코로나 틈새, 北이 침투했다...정부, 방산 '서면조사'만 / ‘北주무대’ 중국발 해킹 11배 늘었는데···군 “北공격 0” / 북한 해킹

출처#1. https://n.news.naver.com/article/025/0003117770

출처#2. https://news.joins.com/article/24103957

출처#3. http://weekly.chosun.com/client/news/viw.asp?nNewsNumb=002665100009&ctcd=C02

---

최근 해킹 사태를 겪은 한국항공우주산업(KAI), 대우조선해양 등 방위산업체들을 상대로 정부가 사전에 해킹을 예방하고 진단하기 위해 해왔던 현장 실태조사를 지난해부터 아예 실시하지 않은 것으로 12일 드러났다.
북한 소행으로 추정되는 해킹 사건이 최근 잇따라 발생한 가운데 정부의 안이한 대응이 화를 키웠다는 지적이 나온다.

정부는 지난해부터 방산업체를 대상으로 하는 ‘방산기술보호 실태조사’와 ‘보안감사’를 합쳐 ‘통합실태조사’라는 이름으로 방위사업청이 주관해 1년에 한 차례 점검만 하고 있다. 이 때문에 전문가들 사이에선 “현장 조사가 아닌 서면 조사로 방산업체의 보안 현실을 진단할 수 있는 유일한 기회를 날려버렸다”는 비판이 나온다.

이와 관련, 익명을 요구한 정부 소식통은 “특히 지난해부터 벌어진 대우조선해양 해킹의 경우 만일 제대로 현장 실태조사를 했다면 더 빨리 적발해 조치를 하지 않았겠냐”며 “대응이 느슨해지면서 잠수함 등 군사 전략상 매우 중요한 무기체계 기술이 고스란히 노출된 것”이라고 말했다.

정부 안팎에선 컨트롤타워인 방사청의 전문성과 인력 부족을 보다 근본적인 원인으로 지목한다.
문재인 정부는 옛 기무사령부가 민간인을 사찰했다는 이유로 이를 해체하고 군사안보지원사령부(안보사)를 새로 만들면서 민간업체에 대한 보안 관리·감독 권한을 방사청으로 모두 이관했다. 다만 방사청이 요청할 경우 사이버 보안 전문성을 갖춘 국가정보원과 안보사가 통합실태조사에 참여할 수 있다.

이에 대해 정부 소식통은 “언뜻 보기에 아무런 문제가 없는 것 같지만, 핵심은 국정원과 안보사 입장에선 법적 책임이 사라졌다는 점”이라며 “사람이 하는 일인 이상 조사하는 태도 자체가 달라질 수밖에 없지 않겠느냐”고 반문했다.
방사청 내 실태 조사 담당자는 태부족이다.

현재 실무자는 5명인데 반해 조사 대상 사업장은 133곳(86개 업체)에 달한다.

업무를 맡은 방사청 국방기술보호국이 지난해 조사 전담과 신설과 함께 18명 증원을 요청했지만, “사람이 없다”는 이유로 거부됐다.

---

문재인 정부의 첫 남북 정상회담(2018년 4월 27일) 이후 국가 사이버위기 경보(5단계)가 가장 낮은 단계인 ‘정상’에서 단 한 번도 격상되지 않은 것으로 12일 나타났다. 한국원자력연구원, 대우조선해양, 한국항공우주산업(KAI) 등 핵심 보안시설과 방산업체들이 최근 잇따라 해킹 공격을 당한 현실과는 딴판이다. 

 
이런 가운데 군을 대상으로 한 중국발 해킹 시도가 최근 5년 새 11배 급증했는데도 북한으로 추정되는 공격은 지난해부터 단 한건도 없었다고 국회에 보고해 논란이 일고 있다. 일각에선 “정부나 군이 남북 관계를 의식해 북한의 사이버 위협을 의도적으로 축소하는 것 아니냐”는 우려마저 나온다.
 
국가정보원이 발령하는 사이버위기 경보는 노무현 정부 시절인 지난 2005년(당시 4단계) 도입했다. 이후 역대 정부는 사이버 침해 사고가 발생하거나 예상될 때면 수시로 경보 수위를 올렸다. 특히 핵실험 등 북한의 도발 징후가 포착되거나 한ㆍ미 연합훈련 등을 전후해선 3단계에 해당하는 ‘주의’로 상향했다. 
직전 대통령선거(2017년 5월 9일)를 하루 앞두고도 “사이버 공격 발생 가능성에 대비한다”며 경보 단계를 ‘주의’로 올렸다. 하지만 정부는 판문점 남북정상회담을 한달여 앞둔 지난 2018년 3월 20일 경보를 가장 낮은 단계인 ‘정상’으로 낮췄다. 이후 12일 현재까지 단 한 번도 경보 단계는 바뀐 적이 없다.

