중국이 미국 주요 기업 해킹을 위해 전산 서버에 심어놓은 초소형 스파이칩(왼쪽 사진). 이 칩은 쌀알 크기보다도 작아 육안으로 쉽게 알아볼 수가 없다. ⓒphoto 블룸버그비즈니스위크
중국이 미국 주요 기업 해킹을 위해 전산 서버에 심어놓은 초소형 스파이칩(왼쪽 사진). 이 칩은 쌀알 크기보다도 작아 육안으로 쉽게 알아볼 수가 없다. ⓒphoto 블룸버그비즈니스위크

지난 10월 3일 북한이 지난 4년간 금융기관 해킹으로 외화를 탈취하는 금융 전문 해커조직을 운영해온 사실이 처음으로 공개됐다. 미국의 대표적 보안업체인 ‘파이어아이(Fire Eye)’가 ‘APT(Advanced Persistent Threat·지능형 지속 보안 위협)38’이라고 이름 붙인 조직이 미국·멕시코·브라질·러시아·베트남 등 최소 11개국의 주요 금융기관과 NGO(비정부기구)를 해킹했고, 11억달러(약 1조2300억원)어치의 외화 탈취를 시도해 수억달러를 북한으로 빼돌린 것으로 확인됐다고 밝힌 것이다.

미국 워싱턴 D.C.에서 열린 ‘사이버 디펜스 서밋’에서 파이어아이의 샌드라 조이스 부사장은 “APT38은 전 세계에서 규모가 가장 크고 위협적인 해커조직”이라며 “이들은 유엔 안보리 대북 제재(2013년 3월) 이후 약 1년 뒤인 2014년 2월부터 본격 활동에 들어간 것으로 나타났다”고 말했다.

파이어아이는 기업과 공공기관 전용 보안 프로그램을 개발하는 글로벌 보안기업으로, 포브스 선정 2000대 기업 중 절반이 이 회사 프로그램을 사용하고 있다. 미 소니픽처스 해킹을 북한이 했다는 사실을 밝혀낸 것도 이 회사다. ‘APT38’은 금융기관을 해킹해 외화를 탈취하려는 목적으로 만들어진 북한의 새로운 해커조직으로 알려져 있다. 보안업계는 이름을 밝히지 않는 해커조직을 발견하면 APT와 숫자로 이름을 붙인다. 이란에 거점을 둔 해커조직은 ‘APT33’, 러시아 해커조직은 ‘ATP29’로 이름을 붙이는 식이다. APT 명칭이 붙은 해커조직은 보통 장기간에 걸쳐 타깃을 분석·공격하는 치밀한 해킹 수법을 갖고 있다.

북한 소행으로 추정되는 사이버테러는 이뿐 아니다. 국회 행정안전위원회 소속 대한애국당 조원진 의원은 경찰청과 국회 입법조사처로부터 제출받은 국정감사 자료를 종합하면 북한 소행으로 추정되는 사이버테러 사례는 2013년 이후 총 19건이라고 밝혔다.

北·중·러 협공

과거 북한의 사이버테러 및 해킹은 군·정부기관 등 국내 기관의 자료 유출, 2·3급 기밀 유출 등에 치우쳤지만 국제사회의 대북 제재가 강화된 수년 전부터 금융기관 해킹에 주력하고 있다는 것이다. 2016년 방글라데시 중앙은행 해킹으로 송금 시스템을 해킹한 뒤 2017년 4월 야피존 계좌 탈취, 6월 빗썸 회원정보 유출, 9월 코인이즈 계좌 탈취 등 가상화폐 거래소 해킹으로 이어졌다. 2017년에는 대만 은행을 해킹해 676억원 강탈을 시도했고, 지난 8월 10~13일엔 북한 해킹조직 ‘라자루스’가 인도 코스모스은행 해킹을 시도해 1350만달러를 훔쳐냈다.

문제는 이런 사이버 공격 주체가 북한에 한정되지 않고 중국·러시아 등 주변 강국도 나서고 있으며, 이들 국가가 우리나라도 공격 대상으로 삼고 있다는 점이다. 벤자민 리드 파이어아이 사이버첩보 분석 선임연구원은 최근 국내 언론과의 인터뷰에서 “한국을 대상으로 한 사이버전은 단순히 북한으로만 한정되지 않는다”며 “중국은 2010~2011년을 시작으로 정책 정보를 수집하기 위해 해킹을 시도했다”고 말했다. 그는 “러시아, 이란 등은 한국 석유시장 등 경제 분야 정보 탈취를 목적으로 해킹 활동을 벌인다”고 전했다.

