서울 서초구 내곡동 국가정보원 청사 내 국가사이버안전센터 상황실. ⓒphoto 국정원
서울 서초구 내곡동 국가정보원 청사 내 국가사이버안전센터 상황실. ⓒphoto 국정원

지난 3월 24일 서울 서초구 내곡동 국가정보원 청사 내 국가사이버안전센터. 2층 브리핑룸에서 30분간 주간조선을 위한 브리핑이 끝나자 국정원 센터 직원이 “보안관제시스템을 보여주겠다”고 말했다. 말이 끝나자 브리핑 자료가 보이던 정면의 스크린이 말려 올라가고 하얀 벽면이 갑자기 환해졌다. 정면의 대형 통유리를 가리고 있던 가림막이 열리면서 통유리 너머의 공간이 눈앞에 펼쳐졌다.

나타난 것은 영화에서나 봄 직한 가로 10m, 세로 2m 크기의 대형 전자스크린. 전체 스크린의 4분의 1 정도를 차지하는 세계지도가 우선 눈에 들어왔다. 미국과 중국의 몇몇 도시 위로 붉은 실선들이 늘었다 줄었다를 반복하고 있는 게 눈에 띄었다. 센터 직원이 “한국에 가해지는 사이버 공격 지점과 공격 빈도를 그래프가 나타내고 있다”고 설명했다.

세계지도와 함께 스크린 상단을 양분하고 있는 건 오렌지색 대형 막대그래프. 한국에 가해지는 사이버 공격의 횟수를 기록하고 있는 그래프라고 한다. 통유리 너머로 자세히 숫자를 들여다보니 오전 4시30분 무렵에는 오렌지색 막대그래프 하나가 2300여회를 가리키고 있었다. 시간이 지나면서 막대그래프는 점차 커지더니 브리핑이 이뤄지던 오전 10시10분경에는 9100회가 넘어서 있었다. 10분당 9000회의 공격이 이뤄지고 있다고만 해도 하루에 사이버 공격 횟수가 100만회가 넘는다는 계산이다. 센터 측은 “공무원들이 출근해 컴퓨터를 켜는 시간이 되면 사이버 공격 횟수가 폭발적으로 늘기 시작한다”며 “하루에도 수백만 회의 사이버 공격 시도가 이뤄지고 있다”고 했다.

이날 주간조선이 방문한 국가사이버안전센터는 대한민국 사이버전의 최전선이다. 한국 정부기관과 공공기관을 상대로 이뤄지는 하루 수백만 건의 사이버 공격을 이곳에서 일차적으로 막아내고 있다. 청와대와 인천공항 등 7000여개 기관의 컴퓨터 시스템을 방어한다. 이곳 직원들은 온갖 실시간 정보가 뜨는 상황실의 대형 전자 스크린을 모니터링하면서 24시간 이곳을 지킨다. 센터 직원들에게는 “국방부는 전쟁을 대비하지만 우리는 매일 전쟁을 치르고 있다”는 말이 빈말이 아니다.

내곡동 청사 한쪽 흰색 건물에 자리 잡고 있는 국가사이버안전센터는 국정원 내에서도 최고의 보안시설이다. 국정원 직원들도 허가를 받아야 출입할 수 있다. 나와 김정현 기자, 한준호 사진기자가 이날 이곳에 들어오기까지는 심하다 싶을 정도의 보안 검색을 받았다. 출입 전에 스마트폰과 노트북의 기종과 시리얼 넘버를 적어냈고 청사 면회실 검색대를 통과할 때는 스마트폰의 카메라를 가리는 빨간색 보안 딱지를 붙였다. 청사 내부를 지나 사이버안전센터 건물에 들어갈 때는 또다시 검색대를 통과해야 했다.

