⊙ 北 ‘변종 스턱스넷’으로 전력·철도·공항 공격 후 지상군 투입 가능
⊙ 보안 전문가들 “‘디도스(DDoS)’는 초보적 공격 방식… 제어시스템 악성코드 공격에 대비해야”
⊙ 美 백악관 테러담당 보좌관 “사이버공격 활용 예상 국가 1위는 북한, 2위는 중국”
⊙ 美·中 중심으로 첨단 사이버戰 경쟁 가속화, 한국軍은 보안 취약한 불법 소프트웨어 사용
⊙ 국방부 “침해사고대응팀 24시간 운영, 北 사이버 공격 원천봉쇄 中”
⊙ 보안 전문가들 “‘디도스(DDoS)’는 초보적 공격 방식… 제어시스템 악성코드 공격에 대비해야”
⊙ 美 백악관 테러담당 보좌관 “사이버공격 활용 예상 국가 1위는 북한, 2위는 중국”
⊙ 美·中 중심으로 첨단 사이버戰 경쟁 가속화, 한국軍은 보안 취약한 불법 소프트웨어 사용
⊙ 국방부 “침해사고대응팀 24시간 운영, 北 사이버 공격 원천봉쇄 中”
2011년 ○월 ○일 저녁 7시, 중국 선양(瀋陽) 시타(西塔) 거리에 위치한 구식 빌딩 606호. 컴퓨터로 꽉 들어찬 방 안에 10여 명의 직원이 모니터를 주시하고 있다. 화면엔 한국전력과 코레일 등 한국 주요 기간산업 기관의 위성지도와 해당 기관 내부망의 트래픽(데이터 흐름) 현황을 보여주는 그래프로 가득하다. 담배를 빼어 문 한 조선족 사내가 “일반 휴대전화는 감청 위험이 있다”고 혼잣말을 하고선 인터넷 전화 ‘스카이프’로 전화를 걸었다. 신호가 멈추자 남자의 입에서 옌볜 사투리가 나왔다.
“지령 완료. 잔금 입금 바랍네다.”
상대는 대답 없이 전화를 끊었다.
“됐어. 우린 남조선 소주나 한잔 하러 가자고.”
남자와 직원들은 한국인이 운영하는 건물 앞 한식당으로 향했다. 늘 겪는 일상이다. 그들은 자신들의 손끝에서 무슨 일이 일어나게 될 줄을 전혀 몰랐다. 북한 보위부 요원에게 고액의 선금을 받아 진행된 이 프로젝트는 생각보다 쉽게 끝났다. 지난 두 달 동안 한국 주요기관 전산 기술자와 협력업체 직원들을 대상으로 집중 유포한 수천 개의 USB 메모리에 포함된 악성코드가 예상보다 훨씬 많은 곳에서 활동을 시작했다.
北 사이버공격 한 방에 南 기반 시설 초토화 가능
밤 9시 정각. 대한민국 부산 기장군 고리 원자력발전소 종합통제실 모니터에 이상한 기류가 포착됐다. 예정에 따라 운영돼야 할 제어시스템에 사소한 문제가 생긴 듯했다. 당직 직원은 크게 신경 쓰지 않고 다음날 제출할 보고서 작성에 열중했다. 아무도 몰랐지만, 이미 발전소 제어시스템은 전쟁에 돌입했고, 장렬히 전사한 후였다.
악성코드에 감염된 통합 관리 소프트웨어 ‘STEP7’은 발전소 제어기기인 ‘PLC’를 공격 완료했다. 원자력발전소 시스템이 어느새 미리 심어놓은 악성코드의 지시대로 작동하기 시작했다. 변종(變種) 스턱스넷(Stuxnet·제어시스템 악성코드)은 발전소를 완전히 적(敵)의 수중에서 놀아나게 했다.
같은 시간, 한국전력도 이 변종 스턱스넷의 공격을 당했다. 국가 핵심 기관과 군 시설이 밀집한 서울 종로구·중구 일대와 용산구 미군 부대 인근의 전력이 차단됐다. 전국 각 지역의 발전소 상태가 불안정해지면서 송전이 중지됐지만, ‘단순 정전’인 줄로만 아는 시민들은 크게 개의치 않았다.
인천국제공항은 관제시스템의 오작동으로 항공기 운항이 전면 중단됐다. 코레일의 KTX 운행시스템과 서울메트로의 지하철 통제시스템이 마비돼 여기저기서 철도사고가 발생했다. 전력, 철도, 공항. 국가 기반시설이 초토화되는 데 15분이면 충분했다.
철벽 방어막을 자랑했던 한국군 내부망은 패닉 상태가 됐다. 최첨단 군 지휘통신체계 ‘C4I(Command and Control, Communication, Computer, Intelligence)’가 무력화되면서 미군과의 공조시스템에 심각한 위험이 발생했다. 일선 부대의 컴퓨터들이 일제히 셧다운(shutdown·작동중지)됐다.
군 통제시스템 장애는 합동참모본부와 각 군 사령부의 네트워크 마비로 이어졌다. 군은 사이버사령부를 연초에 창설했지만, 대규모 사이버공격을 막기엔 역부족이다. 군 지휘부와 전방 부대의 전산망이 서로 엇박자를 냈다. 손발은 멀쩡하지만, 뇌와 신경이 마비된 몸은 더 이상 싸울 능력을 상실했다.
밤 11시, 한국의 기간시설과 군 전산망이 마비된 가운데, 서해 5도와 경기도 전방 부대 초소에서 긴급 무전 보고가 올라왔다. 북한 해안포 부대와 육군 포병부대의 움직임이 심상치 않다는 보고다. 한 시간 후인 12시 정각, 전방 곳곳에서 북한군의 도발이 시작됐다. ‘첨단’ 무기체계와 한미(韓美) 동맹이 있어 문제없다던 우리 국방시스템은 북한의 사이버공격 한 방에 초토화됐다.
러시아, 사이버공격 후 그루지야 침공
SF영화의 한 장면이 아니다. 육·해·공·우주에 이은 ‘제5의 전장(戰場)’인 사이버 전쟁을 묘사한 가상 시나리오다. <월간조선>이 관련 분야 전문가들의 의견과 자료를 종합해 만든 이 시나리오는 2011년 당장에라도 충분히 실현될 수 있는 ‘실체적 위협’이 되고 있다.
미국은 2010년 초 4개년 국방검토보고서(QDR)에서 사이버 공간을 전장으로 추가했다. 공군 우주사령부는 같은 해 6월 사이버전(戰)을 정식 교과로 채택, 사이버 작전장교 400명을 양성하겠다는 목표로 세웠다. 미(美) 해군사관학교는 1억 달러를 들여 사이버전 교육센터 건설을 추진하고 있다. 영국은 감청기구인 국가통신본부(GCHQ)에 사이버작전센터를 설립했다.
