우리의 대응 전략 및 과제- 박춘식 한국정보보호학회 회장_[2015 국가위기관리 종합보고서] 북한의 사이버 위협과 우리의 대응

                                                     우리의 대응 전략 및 과제                                                       [2015 국가위기관리 종합보고서] 북한의 사이버 위협과 우리의 대응

우리의 대응 전략 및 과제

 

 

 

박 춘 식

한국정보보호학회 회장

서울여자대학교 교수

 

 

1. 21세기 안보 개념 변화

 

21세기 안보 개념은 이전과는 확연히 달라졌다. 1990년대 들어 동서독 통일과 소련 연방 붕괴에 따른 공산주의 몰락으로 냉전체제가 해체되면서 냉전체제를 지탱해 왔던 핵, 미사일, 생화학 무기 등 대량살상(Mass Destruction) 무기 중심의 전쟁에서 새로운 양상의 공격 형태들이 나타나기 시작했다. 비대칭 전력의 형태를 갖게 된 국가나 집단 등이 자행하는 테러 등이 1990년대를 기점으로 급격히 수면 위로 떠올랐다.

 

이러한 물리적 테러 개념은 새로운 IT 기술과 급속한 인터넷 환경 변화로 생겨난 사이버 공간에서도 확장되었다. 사이버 범죄, 사이버 테러, 사이버 첩보, 사이버 전쟁 등의 형태로 과거 물리적 공간에서 발생한 것들이 사이버 공간에서도 그대로 재현되고 있는 것이다.

 

이 같은 흐름은 물리적 영토 개념이 사이버 공간으로 확대돼 전쟁 수행 영역의 외연을 넓혔다. 단순한 물리적 파괴를 넘어서서 전쟁 수행 시스템 자체를 마비시키는 형태로 공격 대상이 다변화되었으며 정보 우위를 기반으로 한 네트워크 중심 전쟁으로 전쟁 환경의 변화까지 불러왔다. 즉 대량살상무기 및 물리적 테러 중심의 기존 전쟁 양상을 총성 없는 사이버 테러 및 사이버 전쟁으로 변화시켰다.

 

그 결과 미국의 외교 전문지 포린 폴리시(Foreign Policy)는 2007년을 사이버 전쟁 원년으로 선포했으며 각국 또한 자국의 안보 개념 및 정책의 패러다임을 바꾸기 시작했다. 심지어 미국 오바마 대통령은 사이버 공격을 국가 안보의 제1 위협으로까지 규정하기에 이르렀다.

 

먼저 1990년대 발생한 주요 테러 사건들을 살펴보면 그 변화의 정도를 짐작할 수 있을 것이다.

 

1994년 12월 24일 에어프랑스기 납치 사건은 생화학 테러나 대량살상무기 형태에서 항공기 테러의 새로운 유형을 보여 주었다. 이날 무장 이슬람단체는 아프리카 알제리에서 항공기를 납치하여 프랑스 파리로 무조건 향하도록 협박했다. 다행히 급유 문제로 마르세이유공항에 비상 착륙하여 대량 피해를 막아냈지만 추후 밝혀진 사실에 의하면 테러범들의 납치 목적은 파리의 에펠탑을 비행기로 충돌하여 서양 문명에 대한 공격을 전 세계에 보여 주려고 하였다고 한다. 납치 목적을 전혀 알지 못했고 새로운 테러 형태에 준비하지 못했던 정보기관들이었지만 이 항공기 테러의 성격을 보다 깊이 있게 분석하고 각국 간에 정보를 공유하였더라면 미국의 9·11 테러 같은 대참사는 예측된 공격 시나리오 중의 하나로 사전에 막지 않았을까 하는 아쉬움을 남긴 사건이었다.

 

1995년에는 티모시 멕베이가 트럭에 폭탄을 싣고 미국 오클라호마 연방 청사 지하 주차장으로 돌진해 사망 168명, 부상 850명이라는 참변을 부른 오클라호마시티 폭파 사건이 발생했다. 이를 계기로 당시 미국 클린턴 행정부는 지금까지의 전쟁 및 테러 개념에서 벗어나 국가의 주요 기반시설(critical Infrastructure)을 대상으로 한 새로운 테러까지 고려한 더욱 확장된 개념의 국가 안보정책을 수립하게 되었다.

 

그러나 이러한 미국 안보 정책의 변화와 대응조차 여전히 초기 단계에 불과했다.

 

사이버 공간에서 미국 국방부나 에너지부 등 정부기관을 상대로 군사 관련 정보를 탈취하려고 시도하는 cyber Espionage 등의 활동은 1990년대 말까지 계속되고 있었기 때문이었다.

 

이러한 과도기 안보 개념으로 21세기를 맞이한 세계가 그것이 불완전하다는 것을 인식하는 데는 오랜 시간이 걸리지 않았다. 2001년 9월 11일 미국의 심장부 뉴욕이 항공기 테러로 공격받는 사상 초유의 비극이 벌어졌다. 테러범들은 단 3대의 민간 항공기를 납치하여 서양 문명과 미국 경제의 상징인 세계무역센터 빌딩을 공격해 3,000명의 사상자와 40조 원에 달하는 경제적 피해를 입혔다. 이들은 아주 적은 비용으로 최대의 효과를 낸 테러를 자행했으며 이는 미국의 정치, 사회, 안보, 도시 구조 등 모든 것을 바꾸어 버렸다. (브루스 슈나이어의 Beyond Fear에서) 21세기 들어 각국의 안보 개념은 9·11 테러를 계기로 결정적으로 전환을 맞았다. 항공기 안전은 물론이거니와 열차, 건물, 기반시설 등을 대상으로 이뤄지는 테

러를 대비하는 개념으로 급속하게 변했다. 전쟁 억지력이 될 수 있는 비대칭 전력하에서도 전쟁을 수행하는 방법이 테러 등의 방법으로 확대됨을 알 수 있었다.