하지만 그사이 해킹 사건이 없었던 건 아니다. 특히 북한군 정찰총국 산하 해커의 소행으로 추정되는 심각한 해킹 사건이 최근 잇따라 일어나면서 “무늬만 위기 경보”라는 비판이 나온다.   
익명을 요구한 보안업계 관계자는 “원전 연구 핵심 기관은 물론 수십조원의 국가 예산을 들여 잠수함과 전투기를 개발하는 업체들이 털렸는데도 위기 상황이 아니라면 도대체 어떤 게 위기 상황이냐”며 “해외에서도 들여다보는 우리의 사이버 위기 인식 수준을 가늠하는 지표가 이런 상태면 정말 문제”라고 말했다. 
 전문가들도 정부의 ‘사이버 안보 불감증’을 지적하고 있다. 손영동 한양대 융합국방학과 초빙교수는 “북한은 이번 KAI 해킹 사례처럼 보안을 위해 설치한 가상사설망(VPN)을 뚫고 침투하는 등 공격을 강화하고 있다”며 “정부의 대응이 정상적이라고 보기 어렵다”고 진단했다.  
북한의 사이버 공격에 대한 군 당국의 판단도 논란이다. 국방부가 한기호 국민의힘 의원에게 제출한 자료에 따르면 군을 노린 해킹 시도는 3986건(2017년)→5444건(2018년)→9121건(2019년)→1만2696건(2020년) 등으로 해마다 늘고 있다. 올해 들어서도 상반기에만 6139건이 적발됐다.

그런데 이 가운데 북한 추정 세력의 공격은 2019년 1건을 끝으로 자취를 감췄다. 특히 같은 기간 IP 발신지가 중국으로 확인되는 해킹 시도가 크게 늘었다. 중국발 사이버 공격은 1051개(2017년)→5048개(2018년)→1만655개(2019년)→1만897개(2020년) 등으로 급증세이고, 올해는 상반기(1만1228개)에만 지난해 수준을 뛰어넘었다.
 이와 관련, 보안업계 관계자는 “북한 정찰총국 해커들의 주 무대가 중국이란 건 널리 알려진 사실”이라며 “공격 주체를 특정하지 못했다고 해서 북한 소행이 아니라고 단정할 수 없다”고 말했다.

---

지난 5월 14일 한국원자력연구원(KAERI) 내부 서버에 인가받지 않은 외부인이 접속하여 휘젓고 다녔다. 이 사실을 파악한 것은 5월 29일이었다. 원자력연구원은 원전시장에서 가장 선진적인 이른바 한국표준형원전의 원천기술을 가지고 있는 세계 최고의 원자력 관련 기관이다. 그럼에도 어떤 자료가 얼마나 해킹당했는지 파악도 못 하고 아직 조사 중이다. 상당한 핵심 원전기술이 빠져나갔을 것으로 추정된다. 원자력연구원은 지난 6월 초 언론사들의 취재가 시작되자 처음에는 해킹 사실을 부인하며 쉬쉬하다 6월 17일 결국 인정했다.   
   원자력연구원의 행태에 대해 비판적 여론이 거세지자, 6월 21일 방위사업청은 자진해서 대우조선해양 등 다른 방위산업체에서도 해킹 시도가 있었다고 밝혔다. 6월 30일에는 한국항공우주산업(KAI)도 전산시스템이 해킹당한 것으로 확인되었다. KAI는 한국형 전투기(KF-X) 시리즈를 생산하고 있는데 최신 국산전투기인 KF-21(보라매)뿐만 아니라 FA-50 경공격기, 무인기, 헬기, 레이더 등의 첨단기술 자료도 통째로 탈취됐을 가능성이 농후하다. 그간 적발 못 했거나 은닉한(?) 해킹 사례도 상당수에 달할 것이다.   

이들 기관에 대한 공격 배후로는 북한 정찰총국 소속의 사이버공작팀 중 하나인 킴수키(kimsuky)가 지목되고 있다. 위 사건에 사용되었던 악성코드 유형과 IP 중 하나가 킴수키가 과거 해킹했던 공격 패턴과 일치하기 때문이다. 2020년 10월 27일 US-CERT(미국 인터넷침해사고대응센터)에서 킴수키의 활동을 분석하여 발표한 적이 있다. 킴수키는 2010년경부터 청와대, 통일부, 국방부 등 우리 안보부서들을 대상으로도 매년 해킹을 시도해왔다. 2014년 한국수력원자력, 2020년 백신 개발 제약회사 해킹도 그들의 작품이다.   
   킴수키란 명칭은 2013년 러시아의 사이버보안업체인 ‘카스퍼스키랩(Kaspersky Lab)’이 북한 해킹사건을 추적하면서 이름을 붙인 것이지, 북한 정찰총국 자체에서 명명한 것은 아니다.