국가사이버안전센터는 2004년 2월 창설됐다. 2003년 1월 전 세계에서 동시다발적으로 벌어진 디도스 공격으로 전국의 컴퓨터망이 다운되는 초유의 일이 벌어지자 노무현 당시 대통령이 지시해 국가 최고 수준의 사이버 보안, 사이버 테러 방지 기관이 탄생했다. 사이버안전센터는 창설 후 서울 강남구 역삼동의 한 빌딩에 입주해 있다가 2009년 현재의 국정원 청사 내 건물로 이주해 왔다. 이주 후 거의 매년 보안시스템을 업그레이드해 외국 정보기관에서도 벤치마킹하기 위해 방문할 정도라고 한다. 내가 이날 본 센터의 보안관제시스템은 최근 업데이트한 최신 버전으로, 이를 언론에 공개한 것은 처음이라고 국정원 측은 밝혔다. 이 센터에는 상황실 근무요원뿐 아니라 해커들이 만든 악성코드를 전문적으로 분석하는 분석관 등이 근무하고 있다. “분석관들 상당수는 석박사 학위 소지자이며 민간 보안업체에서 톱에 속하는 인재들을 특별 채용한 경우도 있다”고 한다. 브리핑 이후 센터 직원들과의 인터뷰도 익명을 전제로 이뤄졌다.

이 센터 상황실 보안관제시스템의 대형 스크린에 올라오는 정보는 사이버전의 전황이라 할 수 있다. 한국의 기관들에 접근하는 해커의 움직임은 사이버 공격이라고 판단되면 IP가 추적돼 발원지가 뜬다. 지도상에 뜨는 공격 발원지는 여러 우회 경로를 거친 직전(直前) 공격 발원지인 경우가 대부분이다. 때문에 북한의 특정 지점이 공격 발원지로 뜨는 경우는 거의 없다고 한다. 한국에 공격이 가해지는 직전 발원지는 국가별로는 중국과 미국이 가장 많다. 북한의 해커들이 이곳을 경유해 우리에게 공격을 가해 온다는 설명이다. 센터 측은 특정 기관에 접속하는 IP 중 북한 해커들의 사이버 공격인지를 어떻게 탐지하느냐는 질문에 “과거 공격을 가해온 특정 IP, 과거 해커들의 악성코드 특징 등과 비교해 가려낸다”고 했다. 과거부터 축적해온 DB를 바탕으로 일종의 룰을 만들어 북한의 사이버 공격인지 아닌지를 탐지해 낸다는 것이다.

스크린 상단 우측에는 다양한 사이버 ‘공격 기술’도 유형별로 정리돼 떠 있다. 하루, 주 단위로 가장 많이 시도되는 공격 기술들이 일목요연하게 정리돼 있었다. 브리핑을 하는 직원이 스크린상의 세계지도에서 중국만 확대해 보여줬다. 그러자 최근 6시간 동안 중국을 발원지로 시도된 공격 횟수와 공격 유형이 나타났다. 이날 10시10분경을 기준으로 지난 6시간 동안 베이징, 선양, 칭다오 등을 중심으로 27가지의 유형으로 2960여건의 공격 시도가 있었다는 데이터가 떴다. 센터 직원은 “센터 설립 이후 발생한 해킹 사고 수십만 건을 분석한 결과 공격을 가해온 유형만 수천 가지는 된다”고 설명했다.

이 스크린에는 공격을 가해오는 IP뿐 아니라 공격을 받은 IP와 우리의 기관들도 일목요연하게 정리돼 나타난다. 또 스크린 하단에는 지난 10년간의 사이버 공격 사례에 대한 분석 데이터들이 정리돼 떠 있고, 하단 중앙에는 모니터링하는 기관들과의 정보 공유창도 있다. 이 센터에서 모니터링하는 7000여개 기관들은 70여개 부문 센터들의 중간 모니터링 단계를 거친다. 부문 센터와 중앙 센터 간에는 이상징후 등이 발생하면 실시간으로 정보가 공유된다. 스크린 하단 오른편에는 국가 디도스 방어 모니터링 시스템 창도 별도로 떠 있다. 디도스 공격에 대한 대응이 중요하기 때문에 디도스 공격 여부가 별도로 관리되고 있다.

하루에 수백만 건씩 이뤄지는 사이버 공격 시도가 모두 위협적인 것은 아니다. 차단되는 경우가 많다. 하지만 사이버 공격이 실제 심각한 위협이 되고 있다고 판단되면 센터는 단계별로 경보 수위를 높인다. 경보 단계는 평시부터 시작해 관심, 주의, 경계, 심각 등 5단계로 구분돼 있다. 지난 한국수력원자력 해킹 시도 때는 관심을 거쳐 주의 단계까지 올라갔었다. 센터 직원은 “키리졸브 훈련에 맞춰 관심 단계가 발령돼 지속돼 오다 오늘 9시를 기해 해제됐다”고 설명했다.