2007년 에스토니아 기간전산망이 디도스 공격으로 마비됐다. 공격원은 러시아 보안기관인 연방정부 통신정보기구로 추정된다. 2008년 그루지야의 컴퓨터 통신망은 러시아의 집중 공격을 받았다. 정부와 금융기관 접속이 차단됐고, 정부기관 홈페이지가 해킹당했다. 군 정보시스템의 오작동으로 군사작전이 지연됐다. 러시아는 사이버공격과 지상군을 동시에 투입해 쉽게 전쟁을 끝냈다.
사이버전쟁이라 하면 흔히 ‘디도스(DDoS·분산서비스거부) 공격’부터 떠올린다. 웹사이트 서버에 트래픽(traffic)을 유발해 과부하가 걸리게 하는 이 공격은 이미 초보 해커들도 충분히 실행할 수 있을 정도의 ‘구식 공격’이 됐다. 2009년 7·7 디도스 공격으로 한국은 청와대 등 주요 사이트가 순식간에 초토화됐다. 중국을 경유한 북한의 공격으로 추정되며, 한국의 사이버대응 수준을 여실히 보여준 사례가 됐다.
‘스턱스넷(Stuxnet)’의 등장은 원자력발전소 등 기간시설의 제어시스템이 얼마나 쉽게 뚫릴 수 있느냐를 보여준 최초의 사례가 됐다. 스턱스넷은 독일의 제어시스템 전문 개발사 지멘스(Siemens)의 운용시스템 ‘WinCC’를 대상으로 공격하는 악성프로그램이다.
강력한 파괴력 지닌 ‘스턱스넷’
2010년 7월 14일 스턱스넷이 처음 발견되자 마이크로소프트(MS)는 곧바로(16일) 임시조치를 발표했고, 8월 2일 운영체제(OS)인 윈도(Windows) 긴급보안 업데이트를 실시했다.
9월 17일 지멘스는 전 세계 15개 산업시스템이 감염됐다는 사실을 공개했다. 스턱스넷에 감염된 이란 부셰르 원자력발전소는 현재까지 복구하지 못한 상태다. 이란 정부는 스턱스넷을 ‘이란을 대상으로 한 사이버테러’로 규정했다.
2010년 9월 29일 중국 신화통신은 “중국의 1000여 개 산업시스템과 개인 PC 600만 대가 스턱스넷에 감염됐다”고 보도했다.
다수의 보안 전문가는 북한과 알 카에다 등 국제적 위험국가나 조직들이 스턱스넷과 앞으로 생겨날 ‘변종 스턱스넷’을 상대 국가의 기간산업을 파괴하고 무력화시키는 공격수단으로 활용할 가능성이 크다고 분석했다.
스턱스넷이 유포되는 경로는 다양하다. 가장 쉬운 경로는 USB를 통한 침투다. 원자력발전소 등 기간산업 시스템은 대부분 인터넷과 접속이 안되는 자체망을 사용한다. 외부망과의 접속이 원천적으로 봉쇄돼 있기 때문에 관계자들은 쉽게 안심하고 있지만, 오히려 이를 역이용해 접근하는 방식이 성공하고 있다. 보안 전문가의 설명이다.
“따로 출입할 필요도 없습니다. 모든 시설은 협력업체가 있기 마련입니다. 기관시스템에 접근이 가능한 직원이 다니는 동선에 USB를 던져놓는 겁니다. 모든 사람은 호기심이 있거든요. 집에 와서 USB를 꽂는 순간 PC가 감염됩니다. 그러면 그 USB는 역할을 다한 거죠.”
직원은 별생각 없이 집에서 작업하던 보고서 파일을 자신의 개인 USB에 담아 회사에 가져간다. 개인 PC가 스턱스넷에 감염됐지만, 이를 알 방법이 없다. 시설에선 보안 규정상 USB를 사용할 수 없지만, 편법적으로 이용할 수 있는 길은 많다. 정식 절차대로 업무를 수행하는 것이 귀찮은 이들은 USB를 내부망에 연결된 PC에 꽂고, 그 순간 스턱스넷은 제어시스템까지 침투해 미리 입력된 공격 날짜를 기다리며 잠복한다.
스턱스넷이 누구의 손에서 개발됐는지는 불분명하다. 하지만 첫 공격을 당한 이란 등 세계 각국은 이스라엘 사이버전 특수부대에 의해 개발됐다고 추정하고 있다. 현재 스턱스넷은 대부분 국가에서 퇴치된 상태다. 마이크로소프트의 윈도 보안 패치와 악성 소프트웨어 제거 도구를 설치하고 지멘스의 ‘WinCC’ 프로그램을 업데이트하면 큰 위협은 제거된다.
거기에 안티바이러스 프로그램으로 검사까지 완료하면 스턱스넷은 더 이상 큰 문제가 되지 않는다.
문제는 ‘제2의 스턱스넷’이다. 올해 ‘대히트’를 친, 이 새로운 개념의 악성프로그램은 전 세계 해커들의 개발 본능을 자극한 것이 분명하다. 한 보안 전문가는 “이미 수백 가지의 변종 스턱스넷이 세계 곳곳에서 개발되고 있을 것”이라고 확신했다.
리처드 클라크(Clarke) 전(前) 백악관 테러담당 보좌관은 자신의 최근 저서 <사이버전쟁(Cyber war)>에서 “사이버 전쟁이 발발할 경우 15분 이내에 재앙적 결과를 초래할 것”이라며 사이버공격을 활용할 나라로 북한과 중국을 꼽았다. 적은 비용과 인력으로 상대국에 심각한 타격을 입힐 수 있다는 점에서 큰 매력을 가진 공격 수단이라는 것이다. 공격 대상은 무궁무진하고, 실패해도 크게 잃을 것이 없다.
중국인 해커 조직은 국제적으로 악명이 높다. 일명 ‘사이버 조폭’으로 불리는 이들은 의뢰인에게 돈을 받고 세계 각국을 상대로 무차별 해킹을 시도하고 있다. 2007년 영국 정보 당국은 300개 대기업에 “중국 기관의 해킹 시도가 있으니 주의하라”고 했고, 같은 해 5월 앙겔라 메르켈 독일 총리의 사무실 컴퓨터가 중국에서 시도한 것으로 추정되는 해킹 공격을 당했다.
사이버 조폭 “원하는 만큼 마비시켜 주겠다”
<월간조선>의 취재 결과 최근 한 정부 산하 기관이 국내 보안업체를 통해 ‘사이버 조폭’에게 직접 해킹을 의뢰했다는 사실이 밝혀졌다. 그들의 해킹 능력과 가능성을 테스트하기 위한 목적이었는데, 중국인들은 해킹 대상과 난이도보다는 얼마의 돈을 지불할 건지에 더 큰 관심을 보였다. 거래 담당자는 이렇게 설명했다고 한다.
“어떤 곳이든, 어떤 조직이든 정확한 피해 규모만 말하라. 원하는 만큼 해킹해서 시스템을 마비시켜 주겠다.”
이들이 내놓은 실적과 그 자신감에 정부와 업체 관계자는 혀를 내둘렀다고 한다.
한국은 사이버공격 용의자 1·2순위를 모두 상대해야 한다. 북한이 중국의 해커 자원을 이용해 본격적으로 시스템 공격을 해올 경우 속수무책으로 당할 수밖에 없는 상황이다.