 

그러한 또 다른 흐름으로 시대 변화와 함께 사이버 공간에서 사이버 테러 등이 발생하기 시작하였다. 이와 더불어 강대국인 미국, 중국, 러시아는 사이버 공간에서도 우위를 유지하기 위한 활동을 끊임없이 전개하고 있다. 사이버 공간을 통한 정보 수집은 물론이고 상대국의 인터넷망을 마비시키거나 혼란을 야기시키는 활동을 구사하기에 이르게 되었다.

 

사이버 공간에서 서로 신경전을 벌이면서 자국의 사이버 방어력을 강화해 오던 2000년대 초반부터 사이버 공간은 국가나 단체 등의 범죄, 테러, 스파이, 전쟁 등의 수단으로 점점 확대되고 표면화되었다.

 

2007년 러시아가 에스토니아를 사이버 공격하여 국가의 기간 인터넷망 등을 마비시키는 초유의 사건은 사이버 공간이 전쟁 공간으로 확대될 수 있음을 여실히 보여 주었다. 미국의 외교 전문지 포린 폴리시가 2007년을 사이버 전쟁 원년이라고 선포하게 된 배경이다. 그동안 물리적 공간에서 끊임없이 크고 작은 전쟁이 발생하였지만 21세기의 안보 개념은 사이버 공간에서 새로운 양상으로 복잡하게 전개되고 있다.

 

사이버 공간에서의 피해가 물리적 공간과 직접적으로 연결되기도 하며 국가 주요 기반시설의 파괴 또는 마비로까지 이어지기도 한다.

 

2008년 스페인 국적 항공기의 원인 모를 추락 사건도 하나의 예이다. 2년이 지난후 발표된 원인 조사 결과에 따르면 이 사건은 항공기 중앙제어장치 컴퓨터가 사이버 테러범들이 사용한 멜 웨어 감염돼 일어난 것으로 드러났다. 이처럼 항공기 납치범들의 테러 수법은 예전의 하이재킹에서 벗어나 사이버 공간을 이용해 더욱 정교하고 교묘해졌다. 사이버 테러에 의한 항공기 파괴는 물론, 원격 조정되는 항공기를 통한 또 다른 파괴 행위가 가능하게 된 것이다.

 

사이버 공간이 범죄, 테러, 전쟁 등의 수단으로 변질되는 가운데 이에 맞서 국제사회의 초보적인 대응책 논의도 활발히 진행되고 있다. 유엔을 통한 다국적 회의 외에도 미국과 러시아 간 양국 안보협의에서 사이버 공격에 대한 개념이 본격적으로 등장했다.

 

이런 가운데 2010년 6월 이란 부셰르 원자력 발전소가 해킹되는 사건이 일어났다. 외부 인터넷과 차단되고 고도의 안전이 유지되고 있는 원자력 발전소의 핵심 시설이 해킹당한 것이다. 이 사건으로 이란의 원자력 발전은 상당 기간 차질을 빚었으며 그동안 상상으로만 여겨졌던 사이버 공격이나 사이버 전쟁이 현실화될 수 있음을 세계는 인식했다. 추후 보도로 알려진 사실이지만 이 사건은 미국과 이스라엘의 합작품으로 유추되는 스턱스 넷(StuxNet)이라는 초유의 악성코드가 원자력 시스템, 스마트 그리드 시스템, SCADA 시스템을 타깃으로 행하여진 사이버공격이었으며 특정 조직이나 국가 차원에서 개입하거나 공격했다는 결론에 이르게 되었다.

 

이란 원자력 발전소 사이버 공격에 이어 2012년 8월에는 세계 최대 석유 기업인 아람코(Saudi Aramco)사의 컴퓨터 3만 대가 Shamoon 바이러스에 감염·해킹 당했다. 단일 기업에 행해진 가장 파괴적인 사이버 공격이었다. 군사시설이나 기반 시설이 아닌 민간 기업까지 사이버 공격의 목표물이 된 것이다.

 

사이버 공간을 통한 이러한 각종 공격들은 각국의 사이버 안보 개념을 바꾸고 있다. 안보 개념의 변화는 각국의 사이버 공간의 군비 경쟁으로 이어지고 있으며, 크고 작은 각종 충돌들이 사이버 범죄, 정보 수집, 테러, 전쟁 등의 다양한 양상으로 전개되어 21세기의 복잡한 안보 환경을 보여 주고 있다.

 

최근만 보더라도 2014년 한국수력원자력(한수원) 해킹 사건은 물론이고 미국의 소니 픽쳐스사의 해킹 등 큼직큼직한 사이버 테러 사건들이 보도되고 있다. 2014년 8월에는 미국 댈러스에서 샌디에이고로 향하던 승객 179명을 태운 아메리칸 에어라인 소속 보잉기가 갑자기 휘닉스로 방향을 변경하고 사막 한가운데 불시착한는 일이 벌어졌다. 비행기에 소니 계열사 사장이 타고 있어 화물칸에 폭발물을 설치했다는 리차드 스쿼드 해커 그룹의 트위트 때문이었다. 일반적으로 비행기 탑승객 명단은 외부로 알려지지 않지만 해커들은 이를 해킹하여 이미 파악하고 있었다.

 

다행히 해프닝으로 끝나 대형 사고로 이어지지 않았지만 항공기 해킹 테러의 가능성을 보여 주었다.

 

2014년 12월에는 독일의 한 철강회사가 사이버 공격을 당하여 용광로가 피해를 입는 사건이 발생했다. 2014년 12월 독일 보안기관인 BSI가 발행한 보고서(German Security Report, 2014·12. BSI)에 의하면 해커가 철강 회사의 제어시스템을 파괴하고 용광로를 차단하여 엄청난 피해(massive damage)를 입혔으나 상세한 내용은 공개할 수 없다고 밝혔다. 해커가 철강 회사의 기업 네트워크를 먼저 공격하여 교두보를 확보한 후 생산 네트워크에 대한 공격을 감행했다는 것이 대략적인 설명이었다. 스턱스 넷을 이용한 이란 원자력 발전소 사이버 공격 이후 공식적으로 두 번째로 사이버 공간을 통한 물리적 피해가 발생한 것이다.

