주간동아 992

2015.06.15

美, 北 핵시설 사이버 공격했나

2009년 이란 원전 마비시킨 ‘스턱스넷’…폐쇄적 네트워크 때문에 실패한 듯

  • 박주진 연세대 북한연구원 연구원 airjujin@naver.com

    입력2015-06-12 16:17:00

  • 글자크기 설정 닫기
    美, 北 핵시설 사이버 공격했나
    바이러스의 어원은 라틴어로 독을 뜻하는 ‘비루스(virus)’다. 바이러스는 다양한 경로로 생물체에 침투, 숙주에 기생하면서 스스로를 복제하고 세포조직을 변형시킨다. 심하게는 조직을 파괴하기도 한다. 이러한 특성은 전자기기 내부에 웜바이러스를 침투시키는 사이버 공격 역시 마찬가지다. 대표적 사례가 한국수력원자력과 미국 영화사 소니픽처스 엔터테인먼트에 대한 해킹 사건이었다. 사용자 몰래 스스로를 복제해 시스템을 감염시키고 파일을 탈취하거나 작동을 불가능하게 만드는 악성 바이러스를 침투시키는 방식이었다.

    그러나 그게 전부일까. 북한만 해킹을 하는 게 아니라 미국 역시 북한을 상대로 해킹을 감행했다는 보도가 나와 전문가들 사이에서 뜨거운 반향을 일으키고 있다. 2010년 미국 국가안전보장국(NSA)이 북한 핵시설에 대해 사이버 공격을 시도했으나 실패로 끝났다는 5월 29일자 ‘로이터’ 보도가 그것이다. 과연 무슨 일이 벌어졌고, 왜 실패로 끝났을까.

    오직 지멘스 운영체계만 공격한다

    스턱스넷(Stuxnet). 2010년 혜성같이 등장해 영화를 현실로 만들어버린 물건이다. 본디 발전소나 공항, 철도 같은 국가산업시설을 파괴할 목적으로 제작된 웜바이러스로 2010년 6월 벨라루스 한 보안회사가 최초로 발견했다. 스턱스넷이란 이름은 코드 안에 ‘Stuxnet’이라는 키워드가 여러 번 등장하기 때문에 붙여진 것. 주로 USB 저장장치로 옮겨 다니며 마이크로소프트 윈도를 통해 감염되지만, 독일 지멘스사의 감시제어데이터수집(SCADA) 시스템만 공격한다.

    스턱스넷은 감염된 컴퓨터에서 공격 목표를 찾지 못하면 휴면 상태에 들어갔다 다시 대상이 눈에 띄면 활성화돼 SCADA 소프트웨어를 감염시키고 공정제어 신호를 중간에서 가로채 허위신호를 내보낸다. 해당 소프트웨어가 오작동을 감지하고 시스템을 정지하지 않을 정도까지만 공격을 수행하는 지능형 웜바이러스다. 악성 바이러스 역사상 최고 블록버스터로 악명 높은 사이버 공격 무기다.



    2011년 1월 미국 사이버보안 전문매체 ‘인포시큐리티’는 과학국제안보연구소(ISIS) 보고서를 인용해 2009년 말부터 2010년 초까지 이란 나탄즈 원자력발전소(원전)에 있는 원심분리기 1000여 대가 스턱스넷에 감염돼 가동을 중단했다고 보도한 바 있다. 이후 전문가들이 분석한 결과 이란의 5개 시설에서 스턱스넷의 다양한 변종이 발견됐으며 그 공격목표는 우라늄 농축시설이었다는 것이다.

    당시 서방 언론은 공격 배후로 미국과 이스라엘을 지목했고, 폭로전문 웹사이트 위키리크스가 공개한 외교문서와 전직 정보당국 관계자들의 증언, 유럽 정보기관의 분석 등을 통해 의혹은 한층 증폭됐다. 암호명 ‘올림픽게임(Olympic Games)’으로 불린 미국의 정보작전이 이란에 대한 스턱스넷 공격작전이었다는 증언이 있었지만 미국 등 유관국은 일제히 이를 부인했다.