2010년 10월 21일 북한의 여성 공작원 김모(36)는 채팅을 통해 만난 서울메트로 간부직원을 유혹, 종합관제소 컴퓨터에 저장된 종합사령실 비상연락망과 승무원 근무표 등 대외비 문건을 빼냈다. 한 보안 전문가는 “스턱스넷과 비슷한 공격 프로그램을 만들기 위해 기간산업의 내부 정보가 많이 필요하다”며 “북한이 남한의 기간산업 시스템을 사이버공격하기 위한 작전에 들어갔음을 보여주는 사례”라고 분석했다.
연평도 다음 도발은 사이버戰?
중국발 사이버공격 빈도는 2010년 11월 최고치를 기록했다. 한국인터넷진흥원(KISA)이 집계한 유해 트래픽 분석에 따르면, 해외 IP에 의한 사이버공격 671만여 건 중 89.2%가 중국에서 발생했다.
정부통합전산센터는 2010년 10월까지 총 2만8000여 건의 침입 시도가 있었고, 중국이 가장 높은 비율(11월 기준 69.4%)을 기록했다고 밝혔다. 보안 및 안보 전문가들은 중국발(發) 공격 중 상당비율이 북한과 연계됐을 것이라고 주장했다.
북한의 사이버공격은 예측이 아닌 실제상황이다. 2009년 7월 디도스 공격 직후 정보 당국은 북한이 이미 인터넷을 매개로 대남·대미 첩보를 수집하고 전산망을 교란하는 사이버전 전담부대인 ‘기술 정찰조’를 운용하고 있다고 밝혔다. <동아일보>에 따르면 인민군 총참모부 정찰국 소속의 이 부대에는 평양의 지휘자동화 대학 졸업생 출신 100여 명이 활동 중이다. 북한군은 과거에 유사시 증원되는 미군 전력에 대한 정보수집, 미군 인터넷과 첨단 전술지휘자동화(C4I) 체계 교란을 위한 자료 축적에 관심을 가지다 최근 사이버 전쟁 수행과 군 정보화 체계 확립에 주력하고 있다.
사이버 안보시스템 관련 군 자문을 하는 한 보안 전문가는 “세계 각국은 이미 사이버전쟁에 돌입했는데 한국은 여전히 말로만 사이버 안보를 외치고 있다”면서 이렇게 토로했다.
“최근 연평도 포격 이후 국가의 모든 관심이 서해 5도와 휴전선 접경의 방위 체계에 쏠려 있습니다. 북한의 다음 도발이 사이버공격이 된다면 어떻게 될까요. 말로는 첨단 사이버 부대를 창설해 적의 공격을 막는다고 하지만, 실제 공격이 시작될 경우 효과적으로 방어할 수 있을지 의문입니다.”
남북(南北) 사이버 전쟁이 발발하면 한국이 절대적으로 불리하다. 인터넷망과 컴퓨터 보급이 제대로 이뤄지지 않은 북한과 달리, 한국은 세계 최고 수준의 인터넷 보급률을 갖고 있어 다양한 루트로 침투가 가능하다. 북한이 중국의 인터넷망을 경유해 공격을 해올 경우, 사이버공격의 특성상 그 진원지를 파악하기 쉽지 않다. 중국의 수많은 ‘사이버 조폭’과 연계할 수 있다는 것도 북한에 큰 장점이다.
전문가들이 지적한 우리 군의 보안 취약 요소는 ▲이동매체를 통한 내부정보유출 ▲군 내부 소프트웨어 개발환경 취약성 ▲군 내부 불법 소프트웨어 사용에 따른 취약성 등이다. 현재 군은 USB 사용을 철저하게 통제하고 있다고 주장하지만, 안전모드로 부팅하거나 USB 통제시스템을 우회하는 등 여러 경로를 통해 권한을 해제할 수 있다.
‘보안 취약’ 불법 SW 사용하는 국방부
또 군 주요 시스템을 외부용역 또는 내부인력이 개발하는 것도 큰 취약 요인이다. 보안을 고려하지 않은 시스템 개발로 북한이나 해외조직의 해킹 공격에 쉽게 뚫릴 수 있다.
불법 소프트웨어 사용은 예상치 못한 복병이다. 현재 군은 OEM(주문자 상표 부착) 방식으로 PC를 구매해 윈도 등 운영체제(OS)를 설치하고 있는데, 고급 버전으로 업그레이드하기 위해 불법 소프트웨어를 설치하고 있다. 업데이트가 제대로 되지 않는 OS는 해킹과 악성코드 공격에 상당히 취약하다.
신종 악성코드가 출현하면 곧바로 이를 방어하는 패치가 나오는데, 불법 소프트웨어를 사용하는 이들은 패치 업데이트를 제대로 하지 않는다. 한 연구 조사에 따르면, 패치를 적용하지 않은 컴퓨터를 인터넷에 연결할 경우, 1주일 동안 4만6255회 스캔돼 4892회 공격을 받았다. 18분 만에 악성코드에 감염됐고, 1시간 후엔 악성코드를 스스로 유포하는 ‘좀비PC’가 됐다. 한 군사보안 전문가의 설명이다.
“2010년 상반기에만 109건의 2급 군사기밀이 인터넷을 통해 유출됐다는 사실이 지난 국정감사 당시 밝혀졌습니다. 3급 기밀은 75건, 대외비 문건은 65건, 훈련 비밀자료는 1467건이 같은 기간 유출됐죠. 2010년 말 1년치 통계가 나오면 더 심각할 겁니다. 그런데 군 당국은 ‘외부망과 철저하게 분리됐기 때문에 안전하다’며 사이버 안보 불감증을 여실히 보여주고 있습니다.”
<월간조선>이 관계기관으로부터 입수한 선진 우방국과 마이크로소프트가 체결한 소프트웨어 판매현황에 따르면, 한국의 소프트웨어 구매금액은 비슷한 규모의 국방예산을 가진 다른 국가의 10분의 1 수준이다. 국방예산으로 43조원을 쓰는 A국은 2009년 현재 약 18만 대의 PC를 보유하고 있으며, 마이크로소프트 소프트웨어를 약 800억원어치 구매했다. PC 1대당 44만원어치의 소프트웨어를 구매한 셈이다.
다른 국가의 국방예산, PC 대수, 마이크로소프트 소프트웨어 구매금액, PC 1대당 구매금액 통계를 보면, ▲B국: 30조원 / 11만대 / 750억원 / 68만원 ▲C국: 약 16조원 / 7만대 / 280억원 / 40만원 ▲D국: 9조원 / 4만대 / 120억원 / 30만원 수준이다.
약 30조원의 국방예산을 쓰는 한국은 현재 총 20만여 대의 PC를 보유한 것으로 추정되는데 2009년 총 14억원어치의 마이크로소프트 소프트웨어를 구매했다. 1대당 7000원이다. 한국마이크로소프트 측은 관련 자료에 대해 “해외 영업 기밀과 국내 안보와 관련한 사항이라 확인해줄 수 없다”는 입장을 밝혀 왔다.
