상으로 피싱 메일을 유포한 후 악성 코드를 설치하는 방식이었다고 한다.

정부 및 주요 정보통신 기반시설에 대한 ‘유의미한’ 사이버 공격은 매일 수십 건씩 발굴·관리된다. 이 중 공공영역에서 탈취하려는 정보는 국가 안보와 관련된 경우가 대부분이다. 특히 공항·항만·철도 및 도시 기반시설과 방위산업체 등은 항상 사이버 공격에 직면해 있다.

최근 북한의 소행으로 추정되는 사이버 공격은 가상화폐 해킹과 국방 기술 탈취로 구분할 수 있다. 북한은 2006년 유엔 안보리 제1718호 제재에서 시작해 2016년의 유엔 역사상 가장 강력한 제2270호 대북 제재 등으로 인해 17년간 국제사회의 압박으로 고립과 단절 속에 식량 위기 등을 겪어 왔다. 특히, 해외 파견 인력이 철수하고 난 이후 마땅한 외화벌이 수단이 없는 상황에서 핵과 미사일을 고도화하기 위한 기술력을 확보하고 부품·재료를 수입하기 위한 자금 마련을 위해 사이버 공격은 가장 저렴한 수단이었고 추적이 어렵다는 이점이 있다. 그래서 사이버 전력은 북한의 가장 중요한 대외 전략의 기반이다.

한편, 서방 선진국들은 IT 첨단 기술을 바탕으로 핵무기와 미사일에 대한 직간접적인 기술적 대응을 가능케 하고 있으며, 그중 사이버 작전 역량을 급속도로 향상시키고 있다. 우리나라 국방 영역에서도 최근 사이버 지휘통제 체계 등 사이버 공간과 육해공 영역을 묶는 하이브리드 전쟁 수행이 가능하도록 체계를 구축해 가고 있다. 하지만 날마다 몰려드는 무수한 사이버 공격에 대한 대응에는 자원과 역량이 턱없이 부족하다.

사이버 대응은 기술 개발만으론 불가능하다. 사이버 방어 체계는 킬체인의 단계별로 수년간 공격해 온 흔적을 축적해 데이터베이스(DB)로 만든다. 이를 다각도로 분석하고 모니터링하면서 불완전한 데이터 중에서도 사이버 공격의 발생을 식별하고 추적하는데, 이를 ‘사이버 위협 인텔리전스’(CTI)라고 한다. 이러한 데이터와 정보는 공공과 민간, 그리고 국제사회와의 협업을 통해 얻고 운영해야 실효적 방어를 할 수 있다. 우리는 세계 최대 규모의 사이버 방어 훈련인 나토(NATO)의 락드실즈 훈련, 한미 을지프리덤실드 훈련에 참여해 이러한 역량을 검증하고 있다.

지난 6월, 대통령실과 백악관은 워싱턴에서 한·미 사이버안보 고위급회의를 개최하고 고위운영그룹을 공식 출범시키면서 지난 4월 양국 정상회담에서 합의한 사이버안보 분야 협력 강화 방안에 대한 논의를 시작했다. 이를 기반으로 더욱더 전략적이며 가시적인 사이버 분야의 협업이 이뤄질 것으로 기대된다.

하지만 현장에서의 아쉬움은 여전하다. 우크라이나 전쟁에서 사이버전의 위력을 간접 경험하면서 우리의 국가 기반시설과 공공영역이 국가가 후원하는 대규모 사이버 공격을 감내하면서 정상 작동할 것인지에 대한 의구심은 여전하다. 결국, 실제로 구축하고 훈련하면서 편집증적인 시각으로 끊임없이 체계를 정비하는 길만이 우리가 보유한 사이버 공간의 국부를 유지하는 방법이다.

이경호 고려대 정보보호대학원 교수