지난 5월 14일 한국원자력연구원(KAERI) 내부 서버에 인가받지 않은 외부인이 접속하여 휘젓고 다녔다. 이 사실을 파악한 것은 5월 29일이었다. 원자력연구원은 원전시장에서 가장 선진적인 이른바 한국표준형원전의 원천기술을 가지고 있는 세계 최고의 원자력 관련 기관이다.

그럼에도 어떤 자료가 얼마나 해킹당했는지 파악도 못 하고 아직 조사 중이다. 상당한 핵심 원전기술이 빠져나갔을 것으로 추정된다. 원자력연구원은 지난 6월 초 언론사들의 취재가 시작되자 처음에는 해킹 사실을 부인하며 쉬쉬하다 6월 17일 결국 인정했다.

원자력연구원의 행태에 대해 비판적 여론이 거세지자, 6월 21일 방위사업청은 자진해서 대우조선해양 등 다른 방위산업체에서도 해킹 시도가 있었다고 밝혔다. 6월 30일에는 한국항공우주산업(KAI)도 전산시스템이 해킹당한 것으로 확인되었다. KAI는 한국형 전투기(KF-X) 시리즈를 생산하고 있는데 최신 국산전투기인 KF-21(보라매)뿐만 아니라 FA-50 경공격기, 무인기, 헬기, 레이더 등의 첨단기술 자료도 통째로 탈취됐을 가능성이 농후하다. 그간 적발 못 했거나 은닉한(?) 해킹 사례도 상당수에 달할 것이다.

이번에도 정찰총국 킴수키가 범인?

이들 기관에 대한 공격 배후로는 북한 정찰총국 소속의 사이버공작팀 중 하나인 킴수키(kimsuky)가 지목되고 있다. 위 사건에 사용되었던 악성코드 유형과 IP 중 하나가 킴수키가 과거 해킹했던 공격 패턴과 일치하기 때문이다. 2020년 10월 27일 US-CERT(미국 인터넷침해사고대응센터)에서 킴수키의 활동을 분석하여 발표한 적이 있다. 킴수키는 2010년경부터 청와대, 통일부, 국방부 등 우리 안보부서들을 대상으로도 매년 해킹을 시도해왔다. 2014년 한국수력원자력, 2020년 백신 개발 제약회사 해킹도 그들의 작품이다.

킴수키란 명칭은 2013년 러시아의 사이버보안업체인 ‘카스퍼스키랩(Kaspersky Lab)’이 북한 해킹사건을 추적하면서 이름을 붙인 것이지, 북한 정찰총국 자체에서 명명한 것은 아니다. 세계 사이버보안기관들이 명명한 북한의 해커그룹은 킴수키 외에도 라자루스(Lazarus), 템프허밋(TEMP·Hermit), 히든코브라(Hidden Cobra), APT37, APT38, 천리마, Group123, 니켈 아카데미(Nickel Academy), 리퍼(Reaper), 안다리엘(Andariel) 등 무수히 많다. 이들 해킹그룹은 정확히 말하면 북한 정찰총국 내 사이버공작부서인 ‘기술정찰국’이 운용하는 해킹팀들이다. 기술정찰국에만 30여개에 달하는 해킹팀이 활동하고 있는 것으로 알려져 있다. 실제 이들 팀은 일정 기간 특정한 타깃(Target)을 대상으로 하는 해킹과 금전탈취 등의 작전을 마치면 또 다른 작전에 투입되기 때문에 새로운 조직처럼 보이나 기본적으로 중복된 팀들인 경우가 많다. 북한은 중국 선양, 다롄, 광저우, 베이징, 몽골, 동남아시아 등에 무역회사 등으로 위장한 수십 개의 사이버공작 거점을 두고 해킹 등을 수행하고 있다.

문제는 북한의 해킹이 어제오늘의 일이 아니라는 사실이다. <표>에서 보듯이 북한의 해킹은 불법정보 탈취, 사이버테러에서부터 사이버 도둑질인 금전탈취까지 다양하다. 이 중 2016년 8월 벌어진 국방부 국방통합데이터센터(DIDC) 해킹사건은 충격적이다. 북한은 한국군 사이버망에 침투하기 위해 1년 넘게 작업을 했다.

