[이철재의 전쟁과 평화] 8년 만에 또 뚫린 ‘사이버 휴전선’…소 잃고도 외양간 못 고쳤다

이철재 군사안보연구소장·국방선임기자

처음엔 해킹 자체를 부인했다. 내부망과 외부망이 따로 떨어져 있으니 해킹이 불가능하다는 이유에서였다. 그러다 해킹 사실을 인정했지만, 빠져나간 정보는 별 게 아니라고 해명했다. 결국 수많은 중요 정보가 넘어간 게 드러났다. 지난 11일 정부 합동조사로 밝혀진 북한의 법원망 해킹 사건 얘기가 아니다. 2016년 공개된 국방망 해킹 사건에서도 ‘부인→해명→시인’이라는 똑같은 과정이 있었다. 8년 만에 ‘사이버 휴전선’이 또 무너졌다.

국방망과 법원망 해킹 사건은 너무나도 비슷하다. 국방망, 법원망은 정보를 보호하려고 내부 정보만을 위한 인트라넷(내부망)을 인터넷(외부망)으로부터 따로 뗐다. 내부망은 밖에서 절대로 들어올 수 없다고 자신했다. 그러나 국방망의 경우 작업자가 업데이트를 손쉽게 하려고 백신 중계 서버 하나를 외부망과 연결한 것이 사달이 났다. 규정 위반이었다. 집요한 북한 해커가 그 틈을 찾아냈다. 법원망의 해킹은 내부망과 외부망을 동시에 쓰는 PC가 발단인 것으로 추정된다.

■

「 최근 해킹 밝혀진 법원 전산망
2016년 국방망 사건과 흡사해
근본대책 없이 정보 대량 유출
민·군·공공 대응체계 통합해야
」

더군다나 법원 관리자 계정의 비밀번호는 ‘P@ssw0rd’나 ‘123qwe’였다. 이마저도 6년간 한 번도 바꾸지 않았다. 전산망의 보안을 담당하는 인력은 9명이며, 예산도 32억원에 불과했다. 이쯤 되면 문을 활짝 열고 도둑이 들어오길 기다리는 것과 다름없다.

북한 사이버 공격 하루 평균 129만 건

북한 평양의 과학기술전당에서 컴퓨터를 사용하는 시민들. 북한은 전국에서 수학·과학 인재들은 선발한 뒤 과학영재학교인 금성학원에서 컴퓨터를 가르쳐 해커로 양성한다. [AP=연합뉴스]

국방부는 국방망 해킹으로 북한에 넘겨진 자료는 “심각한 영향을 초래할만한 것이 아니다”고 설명했다. 그러나 북한 지휘부에 대한 참수작전, 전시 한·미 연합 작전을 다룬 작전계획 5015, 국지도발 상황에 대비하는 작전계획 3100 등 235GB 분량의 정보가 유출됐다. 법원도 처음에는 “외부 사이트와 다량의 통신을 하는 인터넷 특성상 데이터의 세부 사항 특정이 불가하다”며 입을 다물었다. 하지만 1014GB 상당의 자료가 나간 것으로 확인됐다.

국방망 해킹 이후 정부 당국은 ‘소’ 잃고도 ‘외양간’을 전혀 고치지 못했다. 아니 이번에는 ‘돼지’까지 잃었다. 개인회생 및 회생 개시신청서, 주민등록초본, 지방세과세증명서 등 개인 정보 5171건 말이다. 북한이 이를 보이스 피싱(전화 금융사기)이나 대포통장 개설에 이용할 경우 애먼 국민이 바로 범죄의 타깃이 될 수 있다. 법원망 해킹으로 국가안보뿐만 아니라 개인의 안위도 위협받게 됐다.

사실 북한의 온라인 파상 공격에 정부·국회·기업·금융·학교·언론 등 우리 사회 전반에서 사이버 침해를 당했다. 안 뚫린 데를 찾는 게 더 빠를 지경이다. 북한은 정보와 돈을 노려 우리 사이버 공간을 공격하는데, 이를 제대로 막지 못하기 때문이다. 국가정보원에 따르면 지난해 국내 공공기관에 대한 사이버 공격이 하루 평균 162만 건 탐지됐는데, 이 중 북한이 80%였다.