사이버 공격이 실제 위협을 가하고 있다고 판단되면 가장 중요한 것은 악성코드를 신속하게 분석해 대처하는 일이다. 센터 측은 이를 ‘골든타임’이라고 표현했다. 한국을 공격해오는 악성코드를 분석해 백신을 만들어 배포하는 일은 촌각을 다툰다고 한다. 골든타임을 놓쳐 악성코드에 감염될 경우 예상되는 피해는 2009년의 7·7 사이버대란과 2011년의 3·3 디도스공격과 농협전산망 공격, 2013년의 3·20, 6·25 사이버공격에서 보듯 심각하다.

사이버안전센터에 따르면, 한국에 가장 위협적인 북한의 해커들은 군과 노동당 산하 7개 조직에 1700여명 정도가 있다. 센터 측은 “북한 해커 숫자가 3000명, 심지어 5000명에 이른다는 추정도 있지만 우리가 근거를 갖고 파악한 숫자는 2013년 국정감사에서 밝힌 1700명이 비교적 정확하다”고 설명했다. 이들 외에 북한은 조선컴퓨터회사 등 13개 조직에 4200명의 지원 인력을 두고 있고, 이들 중 1000여명은 해외에 나가 있다는 것이 국정원의 파악 결과다. 이들은 자료 절취, 시스템 파괴 등 사이버 공격을 직접 자행하거나 좀비PC를 구축하는 등 해킹 조직을 직·간접적으로 지원한다. 평상시에는 게임소프트웨어 개발, 불법 도박사이트 운영 등 외화벌이 사업도 한다.

북한은 잘 닦인 한국의 정보고속도로를 타고 마치 탱크를 밀고 오듯이 이들 정예 해커들을 투입해 지속적으로 사이버 공격을 가해오고 있다. 북한으로서는 익명성이 어느 정도 보장되면서도 값싼 비용으로 심각한 피해를 줄 수 있는 사이버전을 선호할 수밖에 없다. 어릴 때부터 인터넷을 접해온 김정은은 후계자로 등장하자마자 “각 도의 제1중학교에서 유능한 컴퓨터 전문가를 많이 양성해야 한다”(2009년 10월), “사이버공격은 핵, 미사일과 함께 우리 군의 무자비한 타격력을 담보하는 만능의 보검”(2013년 8월) 등 사이버전 능력 강화를 주문해 왔다. 센터 측은 “북한은 처음에는 우리 시스템에 접근해 자료 절취를 목적으로 사이버전을 벌였지만 지난 한수원 사태에서 보듯 최근에는 직접 시스템 마비를 노리고 있다”고 강조했다.

센터 측에 따르면, 실제 북한은 작년 8월 국내 지하철을 운용하는 회사에 대한 공격을 시도했다. 이 회사 시스템 운영자의 PC에 악성코드를 심어놓은 것이 발견돼 사전에 차단했다고 한다. 센터 측은 “사전 차단에 성공했기 때문에 지하철에 대한 사이버 공격은 대외적으로 알리지 않았다”며 “구체적인 정보는 더 이상 공개하기 곤란하다”고 밝혔다.

북한은 최근 들어 지하철뿐 아니라 도시가스, 철도 제어시스템 등 우리의 주요 기반시설을 대상으로도 해킹을 시도하려는 움직임이 포착되고 있다고 한다. 이러한 기반시설을 운용하는 시스템이 공격 개시 시간을 미리 설정해둔 타임봄(time-bomb)을 장착한 스턱스넷 같은 악성코드에 감염될 경우 제어시스템이 무력화되는 등 영화에서나 봄 직한 재앙이 일어날 수 있다는 설명이다. 스턱스넷은 2010년 7월 처음 발견된 악성코드로 독일 제어시스템 전문회사인 지멘스의 운용시스템인 winCC를 실제 공격한 바 있다. 기반시설을 운용하는 망을 인터넷망과 분리하더라도 지난 농협 전산망 마비 사태처럼 시스템을 운용하거나 유지·보수하는 사람들의 노트북 컴퓨터나 USB 등을 타고 악성코드가 전파될 가능성은 상존한다.