자료를 제공한 보안 관계자는 “윈도와 오피스 등 국내 대다수 컴퓨터에 설치된 마이크로소프트의 제품을 기준으로 통계를 냈기 때문에, 사실상 전체 소프트웨어 구매 수준을 보여주는 사례”라고 분석했다. 또 “특히 컴퓨터 시스템을 운영하는 윈도는 보안의 핵심 요소”라며 “군에서 정식 판매되지 않은 윈도를 쓴다는 것은 사실상 적에게 사이버공격을 할 장터를 만들어 준 것과 마찬가지”라고 강조했다.
국방부 “불법 소프트웨어 사용사례 없다”
2010년 10월 국회 국방위원회 김학송(金鶴松) 의원이 국방부와 관련 업계로부터 제출받은 자료에 따르면 우리 군은 약 20만 대의 PC를 보유하고 있으며, 소프트웨어 구매 비용으로 2009년 약 39억원을 사용했다. PC 1대당 1만9500원을 사용한 셈인데, 이는 국내 전체 공공기관 평균(1대당 5만원)의 39%에 불과한 수준이다.
불법 소프트웨어 이용자들은 업데이트를 제대로 하지 않는 경우가 많다. 간단한 해킹 프로그램으로 내부 핵심정보 열람이 가능해지고, 악성코드를 이용하면 전체 네트워크를 마비시킬 수도 있다. 군 내부 시스템은 외부와 완전히 분리된 독립망을 사용하고 있지만, USB 등을 통한 침투가 얼마든지 가능하기 때문에 전격적인 사이버 안보 체제가 필요하다는 분석이 제기된다.
2010년 6월 8일 열린 ‘국방정보보호 콘퍼런스’에 참석한 김태영(金泰榮) 당시 국방장관은 “사이버 공간에서 발생하는 위협은 공격기법의 다양성과 신속성, 그리고 전문성으로 인해 어느 한 부서나 개인이 단독으로 대처하기엔 한계가 있다”며 “관계부서 간 긴밀한 협력을 통한 체계적인 대응체계 구축과 전문인력 양성이 필수적”이라고 밝힌 바 있다.
이후 6개월이 흘렀지만, 국방부의 가시적인 대응책은 나오지 않고 있다. 보안 전문가들은 “군 지휘부가 말은 그럴듯하게 하지만, 대부분 컴퓨터와 인터넷에 익숙하지 못한 세대라 위협의 실체를 제대로 인식하지 못하고 있다”고 지적했다.
국방부는 이러한 지적에 대해 “현재 국방망은 인터넷과 물리적으로 분리 운용돼 외부침입을 원천 차단하고 있다”면서 “보안 관제체계, 바이러스 방역체계, 디도스 방지체계 등 정보보호체계를 구축해 침해사고 예방 및 정보유출을 방지하고 있다”고 밝혔다. 또 “국방사이버지휘 통제센터 및 군단급 이상 부대에 국방침해사고 대응팀을 운영, 24시간 감시 및 대응태세를 유지하고 있다”고 덧붙였다.
불법 소프트웨어 사용실태에 대해선 “2009년 기준 국방부 상용소프트웨어 구매 예산은 총 66억원으로, PC 1대당 3만3000원 수준”이라며 “2010년 4월과 11월 전군에 대한 정품 소프트웨어 사용실태를 두 차례 점검한 결과 불법 소프트웨어 사용 사례는 없었다”고 밝혔다.
USB를 통한 악성코드 유입 가능성과 관련, 국방부는 “2010년 4월부터 일반 업무용 USB 사용을 금지했으며, 7월부터 보안성이 확보된 자료교환 체계를 구축했다”며 “윈도 등 운영체제도 패치 관리시스템(PMS)을 통해 모든 PC를 대상으로 최신 보안패치를 실시하고 있다”고 밝혔다.
또 “주요 정보체계에 대한 해킹코드 및 소스코드 취약점 검증 및 제거를 위해 기무사를 통해 개발단계에서부터 사전 보안측정을 실시하고 운용과정에서 정기적인 취약점을 분석하고 있으며, 국정원 등 유관기관과 공조해 소스코드 취약점에 대한 정보를 공유하고 있다”고 했다.
스턱스넷 등 악성코드 공격 가능성에 대해선 “민간 전문 보안업체와 연간 사용권 계약을 통한 바이러스 방역체계를 구축해 전군 PC를 대상으로 실시간 방역을 실시하고 있다”면서 “국정원과 방통위 등 국가사이버 위기대응체계와 연계해 국방사이버 지휘통제센터와 각군 침해사고대응반(CERT)을 24시간 운영하고 있다”고 밝혔다.⊙
[인터뷰] 林鍾仁 고려대 정보보호대학원장
“사이버戰 대비한 1만명 규모 사이버사령부 창설해야”
임종인(林鍾仁) 고려대 정보보호대학원장은 “현재 대한민국은 사이버 안보 총 비상에 걸렸는데, 정작 우리 군 당국만 그 사실을 잘 모르고 있다”고 했다. 임 원장은 청와대와 국방부 등 정부기관의 보안 자문을 맡아온 사이버 안보 전문가다.
―2009년 7·7 중국발(發) 디도스 공격으로 한국 인터넷이 큰 혼란을 겪긴 했지만, 아직 북한의 사이버공격 위협이 실체적으로 드러난 경우는 없었다.
“디도스 공격은 장난 수준에 불과하다. 북한이 한국의 사이버 안보 수준을 테스트하기 위해 시도했을 가능성도 크다. 스턱스넷과 같은 제어시스템 공격은 그와 차원이 다르다. 인터넷 공격은 인터넷 네트워크에만 영향을 끼치지만, 제어시스템 공격은 국가 기반시설 자체를 망가뜨릴 수 있다.”
―북한이 만약 한국에 사이버 도발을 시도한다면 어떤 방식의 공격이 이뤄질 것으로 보는가.
“중국 해커 조직과 연계해 우리 군과 국가 기간산업 시설을 집중 공격할 것이다. 우선 타깃이 되는 곳은 한국전력, 코레일, 인천국제공항 등이다. 기존 스턱스넷보다 강력한 변종 악성코드는 얼마든지 만들어낼 수 있다. 전기, 철도, 공항이 제 역할을 못하고 군 통신망에 혼선이 오면 아무리 좋은 무기와 군대를 갖추고 있어도 패배할 수밖에 없다.”
―대부분 독립망으로 운영하는 기간시설이 악성코드에 감염될 확률은 어느 정도인가.
“무조건 가능하다. 방법은 수만 가지다. 악성코드가 담긴 불법 소프트웨어 CD를 생산해 국내 시장에 유포할 수 있고, P2P 사이트를 통해서 공짜로 퍼뜨릴 수도 있다. 외부출입이 자유롭고 감시가 소홀한 협력업체 직원을 포섭할 수도 있다. ‘사업 자료가 필요하다’는 등 핑계를 대고 직원을 통해 USB 메모리를 꽂으면 된다. 그 직원은 자신이 무슨 짓을 하는지도 제대로 모른다. 그 외에도 얼마든지 방법은 만들어낼 수 있다.”