 

올해에도 황당한 사이버 공격 사례들이 심심치 않게 해외 언론들을 장식하고 있다. 2015년 4월 미국 감사원이 발행한 보고서에 의하면 미국 항공기 기종의 차세대화 교체 과정에서 사이버 위협이 증대하고 있다고 경고한다. 사용자가 방화벽을 우회하여 항공기 객석에서 비행기 조종실의 항공전자시스템에 접근할 수 있다는 우려이다. 실제로 비행기 객석에서 항공기 오락 시스템을 통한 해킹으로 비행기를 조종한 혐의로 FBI 수사를 받고 있다는 보도도 있다.

 

같은 달 프랑스의 한 TV 방송국은 사이버 공격을 당하여 방송이 불능되는 사태가 일어났다. 시청자가 2억 5,700만 세대에 달하는 프랑스어 국제방송국인 TV5 Monde가 이슬람 과격파로부터 사이버 공격을 당하여 수시간 방송불능 상태를 빚으며 방송국 협박 및 이슬람교 관련 내용이 자막에 뜬 사건이었다. 언론 및 방송이 사이버 공격을 받아 자막 등 방송 내용이 바뀐 새로운 유형의 파괴와 혼란이 었다.

 

이처럼 사이버 공간을 통한 사이버 공격은 기반시설 외에도 에너지, 주요 산업시설, 방송국 등 표적을 가리지 않고 벌어지고 있다. 이들 사이버 공격은 사이버 공간의 특성상 우리 주변에 너무 쉽게 존재한다. 세계는 적이나 후방에 대한 개념조차 없는 전혀 새로운 형태의 21세기 글로벌 안보 환경을 맞이하고 있음을 우리는 직시해야 한다.

 

사이버 공간은 이제 사이버 범죄, 사이버 첩보, 사이버 테러, 사이버 전쟁 등의 무대가 되고 있다. 특히 원자력발전소, 철광회사, 방송국, 항공기 등 사이버 공격의 대상이 다양화되는 현실에서 사이버 공간 우위 확보를 위한 각국의 사이버 안보및 사이버 군비 경쟁은 치열해지고 있다.

 

이러한 안보 환경의 변화가 우리나라의 안보 환경, 특히 북한과 물리적 공간뿐만 아니라 사이버 공간에서도 대처하고 있는 현실에 어떠한 변화를 가져오게 될지 미리 예측하고 서둘러 대책을 마련해야 한다.

 

2. 국내 사이버 테러 주요 사례

 

우리나라의 사이버 공간에서도 각종 사이버 범죄는 물론, 북한의 소행으로 추정되는 각종 사이버 공격들이 발생하고 있으며 현재도 크게 증가하고 있다. 언론이나 많은 자료를 통해 드러난 사이버 공격들 중 대표적인 사례를 연도별로 살펴보면 다음과 같다. 상보는 생략하고 이름만 소개한다.

 

• 2003년 1·25 인터넷대란

• 2009년 7·7 DDoS 공격

• 2011년 3·4 DDoS 공격 / 4·12 NH 전산망 마비 사태

• 2012년 중앙일보 해킹 등

• 2013년 3·20 YTN 등 방송, 금융사 해킹/6·25 청와대 등 DDoS 공격

• 2014년 한국수력원자력(한수원)사태

 

3. 사이버 안보 환경에 대한 이해

 

사이버 안보 환경을 이해하기 위해서는 먼저 사이버 공간의 특성들을 살펴보는 것이 필요하다. 사이버 공격 측면과 사이버 방어 측면에서 살펴본 특성을 간략하게 각각 10가지로 요약해 정리한다.

 

물론 이러한 특성은 전문가들 사이에서도 서로 이견이 있을 수 있고 더 많은 특성이 있을 수 있겠지만 여기서는 10가지 정도로 압축한다.

 

가. 사이버 공격 측면의 특징

 

첫째, 사이버 공간 내에서만 공격하는 것이 아니라 사이버 공간을 경유하거나 이용하여 물리적 공간에 대한 컴퓨터, 네트워크, 기반시설, 군사시설 등의 사이버 공격이 다양하게 이루어진다. 둘째, 사이버 공격은 전후방(내 외부) 국경 및 전선의 구분이 없는 전방위 공격이다. 셋째, 사이버 공격은 항상 공격준비 완료 상태이며 현재진행형이다. 지금 이 순간에도 사이버 공격은 이루어지고 있다. 넷째, 사이버공격은 주로 일회용이며 최초로 개발한 공격 기법을 사용하는 경향이 있다. 이는 사이버 공간에서 한 번 사용된 사이버 공격 기법은 대부분 파악돼 파급 효과가 떨어지기 때문이다.

 

다섯째, 정보 수집을 위한 사이버 첩보(Cyber Espionage)와 민중 선동, 사회 교란, 정부 불신, 전복 및 파괴 등을 위한 사이버 심리, 사이버 간첩 활동 등도 사이버 범죄, 사이버 테러, 사이버 전쟁 등과 함께 진행되거나 단독 진행된다. 여섯째, 사이버 공격을 할 수 있는 사이버 공간은 무한한 데 비하여, 방어 공간은 능력상 한정 되어 있다. 사이버 공격은 어떤 공간을 통하여서도 이뤄질 수 있지만 사이버 방어는 어느 공간으로부터, 언제 어떠한 형태로 공격이 감행되는지를 사전에 파악하기가 어렵다. 일곱째, 사이버 공격은 분산서비스거부공격(DDoS)만이 아니며 너무나 많은 파괴 수단을 갖고 있으며 언제든지 신속히 새롭게 만들 수 있다.

 

여덟 째, 익명성의 사이버 공간 특성상 공격 주체(attribution)를 추적하기가 곤란하다. 더구나 사이버 공격은 여러 국가나 단체 등을 경유하기 때문에 실체 파악이 어렵다. 해당 국가의 도움 없이는 전모를 파악하기가 힘들며 파악했다 하더라도 해당 국가나 개인이 조사를 거부하면 입증하기가 쉽지 않다. 아홉째, 사이버 공격자는 공격 대상(국가, 단체, 개인 등)에 필요한 많은 정보를 사전에 확보하고 있다.