미국 전략국제문제연구소(CSIS), 테크놀리틱스연구소 등이 평가하듯 북한의 사이버전 능력은 세계 최상급이다. 이들과 맞서 사이버전을 치러야 하는 우리로서는 인력이 열세일 수밖에 없기 때문에 기술력으로 북의 공격을 막아내야 한다. 센터 측은 “사이버전은 성격상 공격보다는 방어가 어려울 수밖에 없다”고 강조했다. 사이버전력 중 가장 중요한 것은 상대방 악성코드에 대한 분석력이다. 한 센터 직원은 “악성코드에는 자료수집과 시스템공격 등의 활동 목적과 공격 대상기관, 목적 수행 시 임무완료를 보고하는 곳 등의 정보가 다 담겨 있다”며 “이를 100% 해독해 내느냐가 사이버전의 승패를 가른다”고 했다. 주로 사이버상에서 이뤄지는 공방이지만 분석의 마지막은 오프라인에서 이뤄진다. 국정원은 악성코드 분석과 함께 악성코드를 날린 IP 주소지를 여러 경로를 통해 직접 확인한다. 이러한 휴민트(Humint) 정보는 다른 기관이나 민간 보안업체들에서는 얻을 수 없는 것들이다.

사이버 공격을 매일 모니터링하는 센터의 하루 일과 중 빼놓을 수 없는 건 악성코드 채증이다. 매일 이뤄지는 공격 중 새로운 유형이나 주목해야 할 필요성이 있는 악성코드는 채증 후 분석에 들어간다. 이를 분석해 DB화 해놓는 게 우리 사이버 전력의 근간을 이룬다.

센터의 분석력은 국내 최고 수준이다. 다른 정부기관의 경우 사이버 보안 인력들의 이동이 잦지만 센터의 경우 직원들이 한번 채용되면 이동 없이 대부분 한 업무에만 종사한다. 때문에 20년 이상 북한의 악성코드를 분석해온 분석관들은 기존의 악성코드를 변형시킨 신종 악성코드라고 해도 비교적 쉽게 알아챈다. 2011년 농협 전산망이 피해를 입었을 때 검찰의 요청으로 센터 측이 직원을 파견해 4시간 만에 악성코드를 분석해 북한제로 판명했다. 이번에 한수원 직원 3571명을 상대로 발송된 5986통의 이메일에 숨어있는 자료파괴형 악성코드의 정체를 파악해낸 것도 센터였다. 한수원을 공격한 악성코드는 북한이 과거에 만든 이른바 ‘김수키(Kimsuky)’ 계열의 악성코드라는 발표가 있었다. 이날 센터 측은 브리핑에서 한수원을 공격한 악성코드를 분석한 결과를 설명했지만 내용이 너무 전문적이어서 이해가 쉽지 않았다. 과거 북한의 악성코드와 여러 요소를 비교한 결과 대부분이 동일했고, 한 요소만 94%가 일치한다는 설명이 있었다. 한 센터 간부는 “100%가 아닌 94%인데 어떻게 북한제라고 확신할 수 있느냐는 의문에는 이런 비유가 가능하다. 북한제가 아니라는 것은 전혀 다른 사람이 그린 그림이 94% 일치한다는 의미인데 이런 일은 사실상 불가능하다. 악성코드 프로그램도 해커들이 만든 일종의 작품인데, 한수원 공격 악성코드는 과거 북한이 만든 악성코드를 약간만 변형시킨 것으로 봐야 한다”고 설명했다.