―실체로 다가온 위협에 대해 우리 군이 세워야 할 대책은 무엇인가.
“2010년 1월 창설된 사이버사령부의 경우, 준장급 사령관에 수백 명 수준이다. 미국은 4성 장군 사령관에 3만명 규모다. 한미 양국의 국방력 차이를 감안하더라도 너무 규모가 작다. 최소 중장급 사령관에 1만명 정도의 병력을 키워 국방부 산하 독립사령부로 만들어야 한다.
얼마 전 군 보안 관련 콘퍼런스에 참석해 만난 군 관계자가 ‘교수님이 강하게 주장해 주신 덕분에 관련 병력이 100명 정도 늘었다’며 고마워했다. 실무자들은 어느 정도 필요성을 인식하고 있는데, 군 지휘부가 어떻게 이 상황을 보고 있는지 모르겠다.”
“지령 완료. 잔금 입금 바랍네다.”
상대는 대답 없이 전화를 끊었다.
“됐어. 우린 남조선 소주나 한잔 하러 가자고.”
남자와 직원들은 한국인이 운영하는 건물 앞 한식당으로 향했다. 늘 겪는 일상이다. 그들은 자신들의 손끝에서 무슨 일이 일어나게 될 줄을 전혀 몰랐다. 북한 보위부 요원에게 고액의 선금을 받아 진행된 이 프로젝트는 생각보다 쉽게 끝났다. 지난 두 달 동안 한국 주요기관 전산 기술자와 협력업체 직원들을 대상으로 집중 유포한 수천 개의 USB 메모리에 포함된 악성코드가 예상보다 훨씬 많은 곳에서 활동을 시작했다.
北 사이버공격 한 방에 南 기반 시설 초토화 가능
밤 9시 정각. 대한민국 부산 기장군 고리 원자력발전소 종합통제실 모니터에 이상한 기류가 포착됐다. 예정에 따라 운영돼야 할 제어시스템에 사소한 문제가 생긴 듯했다. 당직 직원은 크게 신경 쓰지 않고 다음날 제출할 보고서 작성에 열중했다. 아무도 몰랐지만, 이미 발전소 제어시스템은 전쟁에 돌입했고, 장렬히 전사한 후였다.
악성코드에 감염된 통합 관리 소프트웨어 ‘STEP7’은 발전소 제어기기인 ‘PLC’를 공격 완료했다. 원자력발전소 시스템이 어느새 미리 심어놓은 악성코드의 지시대로 작동하기 시작했다. 변종(變種) 스턱스넷(Stuxnet·제어시스템 악성코드)은 발전소를 완전히 적(敵)의 수중에서 놀아나게 했다.
같은 시간, 한국전력도 이 변종 스턱스넷의 공격을 당했다. 국가 핵심 기관과 군 시설이 밀집한 서울 종로구·중구 일대와 용산구 미군 부대 인근의 전력이 차단됐다. 전국 각 지역의 발전소 상태가 불안정해지면서 송전이 중지됐지만, ‘단순 정전’인 줄로만 아는 시민들은 크게 개의치 않았다.
인천국제공항은 관제시스템의 오작동으로 항공기 운항이 전면 중단됐다. 코레일의 KTX 운행시스템과 서울메트로의 지하철 통제시스템이 마비돼 여기저기서 철도사고가 발생했다. 전력, 철도, 공항. 국가 기반시설이 초토화되는 데 15분이면 충분했다.
철벽 방어막을 자랑했던 한국군 내부망은 패닉 상태가 됐다. 최첨단 군 지휘통신체계 ‘C4I(Command and Control, Communication, Computer, Intelligence)’가 무력화되면서 미군과의 공조시스템에 심각한 위험이 발생했다. 일선 부대의 컴퓨터들이 일제히 셧다운(shutdown·작동중지)됐다.
군 통제시스템 장애는 합동참모본부와 각 군 사령부의 네트워크 마비로 이어졌다. 군은 사이버사령부를 연초에 창설했지만, 대규모 사이버공격을 막기엔 역부족이다. 군 지휘부와 전방 부대의 전산망이 서로 엇박자를 냈다. 손발은 멀쩡하지만, 뇌와 신경이 마비된 몸은 더 이상 싸울 능력을 상실했다.
밤 11시, 한국의 기간시설과 군 전산망이 마비된 가운데, 서해 5도와 경기도 전방 부대 초소에서 긴급 무전 보고가 올라왔다. 북한 해안포 부대와 육군 포병부대의 움직임이 심상치 않다는 보고다. 한 시간 후인 12시 정각, 전방 곳곳에서 북한군의 도발이 시작됐다. ‘첨단’ 무기체계와 한미(韓美) 동맹이 있어 문제없다던 우리 국방시스템은 북한의 사이버공격 한 방에 초토화됐다.
러시아, 사이버공격 후 그루지야 침공
SF영화의 한 장면이 아니다. 육·해·공·우주에 이은 ‘제5의 전장(戰場)’인 사이버 전쟁을 묘사한 가상 시나리오다. <월간조선>이 관련 분야 전문가들의 의견과 자료를 종합해 만든 이 시나리오는 2011년 당장에라도 충분히 실현될 수 있는 ‘실체적 위협’이 되고 있다.
미국은 2010년 초 4개년 국방검토보고서(QDR)에서 사이버 공간을 전장으로 추가했다. 공군 우주사령부는 같은 해 6월 사이버전(戰)을 정식 교과로 채택, 사이버 작전장교 400명을 양성하겠다는 목표로 세웠다. 미(美) 해군사관학교는 1억 달러를 들여 사이버전 교육센터 건설을 추진하고 있다. 영국은 감청기구인 국가통신본부(GCHQ)에 사이버작전센터를 설립했다.
2007년 에스토니아 기간전산망이 디도스 공격으로 마비됐다. 공격원은 러시아 보안기관인 연방정부 통신정보기구로 추정된다. 2008년 그루지야의 컴퓨터 통신망은 러시아의 집중 공격을 받았다. 정부와 금융기관 접속이 차단됐고, 정부기관 홈페이지가 해킹당했다. 군 정보시스템의 오작동으로 군사작전이 지연됐다. 러시아는 사이버공격과 지상군을 동시에 투입해 쉽게 전쟁을 끝냈다.
사이버전쟁이라 하면 흔히 ‘디도스(DDoS·분산서비스거부) 공격’부터 떠올린다. 웹사이트 서버에 트래픽(traffic)을 유발해 과부하가 걸리게 하는 이 공격은 이미 초보 해커들도 충분히 실행할 수 있을 정도의 ‘구식 공격’이 됐다. 2009년 7·7 디도스 공격으로 한국은 청와대 등 주요 사이트가 순식간에 초토화됐다. 중국을 경유한 북한의 공격으로 추정되며, 한국의 사이버대응 수준을 여실히 보여준 사례가 됐다.
