# 2022년 4월 현역 대위가 SNS로 만난 간첩에 포섭됐다. 그는 가상자산(암호화폐) 4800만원어치를 받고 ‘한국군 합동지휘통제체계(KJCCS)’ 정보를 유출하기 위해 해킹 장비를 부대 내에 반입했다. 국방망은 외부망과 격리된 인트라넷으로 외부에서 해킹을 실행할 수 없다. 때문에 내부 조력자를 통해 해킹에 사용될 장비를 내부망에 설치해야 한다. 북한은 확실한 내부 조력자를 만든 셈이다. 이런 방식에 주로 사용되는 도구는 USB로 아주 오래된 인트라넷 해킹 방법이다. 미국이 이란의 핵시설을 공격할 당시 사용했던 방식도 이와 같다.

대한민국 보안 시스템이 북한의 사이버 공격에 무방비로 노출됐다는 경고는 이미 10년도 전부터 계속 나온 이야기다. 그럼에도 우리의 방어는 크게 변화하지 않았다. 이런 가운데 한국과 북한의 인터넷과 모바일 통신망은 비교 자체가 무의미할 정도로 많은 차이가 나고 있다. 유비쿼터스로 진입하는 한국과 아날로그 시대를 사는 북한은 누가 봐도 비교할 수 없는 정보 시대를 살아가고 있다.

한국은 5G 모바일 통신 시스템을 통해 언제 어디서든 인터넷에 접속해 일을 처리할 수 있는 유비쿼터스 시대로 진입하고 있다. 반면 북한은 기초 네트워크 조차 없다. 정보 취합은 아직도 라디오나 TV, 신문에 의존한다. 이런 정보조차도 강력하게 통제된다. 중앙 정부는 인민을 외부와 차단하고 무조건적인 충성을 강요하기 위한 정도만 전달한다.

‘한국 vs 북한’ 통신망 기술력 차이와 위험한 시나리오

문제는 북한의 상황이 사이버전이라는 새로운 상황에서 한국보다 매우 유리하다는 점이다. 이는 반대로 한국이 북한의 사이버 공격에 매우 취약할 수밖에 없는 아이러니가 발생한다는 말이다.

예를 들어 북한이 한국의 주요 정부 기관을 해킹해 각종 중요 문서를 탈취하고 시스템을 파괴했다고 치자. 동시에 네트워크 안에 악성코드를 몰래 심었다. 이 악성코드를 통해 북한 정찰총국 산하의 전자정찰국 사이버전지도국(121국) 소속 해커들은 한국의 정부 기관을 상시 모니터링하고 중요 정보를 몰래 빼낼 수 있는 기반을 마련하게 된다.

그러던 어느 날 121국 소속 해커들이 평소처럼 한국 정부 기관에 심어놓은 악성코드를 통해 기관 정보를 모니터링하다가 한국과 미국 간 1급 기밀이 담긴 문서를 발견한다. 해당 문서에는 북한과 중국의 무력 증강을 저지하고 북한을 평화의 무대로 나오게 할 특단의 조치가 포함돼 있었다. 이를 발견한 해커는 즉시 상부에 보고했다. 북한의 수뇌부는 한국과 미국이 자신들을 모욕했다고 간주하고 공격을 감행하기로 결론내렸다.

북한의 사이버 선제 공격…혼돈과 공포 최고점 치달아

한국과 북한이 위에서 언급한 일촉즉발의 상황, 즉 북한이 먼저 공격을 감행하는 상황이 된다면 한국은 물리적 전쟁 이전에 엄청난 피해를 볼 가능성이 매우 높다. 북한이 보유한 사이버전 전력 즉, 해커부대가 전면 공격을 감행해 한국의 모든 네트워크 시스템을 마비시키면 한국 사회는 혼돈과 공포로 가득하게 될 것이다.

1차로 교통 네트워크를 마비시켜 국가 혼돈을 유발할 수 있다. 2차는 금융과 통신 네트워크를 마비시켜 은행, 금융사, 기업, 학교, 병원, 공공기관 그리고 정부 주요 기관의 네트워크 작동을 멈추게 할 것이다. 그 결과 발생하는 혼돈과 공포는 최고점을 향해 치닫게 된다. 마지막으로 국가 에너지 기반시설 네트워크까지 파괴되면 한국은 짧은 찰나의 시간에 1960년대나 1970년대 아날로그 시대로 회귀하게 될 것이다.

이것이 사이버 전면전인 ‘파이어세일 공격’ 단계다. 그 이후에는 북한의 물리적 무기가 한국을 공격하면서 그 피해는 더욱 가중된다.

