해킹 줄 잇는데 한국 정보보호 예산 줄어 사이버 강국 에스토니아 인터넷망 3주간 마비

정부는 우리나라 주요 금융회사·방송사 전산망을 마비시킨 3월 20일의 해킹 공격이 북한 경찰총국 소행이라고 4월 10일 발표했다. 북한은 최소한 8개월 전부터 해킹을 준비한 것으로 드러났다. 우리 보안 당국은 사전에 눈치채지 못했다. 결국 3·20 해킹 사건으로 4만8000여 대의 PC와 서버가 피해를 입었다.

3·20 사건 민·관·군 합동대응팀에 참여한 한국인터넷진흥원 전길수 팀장은 “이번 공격은 사회 혼란을 유발할 목적으로 다양한 기관을 공격했기 때문에 준비 기간이 길었을 것”이라고 말했다. 전 팀장은 “3월 20일 오후 2시에 동시다발로 하드 디스크 파괴명령을 내린 것을 보면 상당한 실력”이라고 밝혔다.

3·20 해킹 사건은 소규모 인터넷 블랙아웃(정전)을 초래했다. 전국적으로 인터넷이 마비·단절되면 어떤 일이 벌어질까. 전국 인터넷 마비 사태는 현실 가능한 얘기일까. 문명 붕괴 시뮬레이션을 다룬 책 『X이벤트』의 저자 존 캐스티는 “현대 생활의 모든 인프라가 인터넷에 의존하고 있지만, 인터넷 인프라는 생각만큼 튼튼하지 않다”고 단언한다.

어느 날 갑자기 인터넷이 장기간 멈추는 것은 공상 소설 얘기가 아니다. 이미 숱한 사례가 있고 이유도 다양하다. 2006년 12월 26일 남중국해에서 진도 7.2의 지진이 발생했다. 지진 여파로 시나유에스·아시아퍼시픽케이블·아시아유로케이블 등 해저 케이블이 절단됐다. 이 기간 중국 본토와 대만·미국·유럽 등으로 향하는 통신이 중단됐다.

2011년 1월에는 이집트에서 인터넷이 갑자기 멈췄다. 무라바크 대통령의 독재에 항의하는 시위자들이 규합하려던 순간, 이집트와 세계를 연결해주는 인터넷 링크는 모든 다운됐다. 반정부 세력의 숨통을 끊기 위해 정부가 인터넷 통신업체를 시켜 인터넷을 끊은 것이다. 2009년 10월에는 일순간 스웨덴의 모든 인터넷 사이트가 작동하지 않는 사태가 발생했다. 원인은 단순 시스템 오류였다.



바이러스·웜·디도스 등 공격 유형 다양인터넷 블랙아웃을 일으키는 요인은 이처럼 다양하다. 컴퓨터 바이러스, 인터넷 웜(악성코드), 디도스(DDos) 공격은 물론 EMP탄으로 잘 알려진 전자기펄스 무기도 디지털 장비와 통신 시스템을 무력화 할 수 있다.

국내에서는 그동안 전국 규모의 사이버 테러가 세 차례 있었다. 1999년 4월 26일 하루 동안 국내 컴퓨터 약 100만대가 먹통이 됐다. CIH 바이러스에 감염된 것이다. 바이러스 제작자인 첸잉하오(Chen Ing Hau)의 이름을 딴 CIH 바이러스는 네트워크를 통해 전파되면서 감염된 컴퓨터의 하드 디스크에 있던 자료를 모두 파괴했다. 당시 국내 PC 보급대수는 750만대. 100대 중 13대가 피해를 입었다. 정부는 부품 교체 피해 규모가 400억원이라고 발표했다. 하지만 사라진 데이터 정보 가치를 따지면 피해는 헤아릴 수 없었다.

2003년에는 ‘1·25 인터넷 대란’으로 전국이 혼란에 빠졌다. 마이크로소프트 시스템의 취약점을 노린 ‘슬래머 웜’이라는 악성 코드가 대규모 트래픽을 일으키며 국내에는 약 9시간 동안 인터넷 접속이 되지 않았다. 한국뿐 아니라 전 세계적으로 불과 몇 분 만에 8만 여대의 컴퓨터가 웜에 감염됐다. 당시는 CIH 바이러스 사건 때와 달리 인터넷 사용이 일상화되던 때라 충격은 더 컸다. 국내 직접 피해액은 1055억~1675억원으로 추정됐다.