 

공격자의 능력에 따라 다를 수는 있겠지만 대부분의 사이버 공격은 공격 목표물에 대한 정보를 사전에 충분히 수집, 파악하고 있다.

 

열째, 물리 공간에서의 지정학적 특성이 사이버 공간에서도 그대로 적용되는 특성이 있다. 예를 들면 이스라엘과 주변 중동 국가, 인도와 파키스탄, 북한과 한국 등 물리적 공간에서의 지정학적 특성이 사이버 공간에서도 그대로 확대되고 있다.

 

나. 사이버 방어 측면의 특징

 

첫째, 사이버 방어를 통해 알게 된 사실은 빙산의 일각에 불과하다. 또한 사이버 방어 지점이 사실상 허상이 될 수도 있는 성동격서(聲東擊西)의 특성이 있다. 사이버 방어 과정에서 알게 된 사이버 공격은 극히 일부에 지나지 않으며 사실상 엄청난 공격이 진행되었거나 되고 있을 수도 있다. 사이버 공격이 한 쪽을 노리고 있지만 실제로는 다른 곳을 공격할 수도 있기 때문에 사이버 방어 측면에서 이러한 특성을 잘 파악해야 한다. 예를 들면 사이버 심리전을 통해 사이버 방어 전선을 유도하면서 실제로는 기반시설이나 군사시설을 사이버 공격하는 전략이 여기에 해당된다.

 

둘째, 사이버 방어 측면에서 본 사이버 공격은 피아 식별이 어려우며 전선이 없으어 사실상 전후방이 따로 없다. 사이버 공간은 국경이 없어 자국 내에서 사이버 공격이 일어날 수도, 다른 나라에서 공격해 올 수도 있으므로 주적(主敵)을 정하는 일이 어렵다. 셋째, 사이버 방어는 공격을 결코 이길 수 없다. 사이버 방어는 사이버 예방 및 피해 최소화, 탄력적인 복구에 그칠 뿐이다. 넷째, 사이버 공간에서의 사이버 전력은 국가의 IT 의존도에 따른다. 사이버 공격에 대한 전력이 아무리 우수하여도 사이버 공격으로 큰 피해를 입으면 사이버 전력이 우수하다고 말할 수 없다. 사이버 공격으로 피해가 커지는 것은 인터넷이 발달하여 사회나 국가 시스템이 IT에 크게 의존하는 경우이다. IT 의존도가 낮은 경우는 아무리 강력한 사이버 공격이 가능해도 피해 면에서는 오히려 심각하지 않을 수 있다.

 

다섯째, 사이버 공격을 방어하기 위해서는 고려해야 할 문제가 많다. 대표적으로 개인 정보나 프라이버시, 기업 비밀, 통신 비밀 등이 있다. 여섯째, 사이버 공간에서의 사이버 공격은 반드시 발생한다는 전제 하에서 사이버 방어를 세워야 한다.

 

사이버 공격으로 모든 것이 마비되고 불능화될 수 있다는 상황을 고려하여 최악의 경우를 대비한 훈련을 해야 한다. 군을 예를 들면 재래식 무기 사용법 및 비상 대비 훈련도 해 두어야 한다. 일곱째, 사이버 방어는 평시/전시 구분이 모호하며 관할/담당/영역 등도 구분이 쉽지 않으므로 신속하게 대응하는 것이 아주 중요하다. 기존의 수직적인 조직 체계나 대응 체계보다 수평적인 대응 체계가 훨씬 효율적이다.

 

여덟째, 사이버 방어는 공격정보(해커 등 관련 정보, 특성, 취약성 및 공격 정보 등)수집을 위한 HUMINT가 중요하며 해외 기관과의 공조 및 국제 협력이 필요하다.

 

아홉째, 사이버 방어는 수직적 조직 및 단독(부처/조직/국가)으로 방어하기 어려운 면이 있다. 수평적 조직, 민관군 범정부 대응이 효율적이다.

 

마지막으로 열째, 사이버 공격은 반드시 재발한다고 생각해야 한다. 사이버 공격이 일어나고 있지 않는 것이 아니라 잠복 중이며,공격이 진행되고 있는 데도 알고 있지 못할 뿐이라는 사실을 명심해야 한다.

 

4. 사이버 안보와 북한

 

지금까지 공격과 방어 관점에서 사이버 공간 특징을 살펴보았다. 여기서는 우리나라와 지정학적으로, 또한 사이버 공간에서조차 대치하고 있는 북한에 대하여 사이버 안보 관점에서 살펴보고자 한다.

 

북한이 우리나라를 공격할 경우 핵, 생화학 무기 등 비대칭전을 함께 진행할 것이라고 많은 군사전문가들은 예상하고 있다. 지금까지 북한의 비대칭전력으로 핵이나 미사일 그리고 생화학 무기 외에도 특수부대, 잠수함, 게릴라전 등을 생각하였지만 최근에는 해킹, 사이버 첩보, 사이버 심리전, 사이버 대남 공작 등 사이버 공격력을 추가하였다. 특히 김정은 정권은 주요 비대칭전력으로 핵, 미사일, 사이버공격을 강조하고 있으며 이 중 사이버 공격을 가장 선호하고 있다고 한다.

 

이는 우리나라와 북한의 인터넷 의존도 차이 때문으로 분석된다. 우리나라는 안보, 경제, 국민 생활 등 대부분의 활동이 인터넷에 크게 의존하고 있음에 반하여 북한은 폐쇄된 국가라 인터넷에 거의 의존하지 않는 데 기인한다. 사이버 공격으로 인터넷이나 IT에 의존하는 군사시설, 경제시설, 기반시설 등이 마비되면 우리나라는 전시에 준하거나 또는 그 이상으로 안보, 경제, 생활 등에 피해를 입을 수 있지만 북한은 미미한 피해에 그칠 것으로 예상된다. 특히 북한은 기존에 추진해 오던 대남 공작은 물론이고 남한 전복을 위한 각종 활동 등을 사이버 공간에서 보다 쉽게 전개할 수 있다.