‘스턱스넷(Stuxnet)’의 등장은 원자력발전소 등 기간시설의 제어시스템이 얼마나 쉽게 뚫릴 수 있느냐를 보여준 최초의 사례가 됐다. 스턱스넷은 독일의 제어시스템 전문 개발사 지멘스(Siemens)의 운용시스템 ‘WinCC’를 대상으로 공격하는 악성프로그램이다.
강력한 파괴력 지닌 ‘스턱스넷’
2010년 7월 14일 스턱스넷이 처음 발견되자 마이크로소프트(MS)는 곧바로(16일) 임시조치를 발표했고, 8월 2일 운영체제(OS)인 윈도(Windows) 긴급보안 업데이트를 실시했다.
9월 17일 지멘스는 전 세계 15개 산업시스템이 감염됐다는 사실을 공개했다. 스턱스넷에 감염된 이란 부셰르 원자력발전소는 현재까지 복구하지 못한 상태다. 이란 정부는 스턱스넷을 ‘이란을 대상으로 한 사이버테러’로 규정했다.
2010년 9월 29일 중국 신화통신은 “중국의 1000여 개 산업시스템과 개인 PC 600만 대가 스턱스넷에 감염됐다”고 보도했다.
다수의 보안 전문가는 북한과 알 카에다 등 국제적 위험국가나 조직들이 스턱스넷과 앞으로 생겨날 ‘변종 스턱스넷’을 상대 국가의 기간산업을 파괴하고 무력화시키는 공격수단으로 활용할 가능성이 크다고 분석했다.
스턱스넷이 유포되는 경로는 다양하다. 가장 쉬운 경로는 USB를 통한 침투다. 원자력발전소 등 기간산업 시스템은 대부분 인터넷과 접속이 안되는 자체망을 사용한다. 외부망과의 접속이 원천적으로 봉쇄돼 있기 때문에 관계자들은 쉽게 안심하고 있지만, 오히려 이를 역이용해 접근하는 방식이 성공하고 있다. 보안 전문가의 설명이다.
“따로 출입할 필요도 없습니다. 모든 시설은 협력업체가 있기 마련입니다. 기관시스템에 접근이 가능한 직원이 다니는 동선에 USB를 던져놓는 겁니다. 모든 사람은 호기심이 있거든요. 집에 와서 USB를 꽂는 순간 PC가 감염됩니다. 그러면 그 USB는 역할을 다한 거죠.”
직원은 별생각 없이 집에서 작업하던 보고서 파일을 자신의 개인 USB에 담아 회사에 가져간다. 개인 PC가 스턱스넷에 감염됐지만, 이를 알 방법이 없다. 시설에선 보안 규정상 USB를 사용할 수 없지만, 편법적으로 이용할 수 있는 길은 많다. 정식 절차대로 업무를 수행하는 것이 귀찮은 이들은 USB를 내부망에 연결된 PC에 꽂고, 그 순간 스턱스넷은 제어시스템까지 침투해 미리 입력된 공격 날짜를 기다리며 잠복한다.
스턱스넷이 누구의 손에서 개발됐는지는 불분명하다. 하지만 첫 공격을 당한 이란 등 세계 각국은 이스라엘 사이버전 특수부대에 의해 개발됐다고 추정하고 있다. 현재 스턱스넷은 대부분 국가에서 퇴치된 상태다. 마이크로소프트의 윈도 보안 패치와 악성 소프트웨어 제거 도구를 설치하고 지멘스의 ‘WinCC’ 프로그램을 업데이트하면 큰 위협은 제거된다.
거기에 안티바이러스 프로그램으로 검사까지 완료하면 스턱스넷은 더 이상 큰 문제가 되지 않는다.
문제는 ‘제2의 스턱스넷’이다. 올해 ‘대히트’를 친, 이 새로운 개념의 악성프로그램은 전 세계 해커들의 개발 본능을 자극한 것이 분명하다. 한 보안 전문가는 “이미 수백 가지의 변종 스턱스넷이 세계 곳곳에서 개발되고 있을 것”이라고 확신했다.
리처드 클라크(Clarke) 전(前) 백악관 테러담당 보좌관은 자신의 최근 저서 <사이버전쟁(Cyber war)>에서 “사이버 전쟁이 발발할 경우 15분 이내에 재앙적 결과를 초래할 것”이라며 사이버공격을 활용할 나라로 북한과 중국을 꼽았다. 적은 비용과 인력으로 상대국에 심각한 타격을 입힐 수 있다는 점에서 큰 매력을 가진 공격 수단이라는 것이다. 공격 대상은 무궁무진하고, 실패해도 크게 잃을 것이 없다.
중국인 해커 조직은 국제적으로 악명이 높다. 일명 ‘사이버 조폭’으로 불리는 이들은 의뢰인에게 돈을 받고 세계 각국을 상대로 무차별 해킹을 시도하고 있다. 2007년 영국 정보 당국은 300개 대기업에 “중국 기관의 해킹 시도가 있으니 주의하라”고 했고, 같은 해 5월 앙겔라 메르켈 독일 총리의 사무실 컴퓨터가 중국에서 시도한 것으로 추정되는 해킹 공격을 당했다.
<월간조선>의 취재 결과 최근 한 정부 산하 기관이 국내 보안업체를 통해 ‘사이버 조폭’에게 직접 해킹을 의뢰했다는 사실이 밝혀졌다. 그들의 해킹 능력과 가능성을 테스트하기 위한 목적이었는데, 중국인들은 해킹 대상과 난이도보다는 얼마의 돈을 지불할 건지에 더 큰 관심을 보였다. 거래 담당자는 이렇게 설명했다고 한다.
“어떤 곳이든, 어떤 조직이든 정확한 피해 규모만 말하라. 원하는 만큼 해킹해서 시스템을 마비시켜 주겠다.”
이들이 내놓은 실적과 그 자신감에 정부와 업체 관계자는 혀를 내둘렀다고 한다.
한국은 사이버공격 용의자 1·2순위를 모두 상대해야 한다. 북한이 중국의 해커 자원을 이용해 본격적으로 시스템 공격을 해올 경우 속수무책으로 당할 수밖에 없는 상황이다.
2010년 10월 21일 북한의 여성 공작원 김모(36)는 채팅을 통해 만난 서울메트로 간부직원을 유혹, 종합관제소 컴퓨터에 저장된 종합사령실 비상연락망과 승무원 근무표 등 대외비 문건을 빼냈다. 한 보안 전문가는 “스턱스넷과 비슷한 공격 프로그램을 만들기 위해 기간산업의 내부 정보가 많이 필요하다”며 “북한이 남한의 기간산업 시스템을 사이버공격하기 위한 작전에 들어갔음을 보여주는 사례”라고 분석했다.
연평도 다음 도발은 사이버戰?
중국발 사이버공격 빈도는 2010년 11월 최고치를 기록했다. 한국인터넷진흥원(KISA)이 집계한 유해 트래픽 분석에 따르면, 해외 IP에 의한 사이버공격 671만여 건 중 89.2%가 중국에서 발생했다.