법원망 해킹의 주범으로 지목된 해커 조직인 라자루스는 북한의 ‘전략자산’이다. 라자루스는 2014년 김정은을 풍자한 영화를 만들었다는 이유로 소니 픽처스를 공격하고, 2017년 ‘워너크라이’라는 랜섬웨어를 전 세계 150여 개국의 20만 대 이상의 컴퓨터를 감염시킨 전력을 갖고 있다. 미국 법무부는 2018년 라자루스의 북한 해커인 박진혁을 공개수배했다.

익명을 요구한 보안 당국 관계자는 “라자루스는 코딩 실력이 대단한 데다 한 번 문 목표는 절대 놓지 않는 근성이 강하다”고 평가했다. 라자루스와 함께 북한 정보기관인 정찰총국이 관리하는 해커 조직인 ‘김수키’는 한국 암호화폐 기업 최소 2곳을 털어갔다고 사이버 보안업체인 카스퍼스키가 최근 밝혔다.

100% 보안 어려워…신속한 대응이 방법

우리나라는 네트워크 기반이 잘 갖춰졌고, 정보화·전산화가 잘 됐다. 사이버 공간에 지킬 게 너무 많은 데 보안이 허술하다. 한국이 해외 해커들의 놀이터가 된 지 오래다. 해킹 사건이 일어나면 후속 대책이 쏟아져 나온다. 그러나 보안의 구멍을 찾아내 이를 메우기보다는 서로 책임을 떠넘기기 바쁘다. 결국 반짝 관심이 사그라지면서 원래로 돌아간다. 그래서 잊을 만하면 다른 해킹 사건이 일어날 가능성이 크다. 앞으로 ‘말’이나 ‘닭’, ‘오리’도 줄줄이 뺏길 판이다.

익명의 보안당국 관계자는 “난공불락의 사이버 보안은 현실적으로 어렵다”고 귀띔했다. 모든 체계는 취약점을 갖고 있기 때문이다. 해커들이 이걸 노린다. 지능형 지속공격(ATP)으로 줄기차게 사각지대를 찾는다. 그리고 백신은 늘 악성코드나 바이러스보다 한발 늦기 마련이다. 왜냐면 해커가 악성코드나 바이러스를 개발하면 백신으로 테스트한다. 안 걸리면 이를 배포하고, 걸리면 손을 본다. 그리고 새 악성코드나 바이러스가 신고되면 백신이 대응한다. 그렇기 때문에 사이버 침해를 당하면 이를 빨리 알아채고, 빨리 대응하고, 빨리 복구하는 게 중요해진다.

이런 점에서 법원의 이번 해킹 사건 처리는 빵점이었다. 법원은 지난해 2월 해킹을 인지하고도 지난해 12월에서야 수사의뢰에 나섰다. 사법부의 독립성을 지키기 위해서였다고 한다. 그러나 법원의 늦장대처로 기록이 지워지면서 전체 피해의 0.5%만 확인됐고, 나머지 99.5%는 가늠조차 어려운 상태다.

국가보안기술연구소 소장을 지낸 손영동 동국대 국방안전연구센터 교수는 “민·관이 협력해 북한의 사이버 공격에 실시간으로 대응하는 체계를 구축해야 한다”며 “이를 위해선 ‘사이버안보기본법’이 필요하다”고 말했다. 지금의 대응 체계는 민간·군·공공기관으로 나뉘어 있다. 그러나 누가 사이버 통합 대응의 주도권을 갖는지를 놓고 의견이 갈리면서 사이버안보기본법의 입법은 지지부진하다. 국정원이 민간사찰할 것으로 의심하는 사람도 있다.

그러나 악용의 소지는 줄이고, 대응 과정을 감시하면 된다. 지금도 북한의 해커는 우리 네트워크를 제집처럼 드나들고 있다. 이번에도 ‘외양간’을 단단히 고치지 않으면 정부는 국가를 지키며 국민을 보호해야 하는 헌법적 의무를 포기하는 것이다.

이철재 군사안보연구소장·국방선임기자