2009년 7월 7일 발생한 이른바 ‘7·7 디도스(DDos) 사건’은 사흘 진행됐다. 악성코드가 심어진 음란 사이트에 접속한 컴퓨터들이 좀비 PC로 변해 국내외 주요 사이트를 공격했고 접속 장애가 발생했다. 이때 좀비 PC로부터 공격을 받은 사이트를 보면 사태의 심각성이 보인다. 당시 공격 대상 사이트는 청와대·국방부·국회·국가정보원·은행·언론사·포털·보안업체 등이었다.

미국 백악관·국토안전부·국방부·국무부·워싱턴포스트 등도 공격 대상이었다. 우리 정부가 공격 주범을 북한으로 추정하는 이유다. 당시 하드디스크가 파괴되거나 저장된 파일이 파괴됐다는 피해 신고는 1500여 건에 달했다. 한 정보보안 전문가는 “처음 감염된 좀비PC들이 즉각 디도스 공격에 나서지 않고 좀 더 많은 PC를 감염시킨 뒤에 오랜 잠복기를 거쳐 파일 파괴 명령을 수행했다면 더 큰 사회 혼란이 있었을 것”이라고 설명했다.

북한의 사이버 테러 수행 능력이 예상보다 강하다는 사실이 알려지면서 북한이 보유한 것으로 의혹 받는 EMP탄에 대한 우려도 커졌다. EMP탄이 터지면 전기 공급선과 변압기는 물론, 전기·전자제품·통신망이 일시에 마비된다고 한다. 미국 중앙정보국에서 핵무기 전문가로 근무했던 피터 프라이 박사는 2011년 “EMP 폭탄을 개발한 러시아 과학자가 EMP 디자인 정보를 북한에 유출했다”며 북한의 EMP탄 개발 의혹을 제기했다. 앞서 2008년 미국 하원 EMP소위원회는 “북한이 가까운 미래에 EMP탄을 개발할 것”이라고 했다.

국내에서 그동안 일어난 해킹 사건들은 해커들이 자기 실력을 과시하거나 돈을 벌기 위해 벌인 일이 많았다. 하지만 7·7 디도스 사건이나 최근 3·20 해킹 사건은 사회 혼란을 노린 의도적인 사이버 테러였다. 주로 금융이나 민간 사이트였던 공격 대상도 정부 행정망이나 공공 인프라망으로 확산됐다.

만약 국가 주요 기반 시설 전산망을 사이버테러리스트가 장악하면 어떤 일이 벌어질까. 그동안 정부는 “국가 주요 시설물을 관리하는 제어 컴퓨터는 대부분 외부 네트워크와 단절돼 운영되고, 중요한 만큼 보안시스템도 강력하다”고 말해왔다. 과연 그럴까. 내외부 망을 분리한다고 해킹을 막을 수 있는 것은 아니라는 게 보안전문가들의 얘기다. 망 분리를 해도 내부로 유입되는 악성코드나 해킹 공격을 원천적으로 차단하기 어렵다는 것이다.

에스토니아 3주간 인터넷 블랙아웃실제로 해외에선 국가 기반시설 전산 시스템을 겨냥한 사이버 공격이 여러 차례 있었다. 국책 기관인 국가보안기술연구소 손영동 소장이 쓴 『iWAR』에 소개된 사례를 보자. 2003년 1·25 인터넷 대란 때 미국 오하이오주에 있는 데이비스 바세 원자력발전소의 정보시스템에 악성코드인 슬래머 웜이 침투했다. 안전 시스템은 5시간 동안 정지됐다.

같은 날 미국 동부지역 철도 신호 시스템 역시 웜에 감염되면서 철도 운행이 수 시간 동안 중단됐다. 2000년에는 호주 퀸즈랜드주 오폐수 처리 시스템이 해킹 당하는 사건이 발생했다. 나중에 회사에 불만을 품은 전직 직원이 침입자로 밝혀졌는데, 그는 원격으로 제어 시스템을 조작해 석 달 동안 46차례에 걸쳐 오폐수를 무단 방출한 것으로 조사됐다.

2007년 에스토니아 사태는 한 국가가 일시에 인터넷 블랙아웃에 빠질 수 있다는 것을 보여줬다. 당시 인구가 130만명이었던 에스토니아는 3주 동안 100만대에 이르는 컴퓨터가 사이버 공격을 받았다. 대통령궁은 물론, 정부기관·경찰서·의회·언론사·은행전산망이 일시에 다운됐다. 에스토니아는 세계 최초로 인터넷 전자투표를 실시해 ‘e-스토니아’로 불리는 인터넷 선진국이다. 하지만 은행 거래의 90%가 인터넷 뱅킹으로 이뤄지는 사이버 강국 에스토니아는 약 3주간 마비 상태가 됐고, 이동통신 네트워크도 먹통이 됐다.