정부통합전산센터는 2010년 10월까지 총 2만8000여 건의 침입 시도가 있었고, 중국이 가장 높은 비율(11월 기준 69.4%)을 기록했다고 밝혔다. 보안 및 안보 전문가들은 중국발(發) 공격 중 상당비율이 북한과 연계됐을 것이라고 주장했다.
북한의 사이버공격은 예측이 아닌 실제상황이다. 2009년 7월 디도스 공격 직후 정보 당국은 북한이 이미 인터넷을 매개로 대남·대미 첩보를 수집하고 전산망을 교란하는 사이버전 전담부대인 ‘기술 정찰조’를 운용하고 있다고 밝혔다. <동아일보>에 따르면 인민군 총참모부 정찰국 소속의 이 부대에는 평양의 지휘자동화 대학 졸업생 출신 100여 명이 활동 중이다. 북한군은 과거에 유사시 증원되는 미군 전력에 대한 정보수집, 미군 인터넷과 첨단 전술지휘자동화(C4I) 체계 교란을 위한 자료 축적에 관심을 가지다 최근 사이버 전쟁 수행과 군 정보화 체계 확립에 주력하고 있다.
사이버 안보시스템 관련 군 자문을 하는 한 보안 전문가는 “세계 각국은 이미 사이버전쟁에 돌입했는데 한국은 여전히 말로만 사이버 안보를 외치고 있다”면서 이렇게 토로했다.
“최근 연평도 포격 이후 국가의 모든 관심이 서해 5도와 휴전선 접경의 방위 체계에 쏠려 있습니다. 북한의 다음 도발이 사이버공격이 된다면 어떻게 될까요. 말로는 첨단 사이버 부대를 창설해 적의 공격을 막는다고 하지만, 실제 공격이 시작될 경우 효과적으로 방어할 수 있을지 의문입니다.”
남북(南北) 사이버 전쟁이 발발하면 한국이 절대적으로 불리하다. 인터넷망과 컴퓨터 보급이 제대로 이뤄지지 않은 북한과 달리, 한국은 세계 최고 수준의 인터넷 보급률을 갖고 있어 다양한 루트로 침투가 가능하다. 북한이 중국의 인터넷망을 경유해 공격을 해올 경우, 사이버공격의 특성상 그 진원지를 파악하기 쉽지 않다. 중국의 수많은 ‘사이버 조폭’과 연계할 수 있다는 것도 북한에 큰 장점이다.
전문가들이 지적한 우리 군의 보안 취약 요소는 ▲이동매체를 통한 내부정보유출 ▲군 내부 소프트웨어 개발환경 취약성 ▲군 내부 불법 소프트웨어 사용에 따른 취약성 등이다. 현재 군은 USB 사용을 철저하게 통제하고 있다고 주장하지만, 안전모드로 부팅하거나 USB 통제시스템을 우회하는 등 여러 경로를 통해 권한을 해제할 수 있다.
또 군 주요 시스템을 외부용역 또는 내부인력이 개발하는 것도 큰 취약 요인이다. 보안을 고려하지 않은 시스템 개발로 북한이나 해외조직의 해킹 공격에 쉽게 뚫릴 수 있다.
불법 소프트웨어 사용은 예상치 못한 복병이다. 현재 군은 OEM(주문자 상표 부착) 방식으로 PC를 구매해 윈도 등 운영체제(OS)를 설치하고 있는데, 고급 버전으로 업그레이드하기 위해 불법 소프트웨어를 설치하고 있다. 업데이트가 제대로 되지 않는 OS는 해킹과 악성코드 공격에 상당히 취약하다.
신종 악성코드가 출현하면 곧바로 이를 방어하는 패치가 나오는데, 불법 소프트웨어를 사용하는 이들은 패치 업데이트를 제대로 하지 않는다. 한 연구 조사에 따르면, 패치를 적용하지 않은 컴퓨터를 인터넷에 연결할 경우, 1주일 동안 4만6255회 스캔돼 4892회 공격을 받았다. 18분 만에 악성코드에 감염됐고, 1시간 후엔 악성코드를 스스로 유포하는 ‘좀비PC’가 됐다. 한 군사보안 전문가의 설명이다.
“2010년 상반기에만 109건의 2급 군사기밀이 인터넷을 통해 유출됐다는 사실이 지난 국정감사 당시 밝혀졌습니다. 3급 기밀은 75건, 대외비 문건은 65건, 훈련 비밀자료는 1467건이 같은 기간 유출됐죠. 2010년 말 1년치 통계가 나오면 더 심각할 겁니다. 그런데 군 당국은 ‘외부망과 철저하게 분리됐기 때문에 안전하다’며 사이버 안보 불감증을 여실히 보여주고 있습니다.”
<월간조선>이 관계기관으로부터 입수한 선진 우방국과 마이크로소프트가 체결한 소프트웨어 판매현황에 따르면, 한국의 소프트웨어 구매금액은 비슷한 규모의 국방예산을 가진 다른 국가의 10분의 1 수준이다. 국방예산으로 43조원을 쓰는 A국은 2009년 현재 약 18만 대의 PC를 보유하고 있으며, 마이크로소프트 소프트웨어를 약 800억원어치 구매했다. PC 1대당 44만원어치의 소프트웨어를 구매한 셈이다.
다른 국가의 국방예산, PC 대수, 마이크로소프트 소프트웨어 구매금액, PC 1대당 구매금액 통계를 보면, ▲B국: 30조원 / 11만대 / 750억원 / 68만원 ▲C국: 약 16조원 / 7만대 / 280억원 / 40만원 ▲D국: 9조원 / 4만대 / 120억원 / 30만원 수준이다.
약 30조원의 국방예산을 쓰는 한국은 현재 총 20만여 대의 PC를 보유한 것으로 추정되는데 2009년 총 14억원어치의 마이크로소프트 소프트웨어를 구매했다. 1대당 7000원이다. 한국마이크로소프트 측은 관련 자료에 대해 “해외 영업 기밀과 국내 안보와 관련한 사항이라 확인해줄 수 없다”는 입장을 밝혀 왔다.
자료를 제공한 보안 관계자는 “윈도와 오피스 등 국내 대다수 컴퓨터에 설치된 마이크로소프트의 제품을 기준으로 통계를 냈기 때문에, 사실상 전체 소프트웨어 구매 수준을 보여주는 사례”라고 분석했다. 또 “특히 컴퓨터 시스템을 운영하는 윈도는 보안의 핵심 요소”라며 “군에서 정식 판매되지 않은 윈도를 쓴다는 것은 사실상 적에게 사이버공격을 할 장터를 만들어 준 것과 마찬가지”라고 강조했다.
국방부 “불법 소프트웨어 사용사례 없다”
2010년 10월 국회 국방위원회 김학송(金鶴松) 의원이 국방부와 관련 업계로부터 제출받은 자료에 따르면 우리 군은 약 20만 대의 PC를 보유하고 있으며, 소프트웨어 구매 비용으로 2009년 약 39억원을 사용했다. PC 1대당 1만9500원을 사용한 셈인데, 이는 국내 전체 공공기관 평균(1대당 5만원)의 39%에 불과한 수준이다.