 

북한은 이러한 활동을 할 수 있는 새로운 공격 수단인 사이버 공격을 주된 비대칭 전력으로 간주하고 이를 준비하는 데 전력을 다하는 것은 필연적인 것으로 보인다.

 

더구나 북한의 주요 사이버 공격 타깃인 정부 기관, 국가 기반시설, 금융기관, 언론사, 기업 등은 무수히 많다. 특히 스마트 그리드 시스템, 금융 시스템 등을 통하여 주요 기반시설을 파괴하거나 마비시켜 국가나 사회 전체를 혼란으로 빠뜨릴 가능성이 높다. 이를 통해 정부 불신 조장, 사회 불안 유도, 남남 갈등 등을 조장하려고 할 것이다.

 

북한이 우리나라에 시도한 과거 사이버 테러 중 DDoS 공격의 유형을 분석해 보면 사이버 테러를 통해 얻고자 하는 것이 무엇인지 명확하게 드러난다. DDoS를 통한 북한의 사이버 공격 의도는 우리나라의 내부 혼란을 야기하고 사이버 공격에 대한 대응 능력을 파악하기 위한 사전 탐색의 성격을 띤 것으로 보인다. 나아가 한국과 주한미군 그리고 미국과의 사이버 공격에 대한 공조 여부 등을 파악하고자 하는 노림수도 담긴 것으로 유추된다.

 

이런 과정에서 우리나라 인터넷 개방 체제와 관련된 각종 정보들을 북한이 사전에 수집해 사이버 공격에 이용하고 있음이 드러나고 있다. 평상시에도 인터넷 등을 통해 북한이 각종 정보 수집 활동해 오고 있다는 증거다. 2012년, 국제사이버범죄 대응 심포지움에서 한희 박사는 “우리나라에서 북한에 의해 사전 장악된 컴퓨터가 1,000만 대 이상이며 이 컴퓨터들이 북한 해커들에 의해 조정되어 국가 핵심 기관이 공격을 당하거나 혼란에 빠질 수 있다”라고 주장한 바 있다.

 

이와 관련 2011년 동아일보가 특집으로 보도한 북한의 사이버 공격 관련 내용이 주목된다. “해킹 기술, 사이버전 수행 능력은 우리가 월등하다. 문제는 우리는 공격할 곳이 별로 없고, 북한은 공격할 곳이 많다는 점이다. 따라서 사이버전이 발발하면 우리 피해가 훨씬 심각할 것으로 보인다. 마음만 먹으면 인천공항 관제센터를 마비시킬 정도의 능력은 가진 것으로 판단된다. 사이버전은 부드럽지만 치명적이다. 네트워크를 무용지물로 만든다. 장사정 포보다 더 파괴적이다.”

 

제임스 울시 전 미국 중앙정보국(CIA) 국장은 지난해 7월 23일 하원 군사위원회 청문회에 제출한 서면 답변서에서 “러시아가 북한의 전자기파(EMP)탄 개발에 도움을 줬다고 미국 측에 알려왔다”고 밝혔다. 북한이 EMP탄을 실제로 개발했다면 국군 C4I(지휘통제통신전산정보체계)를 원거리에서 타격할 수 있는 셈이다.

 

그렇다면 북한의 사이버 공격 능력은 어느 수준일까. 2011년 미국의 폭스 뉴스(Fox News)는 “Can USA stop a North Korean Cyber Attack?”라는 제목으로 이를 보도한 적이 있다. 이 기사에서 폭스 뉴스는 세계는 북한의 핵을 염려하고 있지만, 북한의 지도자는 사이버 공격을 훨씬 더 중요한 무기로 생각하고 있다고 소개했다. 미국 Technolytics사는 Cyber Warfare 보고서에서 미국, 중국 등 선진국은 사이버 공격 능력이나 무기개발 수준이 상당한 수준에 도달하고 있으며 북한도 중급 수준의 사이버전 수행 능력을 확보하고 있다고 밝혔다.

 

미국의 클린턴 및 부시 행정부의 사이버 안보보좌관을 역임한 Richard Clarke는 <사이버 전쟁(Cyber War)> 책에서 Overall Cyber Terror War Strength를 강대국을 중심으로 소개하였다. 그는 미국, 중국, 러시아, 이란, 북한에 대한 사이버 전력을 Dependence(주요 인프라 시설의 네트워크시스템 의존도)를 고려하여 분석할때 미국이 사이버 전력 면에서 오히려 러시아나 북한에 비하여 미흡하다고 말한다.

 

 

2012년 일본의 Itsuro Nishimoto 박사는 <사이버전쟁의 진실>이라는 책에서 사이버 전쟁에 대한 전력의 평가를 공격력, 방어력, 전력(=공격력+방어력), 지켜야할 가치 그리고 취약도(=가치/전력) 관점에서 주요국의 전력을 다음 표와 같이 소개하였다. 여기서 북한이 불량국가 및 테러국가임을 고려한다면 중급 이상의 사이버 공격 전력을 갖고 있다고 유출할 수 있을 것 같다.

 

 

올해 5월 국회에서 국방부 당국자는 북한의 사이버 전쟁 인력이 해커 1,700여명, 지원조직 5,100여 명 등을 포함해 총 6,800여 명이라며 이전보다 사이버전 수행 인력이 900명 증가하였다고 언급했다. 북한은 비대칭 전력 가운데에서도 사이버 공격에 대해 가장 큰 관심을 갖고 있으므로 우리나라가 사이버 안보 관점에서 사이버 공격에 어떻게 대응하고,준비해야 하는지 짐작할 수 있다.

 

2013년 국방 정보보호 컨퍼런스에서 이수진 국방대학교 교수는 “북한은 이미 많은 것을 알고 있다”라는 내용을 발표하였다. 우리나라의 인터넷에 연결된 각종 군사시설, 주요 기반시설, 경제시설, 언론 및 방송사 등 사이버 공격을 위해 필요한 정보들을 이미 북한이 장악하고 있음을 말해 준다.