리드 연구원은 “국가 주도 해킹조직은 최근 중국이 가장 활발하며 단일 팀으로는 러시아 주도 ‘APT28’이 두드러진다”고 말했다. 파이어아이는 지난 5월 초 중국 주도 해킹조직으로 알려진 ‘탬프틱’의 한국 공격 흔적을 확인했다. 러시아 공격 그룹 ‘털라팀’이 한국을 조준한 것도 확인한 것으로 알려졌다.

최근 중국이 미국 주요 기업에 납품되는 전산 서버에 초소형 스파이칩을 심어 애플과 아마존, 대형 은행 등 30개 미국 기업을 해킹해 정보를 빼내간 것으로 알려진 것도 사이버전 전선이 확장돼 피해가 심각해지고 있음을 보여주는 사례다. 아마존과 애플은 “스파이용 칩을 발견한 사실이 없다”고 부인했지만, 블룸버그비즈니스위크(BBW)는 지난 10월 4일(현지시각) “6명의 전·현직 당국자와 애플 내부 관계자 등 최소 17명이 중국 스파이칩의 발견 사실을 증언했다”고 밝혔다.

BBW에 따르면, 애플은 지난 2015년 자사 네트워크에서 발생하는 이상 반응의 원인을 찾다가 ‘수퍼마이크로’라는 업체가 납품한 서버에서 의심스러운 칩들을 발견했다. 이 칩들은 쌀알보다 작은 크기로, 회로 전문가가 아닌 사람은 그 존재조차 알아보기 힘들 정도였다. 조용히 조사에 착수한 미 보안 당국은 수퍼마이크로가 판매하는 서버에서 가장 핵심인 메인보드가 거의 전량 중국에서 조립되고 있다는 사실을 확인했다.

조사 결과 문제의 칩들은 이 회사의 중국 내 하도급 공장들에서 은밀히 심어졌으며, 중국인민해방군 산하 조직이 이 일을 담당한 것으로 나타났다. 중국은 이를 통해 미국의 주요 은행, 애플과 아마존 등 30개 미국 기업에 영향을 미쳤고, 이 중에는 미 국방부·CIA(중앙정보국)와 거래하는 조달 업체들도 포함됐다고 한다. 특히 일부 국내 기업도 수퍼마이크로 서버를 구입해 사용하는 것으로 알려져 IT 분야 보안에 대한 우려가 커지고 있다.

최근 국내 주요 이동통신사들이 5세대(5G) 망 구축을 위해 장비 선정을 앞두고 있는 가운데 중국 기업 화웨이의 5G 장비에 대한 보안 문제가 불거지고 있는 것도 같은 맥락이다. 화웨이는 지난 10월 8일 “보안 문제가 없다”는 입장문을 내고 진화에 나섰지만, 미국과 호주 등에서도 잇달아 화웨이 장비 도입을 금지하고 나서 비상이 걸렸다. 미국 정부는 중국 기업 제품을 신뢰할 수 없다며 공공기관에서 화웨이 장비를 구입하지 못하도록 금지했다. 아직 장비 선정을 하지 않은 KT와 LG유플러스는 적지 않은 부담을 느끼고 있는 상황이다.

미 파이어아이 계열사인 ‘맨디언트(Mandiant)’사는 지난해 ‘APT1’으로 명명된 해킹그룹이 2006년 이후 20개 주요 산업에 속한 141개 기업으로부터 수백 테라바이트의 데이터를 계획적으로 훔친 사실을 확인했다며 78쪽 분량의 보고서를 발표했다. 이 보고서에 따르면 APT1은 중국 인민해방군 총참모부 3부2국에 소속돼 있으며, 군부대 위장 명칭이 61398부대인 것으로 밝혀졌다.

정부·군 대응의지 취약

이처럼 북한과 주변 강국의 사이버전 위협은 커지고 있지만 우리 정부와 군의 대응 의지와 시스템은 매우 취약하다는 비판이 나오고 있다. 사이버보안 전문업체인 징코스테크놀로지 채연근 대표는 “사이버전은 24시간 벌어지기 때문에 지속적인 모니터링이 필요한데 가장 큰 문제는 ‘휴먼 에러(Human Error)’”라며 “담당자에 대한 지속적인 교육 훈련과 감시·감독이 필요하다”고 말했다.

북한과 우리 정부가 적극 추진 중인 종전선언에 앞서 북한과 일종의 ‘사이버전 종전선언’부터 해야 한다는 얘기까지 나온다. 청와대 사이버안보특보를 지낸 임종인 고려대 사이버국방학과 교수는 “최근 남북 화해 분위기 속에서도 북한의 사이버 공격은 보란 듯이 계속됐다”며 “사이버 적대행위 금지를 위한 ‘사이버 판문점 선언’과 군사·외교·사법적 조치를 아우르는 사이버 전략 수립을 해야 한다”고 말했다.

유용원 조선일보 논설위원·군사전문기자
저작권자 © 주간조선 무단전재 및 재배포 금지