침묵의 ‘사이버 전쟁’…소니 해킹, 왜 호들갑이지?

영화 ‘인터뷰’ 포스터

[세계는 지금 사이버전쟁 시대]
사이버 공격·피습 사실 드러나면
또 다른 공격·더 큰 위험 초래할 수도
지금까지 공식 확인 꺼려온 미국
백악관까지 나서 “북한 소행” 이례적
소니 해고자들의 보복 주장도 나와

미국 정부는 김정은 북한 노동당 제1비서 암살을 다룬 영화 <인터뷰>의 제작사인 소니픽처스 해킹에 북한이 개입했다고 했다. 하지만 소니픽처스 내부자의 소행이라는 주장도 나온다.

사이버보안업체 노스코퍼레이션의 커트 스탬버거 부회장은 ‘레나’라는 전직 소니 보안 담당자 등 6명이 해킹과 관련돼 있다고 밝혔다. 해고된 이들이 앙심을 품고 보복한 것이라는 주장이다. 이 업체는 소니 해킹이 북한과 관련된 증거가 없다는 것을 이미 미국 당국에 전했다.

미국은 지금까지 사이버 공격과 침투에 대해 한 번도 공식적으로 확인한 적이 없다. 하지만 이번엔 북한이 개입했다고 공식 발표했고, 더욱이 백악관까지 직접 나선 것은 극히 이례적이다. 실제로 북한이 해킹을 했다면 미국 당국이 이를 공개적으로 말하는 것은 아무 도움도 안 된다고 사이버전 전문가들은 지적한다. 북한에 대한 보복 공격 등 대응을 어렵게 하기 때문이다.

사이버 전쟁은 스파이 전쟁과 같다. 스파이 전쟁은 공격하는 쪽이나 당하는 쪽이나 모두 말이 없다. 아니 말이 없어야만 한다. 사이버 전쟁은 더 그렇다. 사이버 공격을 했다거나 당했다는 사실이 드러나면, 더 큰 위험을 초래할 수 있다. 공격 방식이 반드시 드러나게 되고, 이를 바탕으로 일파만파의 다른 공격이 양산된다. 공격한 쪽이나 당한 쪽이 결국 다시 피해를 입는다.

이란 핵발전소를 겨냥한 미국의 역사상 최대 사이버 공격인 ‘올림픽 게임’ 공작을 밀어붙인 버락 오바마 대통령은 사이버 공격의 부작용을 항상 우려했다. <뉴욕 타임스>는 이 공격이 결국 컴퓨터 시스템에 가장 의존하는 나라인 미국에 부메랑이 돼 돌아오는 것은 시간문제라고 오바마 대통령이 걱정했다고 전했다. 미국 사이버전 역사상 최대의 공격과 피습 사건은 양날의 칼인 사이버 전쟁의 성격을 잘 보여준다.

“이란 핵시설에 악성코드 심어라”…‘물리적 파괴’ 노린 바이러스 원조

이란 나탄즈 핵시설은 핵폭탄 제조에 쓰일 수 있는 우라늄 농축용 원심분리기가 설치된 곳으로, 미국은 사이버공격으로 이곳의 원심분리기 가동을 방해하는 올림픽 게임 공작을 벌인 것으로 알려졌다. 2006년 나탄즈 핵시설을 방문한 아마디네자드 이란 대통령 일행의 모습을 이란 대통령 사무실이 공개한 사진이다. AP 연합뉴스

[올림픽 게임 공작]

“우리가 그 공작을 철폐해야만 하나?”

버락 오바마 미국 대통령은 백악관 안보팀들에 심각하게 물었다. 2010년 여름, 백악관 상황실에서 오바마 대통령은 리언 파네타 중앙정보국(CIA) 국장 등으로부터 이란 원자로에 대한 사이버 공격이 폭로될 위기에 처했다는 보고를 받고 고심에 빠졌다. 이란이 핵무기 개발을 위해 우라늄을 추출하고 있다는 의혹을 받은 나탄즈 핵시설의 컴퓨터를 공격하던 악성 코드가 밖으로 유출되며 이런 사태가 빚어졌다. 이 코드는 애초 나탄즈 핵시설의 원자로를 제어하는 중앙컴퓨터에서 벗어나지 않도록 설계됐는데, 프로그램 오류가 생겨 바깥세상으로 뛰쳐나간 것이다. 이 코드는 곧 컴퓨터 보안 전문가들에게 발견돼 ‘스턱스넷’이란 이름을 얻는다.

오바마는 이란이 이 코드에 대해 얼마나 알지는 불확실하나, 여전히 원자로 기능을 파괴하고 있다고 보고받았다. 그는 이 사이버 공격이 지속돼야 한다고 결론냈다. 이란의 핵개발을 지연시키는 유일한 방법이고, 이란으로 하여금 협상에 나서게 할 수 있는 다른 방법이 없었기 때문이다. 그 뒤 몇주간, 나탄즈 핵시설은 변형된 신형 스턱스넷 바이러스의 공격을 받았다. 스턱스넷이 전세계에 알려진 뒤에도 몇주간이나 마지막 일련의 공격이 가해졌다. 이란은 우라늄을 추출하려고 돌리던 원심분리기 5000대 중 거의 1000대를 철거해야만 했다.