먼저 2015년 1월 군에 컴퓨터 백신을 납품하는 업체(H사)를 해킹하여 인증서와 백신 소스 코드 등을 파악하고, 2016년 8월 4일 군 인터넷망(외부망)에 처음 침투했다. 원칙적으로 군의 내·외부망은 분리해서 운영하기 때문에 기밀자료가 오가는 국방망(내부망)까지 뚫리진 않는다. 하지만 북한 해커는 우리 군 정보망의 ‘중추신경’ 격인 국방통합데이터센터의 ○○○개 서버 등에서 내·외부망이 연결된 한 곳을 정확히 발견해 국방망에 침투했다.

이렇게 국방망에 침투한 북한 해커는 국방전산망 서버에 연결된 각군 서버와 PC를 휘젓고 다니면서 총 235GB(A4용지 1500만쪽) 분량의 기밀을 탈취해갔다. 유출이 확인된 문서 가운데는 군사 2급 기밀 226건을 비롯해 3급 기밀 42건, 대외비 27건 등 군사기밀로 지정된 자료 295건이 포함돼 있었다. 한·미의 대북 전면전 작전계획인 ‘작계 5015’ 유출도 확인됐다.

이 시점에도 북한은 지속적으로 청와대 안보실, 국정원 고위 관계자, 군장성 등 안보관계자는 물론 정계, 학계, 언론계 등을 대상으로 전방위적인 해킹 공격을 벌여오고 있다. 이번 한국원자력연구원과 한국항공우주산업 해킹도 최소한 10개월 이상 작업을 통해 해킹에 성공한 것으로 보인다.

대만의 사이버보안업체인 인텔리전스가 킴수키의 활동을 추적하다 보니 한국원자력연구원 직원의 계정 정보, 즉 직원의 이름과 이메일 주소, 사내 아이디, 비밀번호, 직책 등의 정보가 탈취된 것으로 나타났다. 북한 해커들은 공격할 기관의 직원들을 대상으로 APT(Advanced Persistent Threat), 즉 지능형 지속공격을 통해 악성코드를 심어 교두보를 확보하고 내부망에 침투하는 것이다. 따라서 관련 부서 직원들의 사이버 보안의식의 제고 없이는 고도화하는 북한의 해킹을 막을 수 없다.

일 평균 150만건의 공격 시도

지금 이 시각에도 북한의 해커들은 평양과 해외거점의 데스크에 앉아 우리의 국가기관망과 공공망을 대상으로 초(秒) 단위의 사이버공격을 전개하고 있다. 실제 북한 및 제3국의 해커들이 한국을 대상으로 해킹을 시도하는 건수는 하루 평균 150만건에 달한다. 1초에 18회 공격이 자행되는 셈이다.

그러나 이 통계에는 민간망에 대한 사이버공격은 포함돼 있지 않다. 민간망에 대한 사이버공격을 탐지할 법적 근거가 없기 때문이다. 최근 세계 주요국에서는 초국가적 사이버안보 위협에 대응해 관련 법제를 정비하고 막대한 예산을 투자하는 등 사이버안보 시스템을 강화하고 있다. 그러나 우리는 정치권(정확히 말하면 현재 여당)의 몰이해로 사이버안보기본법(가칭)조차 제정하지 못하고 있다. 북한은 우리 법제의 허점을 최대한 활용하여 해킹 등 일상적인 사이버 위협을 자행하고 있다. 정부는 해킹 공격을 자행하는 북한에 ‘재발방지, 책임자 처벌, 손실보상’ 등을 요구하고 강력 항의해야 한다. 하지만 무엇이 두려운지 해킹 사실 자체를 쉬쉬하며 침묵하고 있다. 이는 명백한 문재인 정권의 직무유기이다.

키워드

#포커스
유동열 자유민주연구원 원장
저작권자 © 주간조선 무단전재 및 재배포 금지