악성코드에 대한 분석, 백신 개발 배포와 함께 우리의 시스템 방어력을 끌어올리는 것도 중요하다. 센터 측은 “2010년대 들어 꾸준한 노력과 투자로 국가, 공공기관의 주요 정보통신망에 대한 평시 방어역량은 크게 향상됐다”고 강조했다. 100여개 국가, 공공기관의 경우 업무망과 인터넷을 분리해 기밀절취 공격에 대해서는 방어가 가능해졌다고 한다. 이번에 공격받은 한수원도 원전제어망, 업무망, 인터넷망이 다 나눠져 있어 인터넷망을 타고 들어온 이메일 해킹 공격에도 불구하고 원전제어망은 안전했다. 센터 측은 “종편 등에 출연한 자칭 전문가들이 한수원 사태 기간 원전이 마비될 수 있다는 등의 다소 과장된 말을 해 센터 측이 이들을 모셔다 몇 차례 실상을 설명해줬다”고 했다.

국내 최고 수준을 자부하는 사이버안전센터이지만 그 기능을 100% 발휘할 수 없다는 현실적 한계와 안타까움도 있다고 했다. 바로 센터가 커버할 수 없는 민간 영역이 광범위하게 존재하기 때문이다. 특히 북한의 최근 사이버 공격이 언론사, 금융사 등 민간 영역을 상대로 시도되는 현실에서 이는 치명적이다. 사이버 보안과 관련해 민간과의 협조를 이끌어낼 법적 장치가 없기 때문에 민간이 사이버 공격을 당할 경우 사후약방문식 처방을 할 경우가 많다. 2013년 6월 언론사들이 공격을 당한 경우가 대표적이다. 당시 센터 측은 언론사에 대한 북한의 사이버 공격 징후를 사전에 파악하고 있었다고 한다. 센터 측의 설명이다. “당시 공공기관을 공격하는 악성코드를 분석한 결과 2차 공격대상지로 국내 다수 신문사 서버를 유지·보수하는 업체를 노린다는 것을 알았다. 이 업체에 사전 경고했지만 업무에 지장을 준다는 이유 등으로 사전 대비를 하지 않았다. 결국 17개 신문사의 신문제작 서버 155대가 파괴되는 피해를 입었다.”

민관 영역을 망라한 사이버 보안 기본계획을 세우고, 민관이 서로 협조할 수 있는 제도적 방안을 담은 관련법은 국회에서 수년째 잠자고 있다. 국정원이 숙원사업으로 여기는 사이버테러방지법이 그것으로, 현재 새누리당 서상기·하태경 의원이 각기 발의한 법안이 국회 정보위 법안심사소위에 계류 중이다. 이 법안에 대해 야당에서는 국정원의 개인정보 수집 가능성 등을 우려해 반대하는 입장이다. 하지만 이는 기우(杞憂)에 불과하다는 게 센터 측의 입장이다. 센터의 한 간부는 “사이버테러방지법의 가장 큰 목적은 민간과의 정보 공유다. 민간 영역에 공격을 가해온 악성코드를 우리가 원활하게 채증할 수 있도록 하자는 것이다. 이러한 민간 부문의 정보를 분석해 대비하지 못하면 우리의 기능은 반쪽밖에는 발휘를 못한다”고 설명했다. 국정원의 다른 관계자는 “민간 부문에 대한 우리의 기능 강화는 비유컨대 CCTV를 달자는 것과 비슷하다”며 “CCTV도 도둑을 예방하거나 경찰에 범인을 추적할 수 있는 범죄 정보만을 제공하지 사적 정보는 보호받지 않느냐”고 했다. 이 관계자는 “만약 프라이버시 침해가 우려되면 정보의 오·남용에 대한 견제장치와 벌칙조항을 두면 되는데 아예 논의 자체를 하지 않는 현 상황은 답답하다”고 지적했다.

센터에 따르면, 미국의 경우 소니 해킹 사건을 계기로 지난 3월 13일 ‘사이버정보공유법(CISA)’을 상원 정보위원회에서 통과시켜 민간기업과 정부기관 간 악성코드 등 사이버 위협 정보를 공유할 수 있는 법적 근거를 강화했다. 미국은 이밖에도 작년에 제정한 ‘국가사이버안보보호법(NCPA)’ 등에 근거해 국토안보부(DHS)에 사이버위협 정보의 수집, 분석 및 기술지원을 전담하는 기구(NCCIC)와 해킹사고 대응기구(US-CERT)를 설립했다.

정장열 부장대우
저작권자 © 주간조선 무단전재 및 재배포 금지