    5년의 시간이 지난 올해 5월 29일, 로이터는 전·현직 정보당국 관계자들의 발언을 인용해 미국이 2010년 북한 핵시설에 대해 스턱스넷 공격을 시도한 적이 있으나 실패로 끝났다는 보도를 내놨다. 북한과 이란은 모두 파키스탄 핵과학자 압둘 카디르 칸 박사로부터 입수한 P-2 원심분리기를 이용해 우라늄 농축을 진행해왔다. 이 원심분리기를 가동하는 컴퓨터 제어 시스템이 바로 마이크로소프트 운영체계와 지멘스의 SCADA였다는 것. 이렇듯 이란 원전과 북한 핵물질 생산설비의 유사성이 높았기 때문에 NSA가 북한에도 이란에 대한 공격과 유사한 작전을 시도할 수 있었다는 것이다.

    이와 함께 로이터는 NSA가 북한에 한층 특화된 공격을 가하기 위해 한글 설정 컴퓨터에서만 활성화되는 변종 스턱스넷까지 추가로 개발했다고 공개했다. 그러나 이란 네트워크 체계와 달리 북한 통신망은 극도로 폐쇄적인 데다 철저한 기밀 유지로 정평이 나 있어 핵설비 프로그램의 핵심 제어 컴퓨터에는 접근할 수 없었다는 이야기다.

    곤혹스러운 미국 처지

    美, 北 핵시설 사이버 공격했나

    2011년 6월 서울 영등포구 신길동 공군회관에서 열린 국방정보보호 콘퍼런스에서 스턱스넷을 활용한 해킹 시연이 진행되고 있다.

    보도 내용은 충격적이었지만, 익명의 미국 정보당국 관계자 발언을 인용한 것만으로는 근거가 부실하다는 반론도 만만치 않았다. 이후 6월 중순까지도 미국과 유럽의 북한 전문가들을 중심으로 이와 관련한 기술적 논쟁이 계속 이어질 정도. 예컨대 스테판 해거드 미국 샌디에이고 캘리포니아대 교수는 러시아 보안업체 카스퍼스키 연구소(Kaspersky Lab) 보고서를 추가로 인용하면서 스턱스넷 공격 배후에 NSA가 있다는 주장은 신뢰할 만하다고 강조했다. 해거드 교수는 카스퍼스키 연구소 고위 관계자의 말을 인용해 “북한에 사용한 스턱스넷은 이란 컴퓨터에서 발견된 것과 동일한 경로로 감염된 것으로 보이고 공격 시기는 2010년 3, 4월이 아니라 이란을 공격했던 시점과 같은 2009~2010년 사이”라고 추정한다.

    이란에 대한 공격은 성공한 반면 북한에 대한 공격은 실패한 이유는 뭘까. 사이버 보안 전문매체들의 보도를 종합해보면 북한의 폐쇄적인 통신망뿐 아니라 지멘스사 협력업체 인력이 해당 국가 핵시설에 접근할 수 있는지 여부도 중요한 차이였던 것으로 보인다. 이란에 대한 공격에서는 먼저 이들 업체의 주요 장비에 웜바이러스를 침투시켜 결과적으로 핵발전소 운영체계까지 접근할 수 있었지만, 북한은 이에 해당하는 업체나 하부계약자가 없는 상태에서 핵개발을 진행해 핵심 운영체계 감염이 불가능했다는 얘기다.

    이어지는 관련 보도에 대해 미국 정부는 공식 부인에 나섰고, 북한은 ‘노동신문’ 등을 통해 사이버 테러 행위는 절대 용납할 수 없다며 미국을 강력 비난하고 있다. 그 와중에 공교로워진 것은 미국 처지. 지난해 11월 영화 ‘디 인터뷰’ 개봉을 앞두고 이뤄진 제작사 소니픽처스 엔터테인먼트 해킹과 관련해 미국은 이를 북한 소행으로 단정 짓고 제재를 추진한 바 있다. 이러한 상황에서 미국 역시 북한에 사이버 공격을 가했다는 보도가 나왔으니 난감하기 짝이 없는 상태다.

    북한이 사이버 전력 강화에 힘을 쏟고 있고 공격 능력 역시 세계 3위 수준이라는 평가는 더는 뉴스거리가 아니다. 반대로 스턱스넷은 핵시설 시스템만을 타깃으로 한다지만 경제제재보다 훨씬 공격적인 행동인 것은 틀림없는 사실이다. 최근 제기된 미국의 스턱스넷 공격 의혹이 자칫 북한에 잘못된 신호를 줄 경우 ‘사이버 전쟁’이 훨씬 직접적이고 격렬한 방식으로 반복될 수 있음은 두말할 필요가 없을 것이다. 사이버 세상에서의 한 수 한 수가 고스란히 국제법상의 전쟁 행위로 이어지는 21세기 현실이다.



    댓글 0
    닫기