메뉴명

오늘의 전체기사

2021.06.17 (목)

HOME > 기획 > 군사 > 세계 이슈 돋보기

SNS서 팔리는 ‘도둑 맞은 해킹 툴’… 역공격 위기

기사입력 2017. 11. 26   15:13

<68> 美 NSA ‘첨단 사이버 무기’ 대량 유출… 주목받는 北 사이버전력


美 국가안보국 비밀조직 ‘TAO’의 공격용 해킹 툴, 4분의 3 이상 도난 당해

해커집단 ‘섀도 브로커스’ 트위터 등 통해 판매… 러시아 연관성 배제 못해

美 언론 “北 사이버 전력 위협적… 사이버 작전 통해 연 10억 달러 벌어들여”

사이버전 방어 위해선 ‘반드시 응징·보복한다’는 메시지 전하는 것 중요

미국 국가안보국(NSA)에서 만든 사이버 무기들이 통째로 유출돼 미국과 동맹국들이 ‘사상 최대’의 위협에 직면했다. 해커집단인 ‘섀도 브로커스’가 알 수 없는 경로를 통해 NSA가 개발한 공격용 해킹 툴을 손에 넣었고, 지난해 여름부터 트위터 등 SNS를 통해 판매에 나서면서 ‘최악의 사이버 무기’가 북한 등지로 급속히 확산될 위험에 처한 것이다.

뉴욕타임스는 지난 15일 NSA가 그동안 이란·북한·이슬람국가(IS) 등에 대한 공격용으로 사이버 무기들을 개발했지만 이것들이 해커 손에 넘어가면서 미국과 동맹국들의 국가 기반시설을 파괴하는 공격용으로 쓰이게 됐다고 보도했다.

외신에 따르면, NSA는 1997년 본부가 있는 메릴랜드주(州) 포트 미드에 비밀조직인 TAO(Tailored Access Operations·특정접근작전팀)를 두고 전 세계 컴퓨터 네트워크를 대상으로 사이버 작전을 주도해왔다. 이후 인터넷 발달과 2001년 9·11 테러의 영향으로 규모가 점점 방대해지면서 TAO는 메릴랜드주 로렐에 별도 사무실을 설치했고, 콜로라도·조지아·하와이·텍사스에 지부를 뒀으나 정확한 인원수는 알려지지 않았다. 지난 2013년 독일 시사주간지 슈피겔이 TAO 텍사스 지부에 근무하는 요원이 2014년엔 270명으로 늘어날 계획이라고 보도한 바 있다.

TAO 요원들은 초기에는 중국 관리들의 가정용 PC나 러시아 원유회사 네트워크에 침투해 주요 정보를 빼내오는 역할을 수행했지만, 역할이 방대해지면서 기밀문서를 해킹하거나 주요 데이터를 변조하고, 주요 인사의 이메일을 열람하고, 국가 차원의 사이버 공격을 위한 준비 작업을 하는 등 핵심 국가안보 임무를 수행해왔다. TAO는 지난 2010년 이란 나탄즈 우라늄 농축시설에 악성 코드인 스턱스넷을 심어 원심분리기 1000개의 작동을 방해하는 데 성공을 거두며 그 실력을 인정받았다. 뉴욕타임스에 따르면, TAO는 북한의 미사일 개발과 관련한 해킹에도 중요한 역할을 수행한 것으로 알려졌다. TAO는 윈도 업데이트나 새로운 휴대폰이 출시될 때마다 해킹 소프트웨어와 하드웨어를 계속 업그레이드하며 ‘최고의 사이버 무기’를 개발해왔다.

문제는 지난 2013년까지 개발한 해킹 툴이 통째로 도난당했고, 이제 적대국에 해킹 툴이 SNS를 통해 고스란히 넘어가 미국과 우방국들이 그 기술을 역이용한 사이버 공격을 당하게 되는 위기를 맞은 것이다. 주요 외신에 따르면, TAO가 개발한 해킹 툴의 4분의 3 이상이 도난당한 것으로 알려졌다. 도난당한 해킹 툴에는 컴퓨터 방화벽을 우회하고, 윈도 시스템에 침투해 PC에 저장된 정보를 빼내고, 안드로이드 폰에 사용된 리눅스 시스템을 해킹할 때 쓰이는 이른바 ‘OPS 디스크’들이 고스란히 들어있었다. 그뿐만 아니라 NSA가 글로벌 금융 결제망인 ‘스위프트(SWIFT)’에 침투해 중동은행을 비롯한 적성국가 은행들의 거래 내역을 감시하는 데 사용했던 해킹 툴까지 유출됐을 가능성이 제기되면서 ‘스위프트 공포’가 전 세계 금융계를 강타했다.