이란 핵개발 군사적 제재 어렵자
핵시설 컴퓨터 통제력 붕괴 목표
프로그램 오류로 악성코드 유출
다른 발전소 등 공격받을까 우려

‘올림픽 게임’이라고 명명된 이 공작으로 이란 핵개발이 18~24개월 지연됐다고 오바마 행정부는 자평했다. 정부 안팎의 일부 전문가들은 이란의 우라늄 농축 수준이 착실히 회복된 점을 들어 그런 평가에 회의적이다. 그 효과 여부를 떠나 한가지 확실한 것은 올림픽 게임 공작이 사이버 공격의 새로운 전기를 만들었다는 것이다. 데이터를 훔치거나 컴퓨터를 다운시키는 공격이나 침투가 아니라, 작전 대상을 물리적으로 붕괴시키는 결과를 실제로 보여준 것이다. 군사 공격이나 공작원을 이용한 사보타주 공격과 똑같은 효과를 사이버 공격도 낼 수 있음을 증명했다.

올림픽 게임 공작은 조지 부시 행정부에서 2006년부터 시작됐다. 부시 행정부가 밀어붙인 이라크 전쟁이 수렁에 빠진 상황에서 이란이 핵개발을 가속화한다는 정보가 들어왔다. 당시는 이라크전 시작 명분이던 사담 후세인 정권의 대량살상무기 개발 주장이 허위로 밝혀졌던 때다. 적성국들의 핵개발에 대한 부시 행정부의 주장에 대해 여론의 지지가 싸늘한데다, 이란에 대한 군사적 제재 방안도 없었다. 당시 전략사령부에서 소규모 사이버 공작 부대를 이끌던 제임스 카트라이트 장군이 급진적 방안을 내놓았다. 나탄즈 핵시설의 산업컴퓨터 통제력을 붕괴시키는 사이버 공격이었다. 부시 등 미국 지도부는 이 방안에 큰 기대를 걸지 않았으나, 다른 대안이 없었다.

몇달간의 준비 작업과 이스라엘과의 협력을 통해 개발된 스턱스넷은 시험가동 등을 거치며 2008년이 돼서야 실제로 나탄즈 핵시설 공격에 나섰다. 마지막 고비는 이를 발전소 컴퓨터에 심는 것이었다. 발전소 컴퓨터는 인터넷 등 외부 네트워크와 완전히 절연돼 있어서, 네트워크 침입이 불가능했다. 결국 내부 관계자의 플래시 드라이브에 이 코드를 오염시켜 발전소 컴퓨터에 심는 공작을 펼쳤다.

※클릭하면 확대됩니다.

첫 공격은 소규모였으나, 효과는 만족스러웠다. 원심분리기가 통제력을 잃고 마구 회전했고, 이란 기술자들은 그 원인을 몰라서 전전긍긍했다. 이는 국가안보국(NSA)이 감청 등을 통해 확인했다. 스턱스넷 공격은 부시의 퇴임 직전에 시작됐는데, 부시는 퇴임하면서 오바마에게 이란에 대한 올림픽 게임 공작과 파키스탄에서의 드론 공격 등 두 가지는 계속 추진해달라고 부탁했다. 오바마는 이 요청을 모두 받아들였고, 오히려 더 강화했다. 오바마는 올림픽 게임 공작을 몇주 만에 한 번씩 직접 보고받으며 지휘했다.

2010년 여름, 이 악성 코드가 밖으로 유출되자 오바마는 이 코드가 다른 발전소 등에도 피해를 입힐 것을 우려했다. 조 바이든 부통령은 “이스라엘 책임”이라며 “그자들이 너무 멀리 나갔다”고 씩씩거렸다. 악성 코드의 프로그램 오류는 이스라엘이 변종 코드를 만들다 생긴 것으로 분석됐다. 이스라엘이 원심분리기의 특정 핵심 부분을 완전히 망가뜨리려고 과욕을 부리다 일어난 것이다.

미국은 올림픽 게임 공작으로 소기의 목적을 달성했는지 모르지만, 스턱스넷은 그 뒤 세계로 퍼져나갔다. 물리적 파괴를 겨냥한 최초의 강력한 사이버 공격용 바이러스는 당연히 그 후 이런 목적을 가진 바이러스 개발의 원형이 됐다.

정의길 선임기자 Egil@hani.co.kr

---

“미군 기밀 네트워크의 악성코드 잡아라”…3년간 사상최대 사이버 작전

[벅샷 양키 작전]

2008년 10월 미군의 기밀 컴퓨터 네트워크에서 이상한 신호가 나왔다. 보안 시스템 내에 숨겨진 한 소프트웨어가 작동하면서 암호화된 메시지를 송출하려고 했다. 이 미군 기밀 컴퓨터 네트워크는 아프가니스탄과 이라크에서의 미군 작전 등 가장 중요한 군사기밀을 담고 있다. 일반 인터넷망과는 절연돼 사용되고 있었다. 사태 파악에 나선 국가안보국(NSA)은 이 기밀 네트워크가 악성 코드에 감염됐다고 결론냈다.