세계 사이버보안기관들이 명명한 북한의 해커그룹은 킴수키 외에도 라자루스(Lazarus), 템프허밋(TEMP·Hermit), 히든코브라(Hidden Cobra), APT37, APT38, 천리마, Group123, 니켈 아카데미(Nickel Academy), 리퍼(Reaper), 안다리엘(Andariel) 등 무수히 많다. 이들 해킹그룹은 정확히 말하면 북한 정찰총국 내 사이버공작부서인 ‘기술정찰국’이 운용하는 해킹팀들이다. 기술정찰국에만 30여개에 달하는 해킹팀이 활동하고 있는 것으로 알려져 있다. 실제 이들 팀은 일정 기간 특정한 타깃(Target)을 대상으로 하는 해킹과 금전탈취 등의 작전을 마치면 또 다른 작전에 투입되기 때문에 새로운 조직처럼 보이나 기본적으로 중복된 팀들인 경우가 많다. 북한은 중국 선양, 다롄, 광저우, 베이징, 몽골, 동남아시아 등에 무역회사 등으로 위장한 수십 개의 사이버공작 거점을 두고 해킹 등을 수행하고 있다.
   
   문제는 북한의 해킹이 어제오늘의 일이 아니라는 사실이다. ＜표＞에서 보듯이 북한의 해킹은 불법정보 탈취, 사이버테러에서부터 사이버 도둑질인 금전탈취까지 다양하다. 이 중 2016년 8월 벌어진 국방부 국방통합데이터센터(DIDC) 해킹사건은 충격적이다. 북한은 한국군 사이버망에 침투하기 위해 1년 넘게 작업을 했다.   
   먼저 2015년 1월 군에 컴퓨터 백신을 납품하는 업체(H사)를 해킹하여 인증서와 백신 소스 코드 등을 파악하고, 2016년 8월 4일 군 인터넷망(외부망)에 처음 침투했다. 원칙적으로 군의 내·외부망은 분리해서 운영하기 때문에 기밀자료가 오가는 국방망(내부망)까지 뚫리진 않는다. 하지만 북한 해커는 우리 군 정보망의 ‘중추신경’ 격인 국방통합데이터센터의 ○○○개 서버 등에서 내·외부망이 연결된 한 곳을 정확히 발견해 국방망에 침투했다.   
   이렇게 국방망에 침투한 북한 해커는 국방전산망 서버에 연결된 각군 서버와 PC를 휘젓고 다니면서 총 235GB(A4용지 1500만쪽) 분량의 기밀을 탈취해갔다. 유출이 확인된 문서 가운데는 군사 2급 기밀 226건을 비롯해 3급 기밀 42건, 대외비 27건 등 군사기밀로 지정된 자료 295건이 포함돼 있었다. 한·미의 대북 전면전 작전계획인 ‘작계 5015’ 유출도 확인됐다.   
   이 시점에도 북한은 지속적으로 청와대 안보실, 국정원 고위 관계자, 군장성 등 안보관계자는 물론 정계, 학계, 언론계 등을 대상으로 전방위적인 해킹 공격을 벌여오고 있다. 이번 한국원자력연구원과 한국항공우주산업 해킹도 최소한 10개월 이상 작업을 통해 해킹에 성공한 것으로 보인다.   
   대만의 사이버보안업체인 인텔리전스가 킴수키의 활동을 추적하다 보니 한국원자력연구원 직원의 계정 정보, 즉 직원의 이름과 이메일 주소, 사내 아이디, 비밀번호, 직책 등의 정보가 탈취된 것으로 나타났다. 북한 해커들은 공격할 기관의 직원들을 대상으로 APT(Advanced Persistent Threat), 즉 지능형 지속공격을 통해 악성코드를 심어 교두보를 확보하고 내부망에 침투하는 것이다. 따라서 관련 부서 직원들의 사이버 보안의식의 제고 없이는 고도화하는 북한의 해킹을 막을 수 없다.
   지금 이 시각에도 북한의 해커들은 평양과 해외거점의 데스크에 앉아 우리의 국가기관망과 공공망을 대상으로 초(秒) 단위의 사이버공격을 전개하고 있다. 실제 북한 및 제3국의 해커들이 한국을 대상으로 해킹을 시도하는 건수는 하루 평균 150만건에 달한다. 1초에 18회 공격이 자행되는 셈이다.
   그러나 이 통계에는 민간망에 대한 사이버공격은 포함돼 있지 않다. 민간망에 대한 사이버공격을 탐지할 법적 근거가 없기 때문이다. 최근 세계 주요국에서는 초국가적 사이버안보 위협에 대응해 관련 법제를 정비하고 막대한 예산을 투자하는 등 사이버안보 시스템을 강화하고 있다.