사이버 보안 전문가 사이에선 이번 TAO 해킹 툴 유출 사건을 두고 1952년 NSA 설립 이후 ‘최악의 위기’라는 평가가 나온다. TAO 유출에 따른 피해가 2013년 에드워드 스노든에 의한 ‘위키리크스’ 사건보다 더 광범위하고 심각하다는 것이다. 뉴욕타임스는 “스노든은 작전계획을 공개한 것이고 섀도 브로커스는 실제 동원되고 있는 무기를 유출한 것”이라며 “사이버 무기들이 북한과 러시아 해커들에게 흘러 들어가 미국과 우방국들을 공격하는 데 쓰였다”고 전했다. 또한 “전 세계 수백만 명이 컴퓨터 시스템 복구 비용으로 디지털 화폐를 요구하는 랜섬웨어 공격을 겪었고 페덱스 유럽지사에 대한 사이버 공격으로 3억 달러의 손실이 발생하는 등 전 세계가 막대한 손실을 입었다”고 전했다. 리언 패네타 전 미 국방장관은 뉴욕타임스에 “NSA 해킹 툴은 유출이 발생할 때마다 처음부터 다시 시작해야 한다”면서 “이번 유출은 미국의 정보역량과 사이버 능력에 믿을 수 없는 수준의 손상을 입혔다”고 밝혔다.

하지만 NSA는 지난 15개월에 걸친 광범위한 조사에도 불구하고 여전히 러시아 측의 해킹 공격인지 내부자 소행인지조차 파악하지 못하고 있는 상황. 지금까지 NSA 전·현직 직원 3명이 체포됐지만, 이들 모두 섀도 브로커스와의 연관성이 발견되지 않았다. 이들 모두 러시아 해커들의 공격을 받은 바 있고 섀도 브로커스가 올린 트위터 글이 러시아와의 연관성을 시사하고 있다는 점에서 러시아의 소행으로 추정할 뿐이다.

이런 분위기 속에서 미 언론은 북한의 사이버 전력 수준을 경고하고 나섰다. 미국이 방심하는 사이 북한이 핵·미사일 무기를 고도화한 것처럼 사이버 전력도 ‘위협적인 수준’에 도달했다는 것이다. 지난해 5월 전 세계 PC 수십만 대를 감염시키고 영국 국립의료서비스 중단 등을 초래했던 랜섬웨어 공격도 북한의 소행일 가능성이 제기됐다. 또한 지난해 뉴욕연방준비제도의 방글라데시 중앙은행 계정에서 10억 달러를 탈취하려다 미완에 그친 사이버 공격도 북한 소행으로 밝혀졌다. 당시 해커들은 완전 범죄에 실패했지만, 그래도 8100만 달러를 훔치는 데 성공했다. 이 사건은 국가가 주도한 사이버 은행 절도사건의 세계 최초 사례로 기록됐다. 앞서 북한은 2014년 소니 픽처스를 해킹해 1500만 달러의 손실을 입혔다.

뉴욕타임스는 지난달 15일 자 기사에서 “북한이 과거엔 미화 100달러짜리 위조지폐를 만들었다면, 지금은 랜섬웨어, 디지털 은행 절도, 온라인 비디오게임 해킹, 최근엔 한국 비트코인 거래소 해킹 등을 통해 1년에 수억 달러를 벌어들이고 있다고 정보당국은 추정하고 있다”면서 “영국 정보 당국 수장을 지낸 한 인사는 북한이 사이버 작전을 통해 연간 10억 달러를 벌고 있는데, 이는 북한 전체 수출의 3분의 1에 달한다고 말했다”고 전했다.

북한은 지난 1991년 걸프전 당시 전자전의 중요성을 인식하고 비대칭 전력의 핵심 축으로 ‘사이버 전력’을 꾸준히 육성해왔다. 1990년대 말 북한은 사이버 영재들을 발굴해 중국에서 컴퓨터 교육을 받게 했다. 연방수사국(FBI)에 따르면 유엔 대표부에 파견된 직원들이 비밀리에 뉴욕 소재 대학에서 컴퓨터 프로그래밍 수업을 듣는 등 북한의 지도부는 일찍부터 ‘사이버 전력’을 육성해온 것으로 알려졌다. 뉴욕타임스는 최근 북한이 정찰총국 산하에 6000명 이상의 해커들을 보유하고 있으며 ‘사이버 공격’을 위해 취약한 네트워크에 대한 정찰작업을 실시간으로 벌이고 있다고 전했다.

북한의 사이버전은 핵·미사일 도발과 달리 국제적인 제재에 놓일 가능성이 없고 도발 시 보복공격을 받는다고 해도 사이버 기반이 제대로 갖춰지지 않아 입을 손실이 별로 없는 것으로 알려졌다. 김정은 노동당 제1비서는 “사이버전이 핵·미사일과 함께 인민군대의 무자비한 타격 능력을 담보하는 만능의 보검”이라고 언급하며 사이버전의 중요성을 강조했다.

랜드연구소의 마틴 리비키 박사는 “사이버 방어를 위해선 사이버 공격을 감행한 측에게 반드시 응징한다는 메시지를 전하는 게 무엇보다 중요하다”면서 이를 위해 누가 공격했는지(attribution), 어느 정도 공격에 반격을 가할 건지(thresholds)를 분명히 하고 반드시 보복한다는 신뢰성 있는 메시지(credibility)와 함께 사이버 보복을 실행할 능력(capability)을 갖춰야 한다고 주장했다. <윤태형 뉴스1 국제 전문기자>

< 저작권자 ⓒ 국방일보, 무단전재 및 재배포 금지 >

기사에 대한 의견 개 있습니다. 로그인 후에 작성하실 수 있습니다.