미국의 안보가 직접적으로 위협받은 가장 심각한 사이버 침투였다. 이후 미국은 3년 넘게 이 사이버 공격을 퇴치하는 ‘벅샷 양키 작전’이라는 사상 최대, 최장의 사이버 작전을 벌여야 했다. 이 사건은 미군 내에 사이버사령부를 신설하게 하는 등 미국의 사이버 전략의 전환점이 됐다.

이상한 징후는 4개월 전인 2008년 6월에 이미 감지됐다. 북대서양조약기구(나토) 회원국의 군사 컴퓨터에서 이 악성 코드가 발견됐다. 이를 발견한 핀란드의 한 보안회사는 ‘에이전트닷비티제트’(agent.btz)라고 명명했다. 4개월 뒤 이 코드가 미군 기밀망에서도 발견되면서 심각한 위협으로 급부상했다. 악성 코드는 2008년 초에 침투해 적어도 몇달 동안 아무런 경고 없이 미국과 그 동맹국의 군사기밀망을 감염시키고 다녔다.

2008년 암호화된 메시지 송출 감지
오염된 플래시드라이브 통해 감염
‘사이버사령부 신설’ 전환점 되기도
아직까지 사건 공개조차 하지 않아

10월24일 국가안보국의 컴퓨터 시스템 보호 담당 최고행정관인 리처드 셰퍼는 백악관에서 조지 부시 당시 대통령에게 이 사건의 심각성을 보고했다. 며칠간의 응급조처와 수사 끝에 국가안보국 요원들은 이 악성 코드 침투가 오염된 플래시 드라이버 등 이동식 저장장치에서 비롯된 것으로 결론냈다. 오염된 플래시 드라이브가 중동의 한 미군기지에서 미군 랩톱컴퓨터에 삽입되면서 시작됐다. 이 플래시 드라이브의 악성 코드는 중부군사령부가 운영하는 네트워크에 업로드됐다. 이를 통해서 기밀 네트워크와 비기밀 네트워크 모두에 퍼져나가면서, 이른바 디지털 교두보라는 것을 구축했다. 이 디지털 교두보에서부터 데이터가 외국 세력에 의해 운영되는 서버로 전송될 수 있었다.

디지털글로브가 촬영한 나탄즈 핵시설 위성사진. AP 연합뉴스

미군 기밀 컴퓨터 네트워크는 외부 인터넷망과 절연되어 있어서, 외부에서 네트워크를 통한 침투와 감염이 원천적으로 봉쇄되어 있다. 하지만 현장에서 작전중인 미군 지휘관들도 랩톱컴퓨터로 이 네트워크에 접속하고, 또 플래시 드라이버를 이용해 작전지도 등을 내려받는 취약점이 있었다. 결국 이런 취약점을 파고든 것이었다. 공작원이 미군의 플래시 드라이브에 악성 코드를 심는 방식으로 미군 기밀 네트워크에 침입한 것이었다. 악성 코드는 이라크와 아프가니스탄의 미군 컴퓨터에서 특히 널리 퍼졌다. 불순 프로그램이 은밀하게 작동하며 알 수 없는 적의 손에 작전계획안을 전달하는 것은 군에는 최악의 악몽이었다.

기존 기밀 컴퓨터 네트워크를 보호하면서 악성 코드를 무력화하는 것은 지난한 과정이었다. 개별 컴퓨터들은 분리해 오프라인 상태로 만든 뒤 오염을 제거하고, 하드 드라이브를 다시 포맷하는 과정을 일일이 거쳤다. 이 악성 코드의 신규 감염은 2009년 초가 되어서야 잦아들었다. 그리고 2011년에야 완전히 퇴치하고 벅샷 양키 작전을 끝낼 수 있었다. 미국은 이 사건에 대해 작전이 진행중일 때는 물론이고 아직까지도 공식 확인하지 않고 있다. 사건을 공개하는 것 자체가 사이버 안보에 해가 되기 때문이다. 다양한 의도를 가진 해커들로 하여금 관심과 해킹 시도를 촉발한다고 보기 때문이다. 무엇보다도 확인해줄 사안이 별로 없기도 하다. 즉, 사건의 핵심인 범인에 대한 확증이 없기 때문이다.

사건 초기부터 미국은 러시아의 정보기관이 이 악성 코드를 만들어서 미국 군사기밀을 훔치려 했다고 의심했다. 하지만 확증은 없고 의심뿐이다. 러시아 마피아들의 작품이라는 추측도 있다. 러시아 마피아들은 훔칠 가치가 있는 모든 종류의 기밀 자료들을 모아서, 가장 높은 값을 부르며 원하는 사람들에게 팔기도 한다. 악성 코드 개발에 러시아가 관여했으나, 전파는 다른 쪽이 했다는 주장도 있다.

미국은 벅샷 양키 작전 와중인 2009년 6월 미국 전략사령부 산하에 사이버사령부를 신설해, 미군의 사이버 방어와 공격을 총괄하게 했다.

정의길 선임기자