“우리는 어젯밤 (이란) 세 곳에 보복 공격을 하려고 했지만 사망자 예상치를 묻자 ‘150명입니다’라고 장군이 대답했다. 그래서 공격 10분 전에 취소했다.”

이란 혁명수비대가 미군 무인 드론을 격추했다는 소식이 전해진 지난 6월 20일, 도널드 트럼프 미 대통령은 이란의 레이더와 미사일 포대에 보복 공격 명령을 승인했다가 갑자기 철회했다. 드론 한 대에 대한 보복으로 사망자 150명이 생길지도 모르는 비대칭적인 결과 때문이라는 설명이 뒤따랐다. 다만 모든 공격을 중지한 건 아니었다. 물밑에선 또 다른 형태의 보복을 진행하고 있었다.

외신을 통해 흘러나온 보복은 키보드로 이루어졌다. 지난 6월 20일, 미국은 이란을 타깃으로 해킹을 시도했다. 당시 해킹은 드론에 대한 보복보다는 6월 13일 호르무즈해협으로 이어지는 오만해에서 대형 유조선 2척이 정체불명의 포탄 공격을 받은 것에 대한 반격으로 알려졌다. 호르무즈해협은 걸프만 입구로 전 세계 원유 수송량의 3분의 1이 이곳을 지난다. 사우디아라비아, 쿠웨이트, 아랍에미리트, 그리고 카타르 등 중동 주요 산유국이 생산하는 원유는 대부분 호르무즈해협을 통해 수출된다. 이란은 호르무즈해협의 전략적 중요성에 기대어 “해협을 봉쇄하겠다”는 협박을 종종 무기로 내세우곤 했다. 마이크 폼페이오 미 국무장관은 “포탄 공격에 사용된 무기와 첩보 등을 종합해 볼 때 유조선 공격의 배후는 이란이다”라고 지목했다. 거기에 대해 책임을 묻는 방식으로 반격을 가한 게 당시 해킹이었다. 타깃은 이란의 정보기관, 그리고 이란 최고지도자 직속 군 조직인 ‘혁명수비대(IRGC)’의 컴퓨터 시스템이었다.

해킹을 이끈 곳은 미국 사이버사령부(Cyber Command)였다. 이곳은 미국 국방부의 사이버 작전을 수행하는 조직으로, 미국 미사일 방어 체제를 담당하는 전략사령부(Strategic Command)의 산하 조직이었던 곳이다. 하지만 트럼프 정부는 2018년 이곳을 10번째 통합사령부로 격상시켰다. 게다가 권한도 커졌다. 버락 오바마 정부는 ‘다른 나라에 심각한 피해를 줄 수 있는 사이버 공격에 대해서는 대통령의 승인이 필요하다’고 대통령 정책지령 20호(PPD-20)에 명시했다. 동시에 사이버 공격을 일반 무기를 사용하는 공격과 동급으로 취급했다. 반면 트럼프 대통령은 PPD-20을 없애고 미군이 그 어느 때보다 신속하고 공격적인 사이버 공격을 실행할 수 있도록 현장에 재량권을 줬다.

이란 핵 개발 막아선 ‘스턱스넷’

미군의 해킹은 성공적으로 마무리됐다. AP통신은 “이번 해킹으로 이란의 미사일 발사 시스템이 무력화됐다”고 보도했다. 실제로 미사일 발사기 이뤄지기 전까지는 먹통이 됐는지 확인할 순 없지만 과거 사례에서도 비슷한 성공을 찾을 수 있다. 미국의 이란 해킹 공격은 역사가 꽤 긴데 그중 스턱스넷(Stuxnet)은 큰 족적을 남긴 사례다. 2009~2010년 사이 사상 최악의 사이버 무기라고 불리는 악성코드 스턱스넷이 이란 나탄즈의 지하 핵시설을 공격했다. 2002년 이란의 반체제 조직이 폭로한 이 비밀 시설은 우라늄 농축을 하는 장소로 이란 핵시설의 핵심 중 핵심이었다.

