
미국 백악관 국가안보회의(NSC) 국가안보 부보좌관을 지낸 앤 뉴버거 스탠퍼드대 교수가 최근 한국을 방문해 ‘디지털 주권과 사이버 안보’에 대한 기조강연을 하고 있다. 뉴스1
#2 한국정보보호산업협회가 전국 10인 이상 종사자가 근무하는 6500개 기업체를 대상으로 실시한 ‘2024 정보보호 실태 조사’에 따르면 해킹 등 정보 침해 사고를 신고한 비율은 19.6%에 불과했다. 신고하지 않은 이유로는 ‘피해 규모가 경미하기 때문에’가 73.7%로 가장 많았고, 그다음으로 ‘신고에 따른 업무가 복잡하기 때문에’(54.3%), ‘피해 사실이 알려지는 것이 두렵기 때문에’(17.6%) 순으로 나타났다.
전 세계가 해커와 전쟁 중이다. 양상도 과거와는 완전히 달라졌다. 자신의 해킹 실력을 자랑하거나 돈을 목적으로 하는 해킹이 아닌, 국가 지원을 받는 해커와의 전쟁이기 때문이다. 특히 정부 지원 해커들은 통신·전력 등 타국의 기간시설을 장악해 사회불안을 야기하거나 결정적 순간에 체제 전복까지 노린다는 것이 전문가들 지적이다.
그러나 위 사례들에서 보듯이 미국과 한국은 해킹을 대하는 자세나 국가적 시스템이 다르다. 사이버 공격을 국가안보의 본질적 위협으로 간주하느냐, 개별 기업의 보안 문제로 보느냐에 따라 사태 해결 방향과 대책이 달라질 수밖에 없다.
정부 지원받는 해커의 목적은 사회불안 야기
이번 SK텔레콤 서버에서 발견된 백도어 ‘BPFDoor’는 중국 정부가 지원하는 해커 집단 레드멘션(Red Menshen)에 의해 최초로 사용됐다. 글로벌 사이버보안업체 트렌드마이크로는 2022년부터 BPFDoor 해커의 위험성을 지속적으로 제기해왔을 뿐 아니라, 지난해 7월과 12월에도 한국 한 통신회사가 BPFDoor의 공격을 받았다고 밝힌 바 있다.미국 FBI는 지난해 10월 중국 당국의 지원을 받는 것으로 알려진 솔트 타이푼(Salt Typhoon) 외에도 볼트(Volt) 타이푼과 플랙스(Flax) 타이푼 등 3개 거대 사이버 스파이 활동 조직을 적발한 바 있다. 이들은 미국과 베트남, 루마니아 등 19개국에서 26만 개 넘는 소규모 사무실과 홈오피스 네트워크망, 사물인터넷(loT) 등에 악성 소프트웨어를 심는 방식으로 활동해온 것으로 알려졌다.
로이터통신은 최근 중국산 태양광발전 인버터와 배터리에서 비인가 악성(rogue) 장치가 발견됐다고 밝혔다. 미국 에너지부(DOE) 관리들이 재생에너지 인프라에 중요한 역할을 하는 중국산 기기에서 악성 통신장비를 발견한 이후 이 기기들의 위험성을 점검하고 있다는 것이다. 전문가들은 악성 통신장치를 사용해 방화벽을 우회하는 방식으로 인버터를 원격으로 끄거나 설정을 변경하면 전력망이 불안정해지고 에너지 인프라가 손상돼 광범위한 정전이 일어날 수 있다고 경고한다. 사실상 전력망을 물리적으로 파괴할 수 있는 것이다.
일부 중국 해커의 경우 주말이 아닌 월요일~금요일에 활동했으며, 활동 시간대 역시 하루 8~9시간으로 일정하다는 점에서 정규 근무처럼 일하고 있는 것으로 보인다. 중국 정부의 지원을 받는 공적 조직임을 뒷받침하는 대목이다.
그럼에도 이번 SK텔레콤 해킹 사례에서 보듯이 한국 사회의 시선은 본질에서 다소 벗어나 있다. 정치권까지 가세해 피해 기업의 보안 무능을 질타하는 가운데 정작 해커 실체 파악과 국가 차원의 대응 논의는 후순위로 밀려나는 양상이다. 이형택 한국랜섬웨어침해대응센터장은 “한국은 해킹 사고를 당하고도 후폭풍을 우려해 신고조차 하지 않는 기업이 10곳 중 9곳에 달한다”고 지적했다.
하지만 사이버 침해 사고가 은폐되면 국가의 사이버 방어망은 그만큼 취약해질 수밖에 없다. 특히 정부 주요 부처 등 국가기관은 해킹을 당해도 수사기관에 신고의 의무가 없다. 정보통신망법상 피해 신고의 의무 대상은 전기통신사업자라서 국가기관은 대상에서 제외되기 때문이다.
반면 미국과 영국 등은 국가 차원에서 해킹 신고를 유도하며, 피해 기업을 보호하는 체계를 법적으로 마련해놓았다. 나아가 국가 차원의 컨트롤타워를 두고 사이버 안보를 국방 영역에서 관리한다. 미국은 이미 사이버 안보를 국가 전략의 핵심으로 삼고, 국가안전보장회의(NSC) 산하에 사이버 방어본부를 갖추는 등 기본 체계를 구축했다. 영국 역시 ‘2021년 통신보안법’을 통해 통신 인프라 보안을 국가적 책무로 명문화했다.
국가 사이버 안보 컨트롤타워 세워야
실제로 미 연방정부는 지난해 말 미국 주요 통신사가 중국계 해커집단의 공격을 받았을 때 직접 컨트롤타워 역할을 수행하며 민관 협력을 주도했다. 당시 국가안보 부보좌관으로 사태 수습을 이끌었던 앤 뉴버거 미국 스탠퍼드대 교수는 얼마 전 한국을 찾아 “해킹 위협에 맞서기 위해서는 정부와 민간의 협력 강화가 필수적”이라고 강조했다.그러나 한국은 여전히 종합적인 컨트롤타워 없이 국가정보원, 과학기술정보통신부, 경찰, 한국인터넷진흥원(KISA) 등으로 조직과 역량이 흩어져 있다. 전문가들은 이제 한국도 국가 차원의 일원화된 사이버 대응 컨트롤타워 구축과 핵심 인프라 보안 의무 강화를 위한 제도 개편이 시급하다고 강조한다. 일부 전문가는 미국 CISA(사이버 보안 및 인프라 보안국) 모델 도입이나 대통령 직속 국가사이버보안청 설치 등 해법을 제시한다.
임종인 고려대 정보보호대학원 석좌교수는 “이번 SK텔레콤 해킹에서 보듯이 정부 지원 해커들의 공격에는 대기업도 속수무책으로 당할 수밖에 없다”며 “새 정부에서는 정부 조직 개편 등 입법과 예산·인력 배정 등을 통해 정부와 민간을 모두 지원할 수 있는 국가 사이버 안보 컨트롤타워를 만들고, 국가 간 공조시스템도 활성화해야 한다”고 말했다.