북한의 사이버 공격 그리고 공격

이런 상황이 정말 가능할까? 충분히 가능하다. 2012년 5월 인천국제공항과 김포공항의 GPS 신호가 멈췄다. 북한의 GPS 전파방해가 이유다. 4월 28일 처음 감지됐고 5월 6일까지 이어졌다. 진원지는 개성으로 확인됐다. 이 공격으로 두 공항에서 553대의 항공기와 해상에 있던 수백 척의 선박 GPS에 문제가 생겼다. GPS 신호를 잡지 못하면 항공기, 선박, 어선 등은 정상적인 이착륙과 이동이 불가능하다.

북한의 이런 공격은 이미 오래 전부터 사이버 공격의 형태로 수시로 벌어졌다. 북한은 2012년 이전부터 한국과 미국의 금융기관, 정부와 군 웹사이트를 공격해 기소된 상태다.

북한은 2000년대 초반부터 여러 형태로 사이버 공격을 감행하고 있다. 1990년대 후반부터 준비한 사이버전 전력을 동원해 그 가능성을 시험했다. 2004년부터 본격적으로 사이버 공격을 시작해 한국을 사이버 공격무기의 시험 대상 또는 공격 대상으로 설정했다.

북한은 지금까지 한국 정부와 안보기관, 국책연구소, 무기 연구와 개발을 담당하는 기관과 방위산업 기업을 꾸준히 해킹했다. 이를 통해 각종 중요 정보를 탈취했다. 다만 공격당하고도 이를 모르고 넘어가는 ‘폴스 네거티브 에러(False Negative Error)’ 사례가 훨씬 많을 것이다.

북한은 2006년 1월 한국 국회 서버를 공격해 한국원자력연구원과 안보부처 관계자 이메일 계정 정보를 대량으로 탈취했다. 공격 이후 정부의 해킹 대응팀이 해커의 접근 루트를 역으로 추적했다. 그 결과 해커의 PC에는 한국 공공기관의 문서와 관련자 이메일 정보가 고스란히 정리돼 있었다. 우리 정부는 즉시 관계자 이메일 정보를 교체하고 정보 보관용 PC의 인터넷 접속을 차단했다. 인터넷과 연결된 PC에는 자료를 보관하지 않는 원칙도 수립해 급한 불을 껐다. 또 국회에 제출하는 중요 자료나 서류의 이메일 전송을 원천 차단했다.

우리 정부는 이를 계기로 사이버 위기 대응을 총괄할 법률을 마련했다. 국가정보원, 국방부, 정보통신부 등은 합동으로 사이버 위기 대응 훈련을 시행했다.

고도화되는 북한의 사이버 공격

이 시기까지만 하더라도 북한의 사이버 공격은 이메일 정보를 탈취하는 정도의 아주 낮은 단계 수준이었다. 대응도 훨씬 쉬웠다. 하지만 북한의 사이버 공격 수준은 날로 고도화됐다.

2009년 3월 5일 육군 모 사령부 네트워크에 북한 해커가 침투해 정보를 탈취했다. 이 정보를 기반으로 유해 화학물질 제조업체의 위치와 화학물질 정보를 연쇄 탈취했다. 같은 해 11월에는 한미연합사 장교가 군 인트라넷과 외부 인터넷이 호환되는 컴퓨터에 USB를 꽂고 작업하다 해킹 프로그램에 감염돼 군사 2급 비밀로 분류된 작계 자료를 탈취당했다.

북한은 2009년 7월 7일부터 9일까지 3회에 걸쳐 청와대, 국방부, 백악관, 한미 주요 기관 47곳, 조선일보, 옥션 등 웹사이트에 디도스(DDoS: 대규모 서비스거부) 공격을 감행해 사이트를 마비시키고 정보를 탈취해 갔다. 이 공격으로 363억~544억원 규모의 피해가 발생했다. 또 2011년 3월 4일 청와대, 국가정보원, 네이버 등을 비롯한 40여곳의 웹사이트를 디도스 공격으로 마비시켰다. 같은 해 4월엔 농협 전산망을 해킹해 273대의 서버에 보관 중이던 자료를 삭제해 업무가 20여일간 마비됐다.

2012년 6월 초에는 북한이 자신들의 최고 존엄을 해쳤다는 황당한 이유를 들어 이명박 대통령의 사과를 종용했다. 또 국내 주요 언론사와 방송사를 없애버리겠다고 협박했다. 결국, 6월 9일 중앙일보 웹사이트를 해킹하고 서버를 파괴해 자료를 삭제한 후 홈페이지를 변조했다.

2013년 3월 20일엔 KBS, MBC, YTN 등을 포함한 6개 방송사, 그리고 농협, 신한, 제주은행 등 금융사 네트워크에 악성코드를 삽입해 전산장비 4만8000여대를 파괴했다. 그리고 6월 25일 청와대, 정부 기관, 정당 5개 기관, 언론사 11개사를 공격했다. 2014년 12월엔 고리와 월성 원자력발전소에 침입해 PC를 파괴하고 원전 가동을 중단하라고 협박했다. 2015년엔 서울 메트로, 국방부와 방위산업체를 해킹하는 사이버 공격을 자행했다.