이란의 비밀스러운 장소로 존재하던 나탄즈 시설은 지하 8m에 설치된 원심분리기를 두께 2.5m의 콘크리트벽이 둘러싸고 있었고 이 벽 자체를 또 다른 콘크리트 벽이 덮고 있었다. 지붕은 강화 콘크리트로 올렸는데 그 두께가 22m에 달했다. 게다가 이 지하시설은 인터넷에 연결돼 있지 않은 채 외부 네크워크와 차단됐다. 그 어떤 적대적 공격에도 견딜 수 있도록 만들어진 요새 같은 이곳에 2009년부터 이상 징후가 생겼다. 2009년 하반기와 2010년 상반기, 컴퓨터 바이러스에 의한 사이버 공격을 받았기 때문이다. 이 때문에 나탄즈 핵시설의 가동률은 한때 30% 정도 떨어졌다. 2010년 이란 관계자가 밝힌 내용을 보면 사이버 공격에 의해 원심분리기 대부분이 큰 타격을 받아 여러 차례 시설의 운전을 정지할 수밖에 없었다고 했다.

원인이 된 것은 스턱스넷이라는 악성코드였다. 스턱스넷은 윈도 운영체제 컴퓨터를 감염시키는데 주로 USB를 통해 확산되기 때문에 인터넷에 연결되지 않은 컴퓨터나 네트워크에 침입할 수 있다. 일단 네트워크에 침입하면 다양한 메커니즘을 활용해 네트워크로 묶인 컴퓨터로 퍼진다. 감염된 컴퓨터에 영향을 주진 않는다. 특정한 조건에 맞는 타깃을 진짜 표적으로 삼는데 당시 스턱스넷이 노렸던 건 지멘스의 PLC 소프트웨어의 특정 모델이었다. PLC는 산업용 제어시스템으로 주로 화학공장이나 정유공장, 원자력발전소 등에서 사용되며 설비자동화 프로세스의 제어를 담당한다. 당시 이란도 지멘스 제품을 사용하고 있었다.

스턱스넷은 어떻게 나탄즈의 지하까지 침입할 수 있었을까. 처음에는 핵 프로그램과 관련이 없는 이란의 5개 기업 컴퓨터 시스템에 잠입했다. 거기에서 다양한 컴퓨터를 거쳐 확산되면서 나탄즈의 원심분리기까지 도달했다. 그동안 잠자고 있던 악성코드는 나탄즈의 우라늄 농축 공장 시스템과 설비의 구성을 감지하면서 작동하기 시작했다. 스턱스넷은 나탄즈 시설의 제어시스템 권한을 빼앗아 원심분리기의 로터 속도를 갑자기 빠르게 혹은 느리게 했다. 동시에 시설 내 컴퓨터 시스템에 가짜 신호를 전송했는데 원심분리기가 제대로 작동하고 있는 것처럼 설비 운영자를 속이기 위해서였다. 운전상의 안전기준을 지키지 않은 채 가속과 감속이 반복되면서 과도한 진동이 생겼고 원심분리기는 고장이 났다. 약 1년 동안 이란 당국은 고장의 원인을 찾는 데 시간을 허비해야 했고 이란의 핵 보유 계획은 큰 차질을 빚었다.

“이란 해커들, 북·러보다 공격법 깔끔”

나탄즈의 시설이 받은 공격은 악성코드가 현실세계에서 물리적으로 큰 피해를 줄 수 있다는 점을 증명한 첫 사례였고 특정 제어시스템을 공격한 첫 사례이기도 했다. 악성코드 사상 최대의 ‘기술적 블록버스터’라는 평가를 받을 정도로 그 정교함이 대단했다. 아직 스턱스넷을 개발했다고 공식적으로 나선 곳은 그 어디에도 없지만 코드의 복잡함, 개발에 필요한 시간과 자금 등을 고려할 때 국가 수준의 프로젝트라는 게 전문가들의 공통된 견해였다. 지금까지는 미국 국가안보국(NSA)과 이스라엘군의 8200부대가 공동으로 개발했다는 것이 정설로 알려져 있다.

이란 역시 스턱스넷에 공격받은 이후 끊임없이 미국을 대상으로 사이버 공격에 나서고 있다. 이란의 공격 능력 역시 무시 못 할 수준이다. 로버트 카츠 사이버 사이언스 인스티튜트 대표는 “이란 해커들이 2012년 대규모 합동 공격으로 월스트리트 금융기관에 피해를 입힌 적이 있다. 46곳의 금융기관 홈페이지가 마비되고 인터넷 금융서비스도 받을 수 없었다. 북한이나 러시아의 공격에 비교되지 않을 정도로 깔끔했다”고 말했다. 2016년에는 이란 해커들이 미국 뉴욕주 보우먼댐 시설 전산망에 침투해 원격제어를 시도했지만 실패한 사건이 있었다. 미국 내 사회기반시설을 공격했다는 점에서 새로운 공격법이 형성된 셈이었다.