2010년 9월에는 미국 뱅크 오브 아메리카(BOA)·씨티그룹·US뱅크 등 6개 주요 은행 전산망이 마비되는 일이 있었다. 이로 인해 은행 고객이 온라인 결제 서비스를 못 하는 불편을 겪었다. 이 역시 디도스 공격이었다. 사건 직후 이란의 해커 그룹 ‘카삼 사이버 전사들’은 자신의 소행이라고 밝혔다. 이들은 같은 해 10월에도 다른 미국 은행과 캐피털 회사를 해킹했다. 다른 이란 해커그룹은 이스라엘의 증권거래소와 국영 항공사를 공격해 홈페이지 서버를 마비시켰다.

이란이 미국을 공격한 것은 미국의 사이버 공격에 보복하기 위한 것으로 알려졌다. 미국 은행이 공격 당하기 전 이란에선 주요 원자력 발전소가 갑자기 가동을 멈추는 일이 있었다. 심지어 이란 나탄즈 핵시설에서도 원심분리기 1000여 대의 가동이 중단됐다. 이란 정부조사 결과 원전과 핵시설 전산망이 스턱스넷이라는 악성 코드에 감염됐다. 이란은 미국 정부를 배후로 지목했다. 미국 정부는 부인했다.

정보보안 예산·인력 태부족그렇다면 사이버 테러로 인한 인터넷 블랙아웃은 막을 수 있을까. 전문가들은 사이버 테러를 원천 차단하는 것은 사실상 불가능하다고 말한다.

한국인터넷진흥원에 따르면, 지난해 우리나라 해킹 피해 신고는 1만9570건이었다. 지난해보다 67% 늘었다. 한달에 1631건씩 해킹 피해가 발생했다. IBM은 지난해 전 세계에서 기업을 대상으로 한 사이버 공격은 1억3700만 건이라고 최근 발표했다.

사이버 테러 공격을 사전에 막을 수 없다면 조기에 발견해 최대한 빨리 차단하는 게 급선무다. 정부 전산망만 잘 막는다고 될 일도 아니다. 거미줄처럼 연결된 네트워크는 한 곳이 뚫리면 순식간에 전체로 퍼진다.

이를 위해선 정보보호 투자 확대와 전문인력 확보가 절실하다. 한두 해 나온 얘기도 아닌데, 여전히 국내 정보보호 인식과 투자는 빈약하다. 한국인터넷진흥원(KISA)에 따르면 국내 기업 중 21%만이 정보보호 정책을 수립하고 있다. 정보보호 책임자가 있는 곳은 22%다. 또한 기업 100곳 중 83곳은 정보화 투자 대비 정보보호투자 비율이 1%가 되지 않는다.

정부 예산도 턱없이 부족하다. 올해 우리나라 정보보호 예산은 2400억원. 전체 정보화 투자 예산 대비 7.3%다. 지난해보다 0.8% 포인트 줄었다. 미국의 올해 사이버 보안 예산은 47억 달러(약 5조3000억원)다. 지난해의 6배로 늘었다. 정보보호 인력도 부족하다.

한국인터넷진흥원에 따르면 올해 보안업계에 필요한 인력은 2130명. 하지만 올 3월 현재 정규 교육기관을 통해 공급될 수 있는 인력은 360여 명에 불과하다. 인터넷진흥원 관계자는 “지금대로라면 2017년에는 3600여명의 정보보호 인력이 부족할 것”이라고 경고했다.

3·20 해킹 사건은 해커들이 금전 이익이나 실력 과시를 위해 벌인 게 아니다. 북한이 감행한 사이버 테러다. 더욱 심각한 것은 3·20 해킹 사건이 일종의 ‘응수 타진’ 성격이 강하다는 것이다. 한 보안업체 임원은 “얼마든지 더 큰 피해를 입힐 수 있었는데 봐준 듯한 느낌을 받는다”고 말했다. 우리나라 보안 시스템이 얼마나 견고한지, 얼마나 빨리 공격에 대응하는지, 한국 사회에 얼마나 영향을 끼치는지 사전 점검해 보려는 의도가 보인다는 것이다. 대규모 추가 공격을 예상할 수 있는 대목이다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지