소니와 한수원 해킹 = 북한 가능성? 상당히 높아

우선 소니 해킹과 한수원 해킹 수법의 공통점을 살펴보면 하드파괴 수법이다. 하드파괴 방식은 지난해 발생한 3.20 및 6.25사이버테러와 유사한 공격 패턴이며, 본지 보도를 통해 6.25사이버테러 때 발견된 악성코드와 소니 해킹때 사용된 악성코드가 거의 일치하는 것으로 드러난 바 있다.

한수원 해킹 사건 역시 공격 패턴을 살펴보면 공격자가 하드파괴용 악성코드를 심어놓고, 주도면밀하게 파괴시간에 대한 타이머까지 걸어 놨다. 이 역시 3.20사이버테러와 유사한 공격패턴인데, 여기에 ‘Who am I’라는 글자가 컴퓨터 화면에 보이도록 한 출력기법이 이번 해킹공격에서 추가됐다.

이러한 공격 양상에 대해 서울여자대학교 김명주 교수는 북한 소행일 가능성이 높다고 말했다. 김 교수는 “공격자가 사용한 공격 패턴과 소스코드를 짠 정황을 살펴보면 공격자 성향과 기술수준 등을 파악할 수 있고, 동일범 소행인지 여부도 어느 정도 추정이 가능한 부분이 있다”며, “소스코드나 공격패턴에서 공격자의 습관이나 특성이 묻어나는데 이번 한수원 해킹 사건에서도 유사점이 발견됐다”고 밝혔다.

그러면서 김 교수는 “한수원 해킹 사건에서 발견된 공격방식은 1990년대 사용된 오래된 수법으로 사람 나이로 치면 IT 2세대로 40대 후반에서 50대 초반일 수 있다”며 “Who am I라는 문구가 나오는 수법은 가장 전통적인 해킹수법”이라고 덧붙였다. 뿐만 아니라 블로그에 올라온 내용들을 살펴보면 수구 꼴통, 원수 등과 같은 단어들이 사용되는데, 이는 국내에서 잘 사용하지 않을 뿐더러 나이가 든 말투라고 강조했다.

이와 관련해서 원전반대그룹이라 지칭하는 이들이 전형적인 함경도 말투를 사용한다는 의견도 제기됐다. 언어학을 공부하는 김용완 씨는 “트위터 글을 분석해본 결과 글의 모양, 내용 등에서 함경도 말투가 그대로 묻어나온다”며, “해커들이 함경도 출신일 가능성이 높다”고 본지에 알려오기도 했다.

특히, 이러한 공격양상은 북한의 주체사상 특성을 주목해보면 실마리가 보인다는 것이다. 북한의 주체사상을 살펴보면 외국말, 외국제품 등은 모두 북한화시켜 사용하는 것이 특징이다. 이를테면 PC OS운영체제도 북한에 맞게 변경해 사용하고, 한글문서도 북한에 맞게 변형해 사용한다는 게 김명주 교수의 설명이다.

더욱이 대립관계인 북한이 사이버공격을 위해 사전연습을 한다면 당연히 인터넷이 오픈된 우리나라의 사회기반시설을 타깃으로 이뤄졌을 가능성이 높다는 것.

이와 관련 김 교수는 “북한은 기존에 만들어진 소스코드를 가져다 쓰지 않고, 일일이 직접 짜는 것이 특징인데, 이는 곧 탄탄한 기술력으로 연결될 뿐만 아니라 해당 시스템의 취약점도 잘 알 수 있기 때문에 공격기술이 뛰어날 수밖에 없다”고 말했다.

물론 북한이 아닐수도 있다. 블로그에 해킹 주범이라고 주장하며, 자신을 ‘원전반대’파라는 주장하는 그들이 진짜 범인일수 있다. 그러나 그러기엔 리스크가 너무 크다 는 게 김 교수의 설명이다. 그러면서 김 교수는 “국내 상황에서 직접 자료를 노출시키면서도 추적을 따돌리기엔 리스크가 크며, 그만한 기술력 확보가 쉽지 않다”며 “북한이 음모론과 심리전으로 원전반대파를 이용했을 가능성도 있다”고 추정했다. 

소니 해킹은 오바마 대통령 적극 나서, 한수원 해킹은 산업부?

해킹 주범이 북한인지 아닌지를 떠나 소니 해킹과 한수원 해킹 사건을 비교해보면 미국과 국내의 대응이 확연하게 차이가 난다는 지적이다.  

우선 소니의 경우 민간기업임에도 불구하고, 美 오바마 대통령이 직접 나서 기자회견을 여는 등 강력 대응에 나서고 있다. 이는 그만큼 북한의 도발 위협 등 사이버전으로 확대될 가능성이 높다는 점 등 국가안위와 관련해 여러 가지를 고려한 대응이라고 볼 수 있다.