지난해 3월에는 이란 혁명수비대의 지시를 받는 ‘마부나 인스티튜트’와 관련된 이란 해커 9명을 미 법무부가 기소하는 일이 있었다. 해커들은 2013년부터 5년간 이란 혁명수비대를 위해 전 세계 320여개 대학 7998명의 교수들을 해킹했다. 그들은 연구 논문과 연구 내용, 지적재산권 등을 노렸고 약 31.5TB(테라바이트·1TB는 약 1000기가바이트)의 데이터를 훔쳤다. 당시에는 악성코드가 담긴 이메일을 활용하는 ‘스피어피싱’을 사용했는데 이메일은 피해자들이 보기에도 지인이나 금융기관 등에서 보낸 것처럼 위장됐다는 점에서 매우 정교했다. 해킹 대상 역시 무작위가 아니었는데 이란이 주로 관심을 갖던 기술대학, 의학연구소 등에 소속된 인사들이 주요 표적이었다.

사이버 공격은 지금도 이란의 핵심 공격 도구다. 큰돈을 들이지 않고 피해를 줄 수 있다는 점, 공격자를 식별하기 어렵다는 점, 증거도 거의 남지 않는 점 등이 이란에 매력적으로 다가왔다. 마이클 아이젠슈타트 워싱턴 인스티튜트 연구원은 “주변 강대국에 대항하기에 이란은 재래식 전략이 약하다. 적국에 즉시, 그리고 지속적으로 공격할 수 있는 사이버 공격의 전략적 효과는 이란의 일반 군사행동 효과를 웃돈다”고 지적했다. 그리고 이런 즉시성은 이번 호르무즈해협 때도 이란의 보복으로 나타났다. 미국의 해킹 공격이 있은 다음 날인 지난 6월 21일, 백악관 대통령 행정실에서는 일반 메일로 위장한 채 악성코드를 품은 메일이 발견됐다. 미국의 여러 에너지 관련 기업들에서도 비슷한 메일들이 발견됐다. 미국 정부는 범인을 이란으로 지목했고 경고를 발동했다.

“트럼프 2년이 오바마 8년보다 많아”

이처럼 끊임없이 전개되는 미국과 이란의 사이버 전쟁은 비단 두 나라 영토 내에서만 이뤄지지는 않는다. 호르무즈해협의 충돌이 있은 뒤 최근 몇 주 동안 바레인의 정보기관과 정부 사이트들이 사이버 공격을 받았다. 월스트리트저널은 “테헤란의 긴장이 고조되는 가운데 이란의 사이버 활동 수준이 지역을 넘나들고 있다”고 분석하며 바레인 공격 배후에 이란이 있음을 시사했다. 바레인은 미국의 중동 전략에서 중요한 거점으로 미 해군 5함대와 중앙사령부의 본거지다. 2019년 바레인이 받은 사이버 공격은 상반기에만 무려 600만건에 달하는데 미국과 이란의 사이버 공방이 중동 전역으로 전장을 넓히고 있다는 해석이 나오는 이유다.

다만 이 전장이 중동을 넘어서 더 확대되고 있고 여기에는 미 정부의 태도 변화가 한몫하고 있다. 트럼프 정부는 사이버 공격에 그 어느 때보다 공격적이고 관대한 정부다. 미국 NBC 방송은 “트럼프 대통령 취임 2년간 미군의 사이버 공격 횟수가 오바마 행정부의 8년간보다 더 많다”고 보도했다. 이란을 대상으로 미사일 버튼을 누르기보다 키보드로 공격하는 방식을 택하는 게 트럼프 정부가 이전 정부와 다른 점이다. 문제는 미국의 사이버 패권에 반감을 가진 국가들이 적지 않다는 데 있다. 러시아와 중국, 이란은 미국의 패권에 저항하기 위해 인터넷에 관한 ‘국가주권’이라는 개념을 발전시켜왔고 자체 인터넷 체제를 모색했던 공통점을 갖고 있다. 게다가 사이버 전쟁 능력에 갈수록 자원을 많이 쏟고 있는 국가들이다. 사이버 보안 전문 매체인 CPO매거진은 “러시아와 중국, 이란 3개국은 서로를 지원하는 것 이상으로 실행 가능한 사이버 전쟁 접근법을 공통으로 모색해왔으며 해당 국가의 주요 인물들은 서로 만나고 있다”고 보도했다. 초연결 사회의 사이버 전쟁이 전 지구적으로 벌어진다는 시나리오가 단순히 비약은 아닌 것이다.