 

5. 북한 사이버 공격 선호 배경

 

그렇다면 북한은 왜 사이버 공격을 선호하는지 그 배경을 살펴본다.

첫째, 북한은 사이버 공간을 국가가 소유하고 통제 및 운영하고 있으며 국가 주도의 정책을 추진하기가 용이한 국가이다. 이에 비해 인터넷이 발달한 나라나 인터넷에 의존도가 높은 나라일수록 사이버 공간을 소유하거나 통제하는 것이 아주 어렵다. 사이버 공간에서도 인권, 표현의 자유, 프라이버시, 경제 활동, 국가 경쟁력 등을 물리적 공간과 마찬가지로 고려하지 않을 수 없기 때문이다.

 

둘째, 사이버 공격은 적은 예산으로 최대의 효과를 낼 수 있는 가장 경제적인 공격 수단이다. 북한의 비대칭 전력의 하나인 대포동 3호 미사일 발사 비용은 발사장 건설 4억 달러, 대포동 미사일 개발 3억 달러, 위성 개발 1.5억 달러로 총 8.5억 달러로 추정되고 있다.(조갑제 닷컴 2012.3.19) 이에 비해 미국 크리스천 사이언스 모니터(2011.3.7)지에 의하면 3년간 사이버 전문가 600명과 5천만 달러를 투자하면 북한의 사이버 공격 능력은 미국을 능가할 것이라고 보도하고 있다.

 

사이버 공격을 하는 데 필요한 전문 해커 양성에 소요되는 비용은 다른 비대칭전력의 개발이나 운용에 소요되는 비용에 비해 아주 적다. 반면에 사이버 공격으로 입는 경제적 손실은 추정하기 어려울 정도로 막대하다. 그 때문에 사이버 공격은 비용 대비 효과가 극단적으로 뛰어나다.

 

셋째, 우리나라는 인터넷 등 IT 의존도가 아주 높아 국가 주요 기반시설을 파괴하거나 마비하기가 용이하다. 앞서 말한 바와 같이 인터넷 의존도가 높은 나라일수록 사이버 방어가 어려운 특성이 있다. 북한 입장에서 볼 때 자신들은 공격을 당할 곳은 적거나 거의 없는 반면, 상대방을 사이버 공격할 경우 심각한 피해를 줄 수 있다고 판단하는 것이다.

 

넷째, 사이버 공격은 주체(attribution)가 누구인지 파악하기가 어려우므로 북한은 이러한 사이버 공격의 특성을 잘 이용하고 있다. 북한은 사이버 공격의 증거를 삭제하고 추적이 어렵도록 우리나라와 국교를 맺지 않은 국가나 북한과 협력 관계에 있는 국가를 해킹의 경유지로 삼고 있다. 사이버 공격 시도가 발각되어도 공격 주체 추적이 어렵거나 거의 불가능하기 때문에 사이버 공격을 시도할 가능성이 아주 높다.

 

비록 국제 사회의 협력에 의해서 추적이 어느 정도 확인되어도 최종적으로 북한이 이를 인정하지 않거나 국제 사회의 분쟁으로 이를 이용할 경우 공격 사실을 시인받고 이에 따른 조치를 취하기는 현재로는 거의 불가능한 상황이다.

 

다섯째, 북한의 사이버공격이 국제 사회의 협력으로 확인되었다고 해도 국제핵확산방지조약(NPT)과 같은 국제조약에 가입하지 않고 있어 현재로서는 경제적이나 외교적 조치 등 어떠한 제재를 가해도 타격을 줄 수 없는 형편이다. 북한은 사이버 공격이 발각되어도 증거를 요구하면서 정치적인 문제로 비화시켜 어떠한 국제적인 조치도 받지 않기 때문에 이를 핵이나 미사일보다 더 적극적으로 활용할 것은 분명해 보인다.

 

하지만 사이버 공간을 통해서 발생하는 각종 사이버 범죄, 사이버 테러, 사이버전쟁 등의 다양한 문제들을 해결하기 위한 국제 협력이 활발히 진행되고 있다. 대표적인 것이 유엔의 정부전문가그룹 UNGGE이다. 이 외에도 경제협력개발기구(OECD), 국제형사경찰기구(INTERPOL), 상하이협력기구, 세계사이버스페이스 총회, 국제전기통신연합(ITU), ICANN, EU, NATO, ASEAN ARF, 사이버 범죄협약(일명: 부다페스트 협약) 등 다양한 기구 등을 통해 국제 공조가 이뤄지고 있으며, 사이버 안보를 위한 국가 간 협정들도 많이 추진되고 있다.

 

여섯째, 사이버 공격 무기는 어떠한 비대칭전력보다 단기간에 개발할 수 있으며 국제 사회의 감시를 받지 않는다는 이점이 있다. 특히 북한은 이란, 중국, 동유럽 국가, 러시아 등과 군사적인 동맹 관계를 고려할 때 사이버 공격 무기 개발에 있어서도 서로 협력할 것으로 예상된다. 일곱째, 북한의 입장에서는 인터넷 의존도가 아주 낮고 이 또한 통제할 수 있어 우리나라나 다른 국가가 감행할 보복 공격에 대한 피해나 염려가 적다.

 

여덟째, 북한은 사이버 첩보전, 사이버 심리전 등을 통해 대남 공작이나 대남 적화 시도도 용이하게 할 수 있을 것으로 판단한다. 사이버 공격은 대한민국 정부를 불신에 빠뜨리고. 또한 한수원 사태에서 보듯 남한 사회의 혼란을 부를 수도 있다.

 

인터넷상의 각종 댓글이나 선전을 활용하면 남남 갈등을 일으키기도 쉽다고 생각한다. 실제로 북한은 남한에 있는 고정간첩이나 핵티비스트, 불순 세력 등을 배후조정하기 위해 사이버 공간을 이용한 사이버 대남 공작을 적극적으로 벌이고 있다.