불법 소프트웨어 이용자들은 업데이트를 제대로 하지 않는 경우가 많다. 간단한 해킹 프로그램으로 내부 핵심정보 열람이 가능해지고, 악성코드를 이용하면 전체 네트워크를 마비시킬 수도 있다. 군 내부 시스템은 외부와 완전히 분리된 독립망을 사용하고 있지만, USB 등을 통한 침투가 얼마든지 가능하기 때문에 전격적인 사이버 안보 체제가 필요하다는 분석이 제기된다.
2010년 6월 8일 열린 ‘국방정보보호 콘퍼런스’에 참석한 김태영(金泰榮) 당시 국방장관은 “사이버 공간에서 발생하는 위협은 공격기법의 다양성과 신속성, 그리고 전문성으로 인해 어느 한 부서나 개인이 단독으로 대처하기엔 한계가 있다”며 “관계부서 간 긴밀한 협력을 통한 체계적인 대응체계 구축과 전문인력 양성이 필수적”이라고 밝힌 바 있다.
이후 6개월이 흘렀지만, 국방부의 가시적인 대응책은 나오지 않고 있다. 보안 전문가들은 “군 지휘부가 말은 그럴듯하게 하지만, 대부분 컴퓨터와 인터넷에 익숙하지 못한 세대라 위협의 실체를 제대로 인식하지 못하고 있다”고 지적했다.
국방부는 이러한 지적에 대해 “현재 국방망은 인터넷과 물리적으로 분리 운용돼 외부침입을 원천 차단하고 있다”면서 “보안 관제체계, 바이러스 방역체계, 디도스 방지체계 등 정보보호체계를 구축해 침해사고 예방 및 정보유출을 방지하고 있다”고 밝혔다. 또 “국방사이버지휘 통제센터 및 군단급 이상 부대에 국방침해사고 대응팀을 운영, 24시간 감시 및 대응태세를 유지하고 있다”고 덧붙였다.
불법 소프트웨어 사용실태에 대해선 “2009년 기준 국방부 상용소프트웨어 구매 예산은 총 66억원으로, PC 1대당 3만3000원 수준”이라며 “2010년 4월과 11월 전군에 대한 정품 소프트웨어 사용실태를 두 차례 점검한 결과 불법 소프트웨어 사용 사례는 없었다”고 밝혔다.
USB를 통한 악성코드 유입 가능성과 관련, 국방부는 “2010년 4월부터 일반 업무용 USB 사용을 금지했으며, 7월부터 보안성이 확보된 자료교환 체계를 구축했다”며 “윈도 등 운영체제도 패치 관리시스템(PMS)을 통해 모든 PC를 대상으로 최신 보안패치를 실시하고 있다”고 밝혔다.
또 “주요 정보체계에 대한 해킹코드 및 소스코드 취약점 검증 및 제거를 위해 기무사를 통해 개발단계에서부터 사전 보안측정을 실시하고 운용과정에서 정기적인 취약점을 분석하고 있으며, 국정원 등 유관기관과 공조해 소스코드 취약점에 대한 정보를 공유하고 있다”고 했다.
스턱스넷 등 악성코드 공격 가능성에 대해선 “민간 전문 보안업체와 연간 사용권 계약을 통한 바이러스 방역체계를 구축해 전군 PC를 대상으로 실시간 방역을 실시하고 있다”면서 “국정원과 방통위 등 국가사이버 위기대응체계와 연계해 국방사이버 지휘통제센터와 각군 침해사고대응반(CERT)을 24시간 운영하고 있다”고 밝혔다.⊙
[인터뷰] 林鍾仁 고려대 정보보호대학원장
“사이버戰 대비한 1만명 규모 사이버사령부 창설해야”
임종인(林鍾仁) 고려대 정보보호대학원장은 “현재 대한민국은 사이버 안보 총 비상에 걸렸는데, 정작 우리 군 당국만 그 사실을 잘 모르고 있다”고 했다. 임 원장은 청와대와 국방부 등 정부기관의 보안 자문을 맡아온 사이버 안보 전문가다.―2009년 7·7 중국발(發) 디도스 공격으로 한국 인터넷이 큰 혼란을 겪긴 했지만, 아직 북한의 사이버공격 위협이 실체적으로 드러난 경우는 없었다.
“디도스 공격은 장난 수준에 불과하다. 북한이 한국의 사이버 안보 수준을 테스트하기 위해 시도했을 가능성도 크다. 스턱스넷과 같은 제어시스템 공격은 그와 차원이 다르다. 인터넷 공격은 인터넷 네트워크에만 영향을 끼치지만, 제어시스템 공격은 국가 기반시설 자체를 망가뜨릴 수 있다.”
―북한이 만약 한국에 사이버 도발을 시도한다면 어떤 방식의 공격이 이뤄질 것으로 보는가.
“중국 해커 조직과 연계해 우리 군과 국가 기간산업 시설을 집중 공격할 것이다. 우선 타깃이 되는 곳은 한국전력, 코레일, 인천국제공항 등이다. 기존 스턱스넷보다 강력한 변종 악성코드는 얼마든지 만들어낼 수 있다. 전기, 철도, 공항이 제 역할을 못하고 군 통신망에 혼선이 오면 아무리 좋은 무기와 군대를 갖추고 있어도 패배할 수밖에 없다.”
―대부분 독립망으로 운영하는 기간시설이 악성코드에 감염될 확률은 어느 정도인가.
“무조건 가능하다. 방법은 수만 가지다. 악성코드가 담긴 불법 소프트웨어 CD를 생산해 국내 시장에 유포할 수 있고, P2P 사이트를 통해서 공짜로 퍼뜨릴 수도 있다. 외부출입이 자유롭고 감시가 소홀한 협력업체 직원을 포섭할 수도 있다. ‘사업 자료가 필요하다’는 등 핑계를 대고 직원을 통해 USB 메모리를 꽂으면 된다. 그 직원은 자신이 무슨 짓을 하는지도 제대로 모른다. 그 외에도 얼마든지 방법은 만들어낼 수 있다.”
―실체로 다가온 위협에 대해 우리 군이 세워야 할 대책은 무엇인가.
“2010년 1월 창설된 사이버사령부의 경우, 준장급 사령관에 수백 명 수준이다. 미국은 4성 장군 사령관에 3만명 규모다. 한미 양국의 국방력 차이를 감안하더라도 너무 규모가 작다. 최소 중장급 사령관에 1만명 정도의 병력을 키워 국방부 산하 독립사령부로 만들어야 한다.
얼마 전 군 보안 관련 콘퍼런스에 참석해 만난 군 관계자가 ‘교수님이 강하게 주장해 주신 덕분에 관련 병력이 100명 정도 늘었다’며 고마워했다. 실무자들은 어느 정도 필요성을 인식하고 있는데, 군 지휘부가 어떻게 이 상황을 보고 있는지 모르겠다.”
박순희
(2011-01-09)
: 401
: 381