반면 국내 한수원의 경우, 1급 보안이 요구되는 국가주요기반시설임에도 불구하고 한수원 자체에서만 사건 수습에 정신이 없다. 처음엔 별 피해가 없었다고 일관하던 태도는 유출된 정보가 공개될 때마다 중요한 기밀문서가 아니라는 등의 구차한 변명으로 바뀌었다. 결국 계속되는 해커조직의 정보공개에 뒤늦게 산업통상자원부 중심으로 대응체계에 나선 모습에선 미국과 확연히 대조되는 것을 느낄 수 있다.

이에 대해 김 교수는 “사회기반시설의 사이버위협에 대한 인식 변화가 아직도 미흡하다는 사실을 여실히 보여주는 사례”라며 “정보화 시대에서는 그동안 IT와 상관없던 수도, 도로, 교통 등 기존의 전통적인 사회기반시설을 새로운 보안위협 대상에 포함시켜야 한다”고 강조했다.

한수원 등 사회기반시설 보안 강화 위해서는... 

이처럼 사회기반시설이 사이버위협에 노출될 경우, 원전 가동이 갑자기 중단되거나 공격자 마음대로 사회기반시설을 제어할 수 있기 때문에 매우 위험하다. 김 교수는 사회기반시설 보안강화를 위한 대응방안으로 △사이버군 등 전담인력 양성 △자체점검 강화 및 국가 관리 △인식변화 등을 제시했다.

우선 사이버군의 양성이 시급하다는 것. 숫자 측면에서는 이미 외국에 현저히 밀리고 있는 상황이다. 특히, 북한의 엘리트 해커는 몇 백명인데 반해 국내의 경우 30명 이하이며, 중국은 7천여명 정도로 규모 측면에서 큰 차이를 보인다는 게 김 교수의 설명이다. 더욱이 개인 해커의 뛰어난 공격역량을 조직의 방어체계로는 따라갈 수 없기 때문에 국익과 국가위기관리 차원에서 전담인력을 양성해야 한다고 덧붙였다.

두 번째로는 자체점검 강화 및 국가차원에서의 관리다. 이번 해킹사고 이후 한수원은 자체점검과 취약점 파악을 위해 모의해킹을 진행한 것으로 알려졌다. 그러나 모의해킹의 경우 한계점이 존재한다는 것. 이와 관련 김 교수는 “모의해킹은 기존 보안업체가 해당 기관으로 들어가 모의해킹 매뉴얼 등 정해진 체크리스트를 바탕으로 알려진 해킹방식에 대한 점검조치를 취하는 것”이라며 “공격능력이 탁월한 해커 개인의 공격을 차단하는 데는 분명 한계가 있으며, 모의해킹 조치만으로는 완벽할 수 없기 때문에 매뉴얼상 공격방식을 매번 바꾸는 등 고도화된 모의훈련이 필요하다”고 말했다.

마지막으로는 인식변화다. 기존 통신사나 금융기관의 경우 사고 발생시 관련기관이 모두 모여 정보를 공유하고 공동대응을 하는 반면, 사회기반시설은 현재 관할 부서를 중심으로 대응하기 때문에 체계적이고 종합적인 대응이 이루어지지 못한다는 것이다. 따라서 교통, 수도 등 기존의 전통적인 사회기반시설도 이젠 정보통신기반시설의 범주에 포함되어야 한다는 게 김 교수의 설명이다.

이와 관련 김 교수는 “인프라 구조의 경우 최악의 시나리오를 가장해 국가적 책임 하에 컨트롤 돼야 하고, 군사적 협조방안을 포함해 국가적 차원에서 지휘통제가 이뤄져야 한다”며, “이를 담당하는 전담인력이 충분히 갖춰져야 한다”고 강조했다.

이번 한수원 해킹사고는 우리에게 많은 걸 시사하고 있다. 특히, 모든 국가간의 전쟁은 통신, 전력 등 국내 인프라를 마비시킨 후 속전속결로 진행되기 때문에 사회기반시설을 타깃으로 한 사이버위협은 전쟁의 전초전일 수 있다. 그렇기에 국가 안보와 직결되는 셈이다. 더군다나 우리나라의 경우 적대국인 북한의 존재와 중국발 해킹 등으로 사이버위협이 더욱 커지고 있는 만큼 국가차원의 보다 체계적인 제도정비가 이루어져야 할 것으로 보인다. 이러한 관점에서 최근 국가사이버테러방지법 제정을 위한 재논의 움직임이 있다는 점은 주목할 만하다.   

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>