 

2012년 국제사이버범죄대응 심포지움에서, 한희 박사는 사이버 공격은 북한의 대남 공작 및 은폐 양동 작전의 일환으로 전개되고 있다고 발표한 바 있다.

 

아홉째, 북한의 새 지도자인 김정은은 CNC(Computer Numeric Control) 프로그램과 모바일, 인터넷에 친숙한 세대이다. 최근에는 불꽃놀이 프로그램 경연대회를 열 정도로 그 분야에 관심이 많다. 이런 배경 속에서 김정은은 핵, 미사일, 사이버 공격을 전쟁의 3대 수단으로 강조하고 있다. 그는 또 비대칭전력 중에서도 사이버 공격의 중요성을 강조하고 전략사이버사령부 창설, 121국 설치 등 조직 정비를 서두르고 있다.

 

특히 평상시에는 IT 및 군사 기술 등 첨단기술 첩보 수집, 대남 공작 및 심리전 전개에 사이버 공간을 이용하며, 무력행사 시에는 우리나라 군사 지휘 통신 계통과 주용 기간 기반시설을 마비시키고 EMP탄 등 전자전쟁과 재래식 전쟁을 치르는 수단으로 사이버 공간을 활용할 개연성이 높다.

 

열째, 북한 김정은은 사이버 공격을 북한의 무너진 경제를 회생시키는 수단 중의 하나로 삼고 있다. 종래 북한의 외화벌이는 벌목공 등 북한 노동자 파견, 돈 세탁, 마약, 위조 지폐, 해외 불법 무역 등이 주요한 수단이었다. 이제는 이런 수단보다도 게임소프트웨어 개발 및 판매, 게임머니 해킹, 장기간 접속 없는 휴먼 계좌를 대상으로 하는 Salami 공격, 지하시장에서의 거래 등을 통한 외화벌이를 더 중시하고 있다. 따라서 북한의 사이버 전사들은 평소에는 소프트웨어 개발 프로그래머 등의 정상적인 업무를 수행하다가 유사시에는 사이버 공격 무기를 제조하거나 개발하는등의 업무로 전환하는 작전을 감행할 가능성이 높다.

 

6. 국내 사이버보안 대응 방향

 

북한은 남한을 대상으로 비대칭전력 중에서 가장 효과적이며 경제적인 사이버 공격을 적극 시도할 것이라는 이유를 우리는 살펴봤다.

 

북한이 사이버 공격을 감행할 경우 우리나라의 사이버 방어 전략과 억지 전략은 무엇일까? 북한이 사이버 공격을 감히 생각할 수 없게 할 만큼 강력한 억지 전략을 보유하고 있을까?

 

우리나라의 사이버 안보 방향을 정책과 제도 분야, 국제협력 분야, 사이버 보안산업 육성 분야, 사이버 보안 전문인력 양성 분야로 나누어 살펴본다. 기존에 많이 소개된 정책들 외에도 추가적인 대응책을 중심으로 제언한다.

 

가. 정책 및 제도 마련

 

먼저 국가정보원을 중심으로 국가 사이버 안보 전략을 정기적으로 수립하고 이에 따른 Action Plan을 마련해 지속적으로 시행, 점검, 보완이 이루어져야 한다. 특히 서상기 의원 등이 입법 발의한 국가사이버테러방지법이 제정돼야 한다. 만약 사이버테러방지법 통과가 당분간 어렵다면 사이버 대남 공작과 사이버 심리전 등을 대비한 가칭 사이버 안보법이라도 마련돼야 한다.

 

그리고 사이버 방어는 사이버 공격에 대한 정보 수집이 중요하므로 정보 수집(Intellengence)과 사이버 안보를 함께 전담할 수 있는 사이버 안보 전담 부처를 신설하는 방안도 검토할 필요가 있다. 국가정보원의 사이버 보안 업무와 관련 정보수집 업무를 별도로 떼어내고 정부 부처에 산재된 사이버 보안 관련 기능을 한데 모아 새로운 부처를 만드는 것이 보다 효과적일 것이다. 이렇게 되면 사이버 보안과 관련해 산하 기관의 각종 연구와 기술 개발, 대응 조직을 효율적으로 운용할 수 있으며 사이버 공격 기술 투자 및 발전이라는 시너지 효과도 기대할 수 있을 것으로 기대된다. 또한 법적 추진 근거 확보도 용이하며 국제협력도 쉬울 것이다.

 

사이버 공격에 대한 사이버 방어는 크게 예방과 복구에 초점이 맞춰지고 있다. 우리나라는 국가정보원을 중심으로 각 부처의 정보 공유를 통해 사이버 보안의 예방과 복구가 진행하고 있다. 그러나 공공 및 민간 영역에서 사이버 공격과 관련된 정보를 공유하는 것은 개인정보 보호 등의 이유로 인해 지지부진하다. 이를 해결하기 위해서는 사이버위협정보공유법이 제정돼야 한다.

 

물론 우리나라도 정보통신기반법을 통해 국가 주요 기반시설에 대한 사이버 대응력을 강화하고 있다. 그러나 초기에 대통령 산하에 있던 정보통신기반보호위원회가 지금은 법이 개정돼 국무총리 산하에 있다. 이는 북한이 비대칭전력으로 사이버공격을 가장 중시하고 있는 현실을 고려하면 문제가 있다. 지금이라도 대통령 산하로 승격하여 만일의 사이버 테러에 대비해야 할 것이다.

 

또 사이버 안보협력기구인 민군관(정보기관, 검경 등)으로 구성된 정부 종합 대응체제를 구축하여 평시에도 협력과 임무를 철저히 점검하는 태세를 갖추어야 한다. 정부는 국회의원들도 사이버 안보에 관심을 갖도록 우리나라 사이버 안보 상황에 대한 연례 동향보고서인 사이버안보보고서를 국회에 제출하도록 제도화해야 한다. 국회에 매년 또는 격년마다 사이버 안보 상황을 보고하면 국방/전력/통신/금융/교통 등 국가 주요 기반시설에 대한 사이버 보안 실정을 파악하고 정책을 추진하는 데 많은 도움이 될 것이다.