2015년 말까지 이뤄진 북한의 사이버 공격은 이메일로 피싱 메일을 보내고 이것을 열어본 개인을 통해 기관과 기업 네트워크로 진입, 악성코드를 심고 정보를 탈취하고 시스템을 무력화시키는 수법을 사용했다.

북한의 사이버 공격 유형 변화와 인사이트

2016년부터 북한의 사이버 공격의 패턴이 바뀌기 시작했다. 정보를 탈취하고 시스템 마비와 파괴에 초점을 맞춰 공격 능력을 뽐내고 협박하던 것에서 외화벌이를 병행하는 전략으로 전환했다. 한국의 인터넷 쇼핑몰인 인터파크를 해킹해 회원 1000만명의 개인정보를 탈취하고 이것을 빌미로 30억원의 비트코인을 요구하는 행위를 시작으로 국내 보이스피싱 조직을 뒤에서 조종해 금전을 탈취하는 수법까지 자행했다.

이렇게 사이버 공격으로 돈을 털어갈 수 있음을 알아낸 북한은 사이버 공격을 본격적인 돈벌이 수단으로 활용했다. 금융기관과 가상화폐 거래소를 집중 공격해 금전을 탈취하고 적게는 몇 십억원에서, 많게는 몇 백억원을 탈취했다. 도둑으로 변한 것이다.

전쟁의 공격 형태를 띠던 북한의 사이버 공격이 점점 지저분한 은행털이범으로 변화한 이유는 명확하다. 북한은 계속되는 경제제재로 극심한 경제난에 봉착했고 만성 식량난도 겪고 있기 때문이다. 고립이 장기화하면서 새로운 재정 확보를 위해 사이버 공격 기술을 활용하는 것이다.

우리가 절대 간과하면 안 되는 인사이트는 북한과 군사적 비대칭 전력이 ‘핵’에 국한되지 않는 다는 것이다. ‘사이버 전력’이 더욱 무서운 비대칭 전력이 됐다. 북한은 사이버 전력을 금전 탈취에만 집중하지 않고 다양한 방향으로 활용하고 있다. 그 1호 공격 대상은 항상 한국이다.

이점은 반드시 기억해야 한다. 하지만 한국의 대응 전략은 제대로 보이질 않는다. 한국 정부와 군은 북한에 이렇게 계속 당하기만 하다가 언젠가 더욱 큰 화를 당할 수밖에 없다. 이런 비대칭 상황을 극복할 전략적 선택과 방법을 빨리 찾아 실행해야 한다.

※ 외부필자의 원고는 IT조선의 편집 방향과 일치하지 않을 수 있습니다.

권호천 Global ICT Lab 소장은 미국 오하이오대학(Ohio University)에서 경제학 학사와 석사(광고/PR 부전공)를, 뉴욕주립대 버펄로(State University of New York at Buffalo)에서 커뮤니케이션학 박사 학위를 받았다. 고려사이버대학교 융합경영학과 교수로 재직하며 빅데이터와 네트워크 분석 그리고 뉴미디어를 교육하고 연구했다. Global ICT 연구소를 개소해 빅데이터를 포함한 정보통신 기술, 산업, 정책 등의 연구, 자문 업무, 그리고 저술 활동을 진행한다. 한국블록체인협회 자문위원, 한국전기공사협회 남북전기협력추진위원회 자문위원, 국회 산하 사단법인 국방안보포럼 국방 ICT 위원장, 용산학포럼 연구위원, 국회 산하 사단법인 K-정책 플랫폼 신산업 연구위원, 경희대학교 경영대학원 겸임교수, K-안보포럼 방산/전력분과 위원, 국방부 산하 (사)한국방위산업학회 ICT위원장/운영이사 등으로 활동하며 블록체인의 사회 확산과 발전, 남북전기 교류의 발전, 국방산업의 발전, 용산미군기지 이전 후 공원화 사업의 발전, 대한민국 중·장기 신산업정책 제안과 발전 전략 연구, ICT를 접목한 미래 경영전략 교육, 방위산업 선진화 등을 위해 노력한다. 저서로 위기를 기회로 전환할 수 있는 전략 커뮤니케이션 방법을 다룬 ≪크라이시스 커뮤니케이션(Crisis Communication)≫ (새녘출판사), ICT가 적용된 미래 무기체계의 변화와 미래 전쟁을 다룬 ≪ICT가 승패를 좌우한다, 모던 워페어(Modern Warfare)≫ (메디치미디어) 등이 있다.