 

이밖에 사이버 공격을 대비해 체계적이고 연속적인 종합 훈련을 실시해야 한다.

 

그 훈련은 우리 사회가 사이버 공격을 받았다는 전제하에 이뤄져야 할 것이다. 사이버 테러와 사이버 전쟁은 발발과 동시에 종료되어 억지가 어려운 특성을 갖고 있으므로 국가 업무연속(BC) 훈련인 Contingency Plan(긴급대응, 위기관리)은 예방과 복구 중심으로 실시하는 훈련이다. 따라서 사고 피해 최소화를 위한 우선 복구 및 Contingency Plan을 마련해 시행해야 한다.

 

Contingency Plan는 주요 기반시설의 마비를 상정하고 대응하는 훈련으로 국방분야는 징후 포착 시 즉시 공격할 수 있도록 하며 수동 전쟁을 대비한 훈련도 필요하다. 금융 분야는 백업 복구/업무 연속, 창구(대면) 서비스 훈련, 전력 분야는 자가 및 비상 발전, 송배전 등, 통신 분야는 비상통신 및 생존 통신 등의 훈련을 각각 추진하고 매년 보고서를 발행해야 할 것이다.

 

나. 사이버 안보 국제 협력 강화

 

각종 사이버 범죄, 사이버 테러, 사이버 전쟁은 국제 협력을 통하여 해결하는 것이 바람직하다. 우리나라 사이버 안보 환경과 북한의 사이버 공격에 대한 억지력 확보 차원에서도 국제 협력 강화는 중요하다.

 

북한의 사이버 공격 위험에 늘 노출되어 있는 우리나라 입장에서는 다자간 국제협력 결과를 기다리기보다는 양국간 국제 협력을 우선시하면서 다자간 국제기구 등을 통한 협력을 병행하는 것이 합리적이다. 특히 사이버 방어력과 억지력 확보 차원에서 한미 간의 협력은 필수불가결하다. 한수원과 소니 픽쳐스사 해킹 사건을 경험한 한미 양국은 사이버 안보 분야에서도 실질적이고 구체적인 협력 방안을 마련해야 할 것이다.

 

한미 사이버 안보 협력 강화를 위해서는 사이버 공격에 대한 집단자위권, 사이버안보 관련 국제 규범의 발전적 협력, 주무 장관 정례회의나 사이버 안보 대사(미국 국무부의 cyber coordinator) 정례협의체 신설, 사이버 보안 공동 대응을 위한 워킹 그룹, 한미사이버위협축소센터(가칭) 구축, 양국 전문가와 학자가 참여하는 한미 민간사이버 포럼 결성 등이 필요하다.

 

우리나라는 또 유엔 등 다자간 국제 협력 기구 참여를 통한 사이버 안보 협력 강화를 위해 사이버범죄협약(Convention on Cybercrime)에도 적극적으로 가입해야 한다.

 

사이버 공간에 대한 국제 협력은 각국의 이해가 너무 다양하여 유엔 등의 국제기구를 통한 다자간의 논의로는 결론 도출이 용이하지 않다. 더구나 사이버 안보 문제는 미·중·러 등 강대국들 간에도 첨예하게 대립돼 공동 대응은 쉽지 않다.

 

따라서 현실적으로 정부는 사이버 안보대사(Cyber Coordinator)를 신설하고, 국제사이버위협축소센터(CTRC)(가칭)를 구축하며, 사이버 안보 국제협력 강화를 위한 국내 전문가 포럼을 운영하면 효과가 있을 것이다. 향후에는 사이버 스파이 금지, 사이버 무기 개발 및 소유 금지, 민간 대상(금융 등) 공격 금지, 자국 발생 사이버 공격 저지, 조약 준수 검증 등을 포함한 사이버 안보 국제조약(가칭) 마련을 우리나라가 주도할 필요가 있다. 이밖에 정부의 공적 원조를 통한 개발도상국의 사이버 안보 능력 배양 및 지원 활동도 곁들여야 한다.

 

다. 국내 사이버 보안 산업 육성

 

사이버 방어를 위해 가장 시급한 것은 전문 인력 양성이다. 그러나 사이버 보안산업을 육성하지 않으면 우수 인력들이 사이버 보안 분야로 진출하지 않을 것이다.

 

따라서 사이버 방어를 위해서는 국내 사이버 보안산업 육성이 절대적으로 선행돼야 한다. 그러자면 사이버 보안 시장 확대, 사이버 보안산업 투자 활성화, 글로벌형 보안기업 육성 등이 고려돼야 한다.

 

사이버 보안 시장 확대를 위해서는 주요 ICT 융합 보안 분야 신시장 창출, 정보보호 강화를 통한 수요 확충, 정보보호 서비스 시장 활성화, 정보보호서비스 대가 현실화가 이루어져야 한다.

 

사이버 보안산업 투자 활성화를 위해서는 정부 투자 강화(사이버보안기금 신설),정보보호 지원 강화, 정보화와 정보보호 예산 항목 분리 및 증액, 정보보호산업진흥법 제정이 절실하다. 마지막으로 글로벌형 보안 기업을 육성하려면 해외 진출 지원의 다양화, 수출 전략 시장의 개척 및 공략, 기업 M&A 활성화 지원 등이 이뤄져야 한다.

 

라. 사이버 보안 전문인력 양성

 

사이버 보안 전문 인력을 양성하려면 영재교육원, 마이스터고/특성화고, 특성화대학, 사이버 보안 예비군, 보안 전문가로 이루어지는 정보보호산업 전문인력 양성 Career Path 수립이 필요하다. 최정예 정보보호 우수인력 양성뿐만 아니라 군연계 인력 양성(사이버보안병과 신설, 사이버 부사관 및 장교 양성 등)을 통한 인력양성 기반 구축 또한 마련돼야 한다. 그리고 미래창조과학부가 마련해 추진 중인 K-ICT 시큐리티 전략도 지속적으로 추진돼야 한다.