그러나 지난해 이미 세계적 보안기술업체인 맥아피사는 2009년 7월 북한이 미국과 한국의 주요 인터넷 홈페이지를 대상으로 디도스 공격을 한 것은 유사시 주한미군과 워싱턴의 미군 지휘부 간 통신 마비를 노린 것이라고 지적한 바 있다. 이와 더불어 미국의 주요 군사안보 전문가들은 한결 같이 북한의 사이버전의 배후에 중국 사이버 부대인 ‘Netforce’가 있다고 분석한다.

이러한 분석의 배경을 제대로 이해하려면 금번 농협 해킹사건을 처음부터 재구성해 볼 필요가 있다. 농협 해킹사건 이후로 전개될 거대한 북-중 사이버 동맹군의 공세가 예상되기 때문이다.

북한이 아니라면 누가, 왜 농협 전산망을 파괴했을까  

금번 농협 해킹사건을 두고 IT전문가들 사이에 논란이 끊이지 않고 있다. 도대체 무슨 이유인가.
첫째, 북한이 미로와 같은 농협의 보안망을 뚫고 ID 하나로 237개의 각기 다른 서버를 동시에 해킹한다는 것은 CIA도 하기 어렵다는 지적이다.

하지만 이 의문은 농협의 시스템을 관리하는 IBM 직원 한모 씨의 노트북이 유선망이 아닌 무선랜을 통해 농협의 시스템에 접근할 수 있었고 농협의 보안망이 무선랜에 구멍이 있었다는 사실로 해소됐다. 문제가 된 노트북의 무선랜카드에서 북한 정찰총국이 사용하는 IP계정의 흔적이 발견됐다. 국정원은 보안상 이 IP계정의 입수 경로를 밝힐 수 없다고 했다.

관리자 한모 씨는 또 보안관리 원칙에 벗어나 ‘IMUSER’라는 한 개의 단일 계정을 만들어 237개의 서버를 관리했고 편의를 위해 이 계정에 최고 관리자의 접근 권한을 부여했다는 점이 검찰 수사에서 밝혀졌다. 따라서 ‘CIA도 하기 어렵다’라는 주장은 설득력이 없다. 발각되지만 않는다면 어려울 것도 없는 상황이었다는 것이 IT전문가들의 공통된 견해다.

둘째, 보안전문가인 한모 씨가 자신의 노트북이 해킹 코드에 감염된 것을 7개월 동안 몰랐다는 사실과 북한이 수천개의 좀비PC 가운데 한모 씨의 노트북을 유력하게 발견한다는 것은‘한강에서 바늘 찾기’라는 주장이다.

이 의문은 노트북에 심어진 해킹코드가 암호화돼 있었고 농협 전산시스템을 파괴하기 위해 맞춤형으로 제작되었다는 점에서 일반 백신 프로그램으로 검사되지 않는 종류라는 것이 밝혀졌다. 이러한 사실은 해커가 농협의 전산시스템을 파악한 후 공격목표로 삼았다는 주장의 근거가 된다. 그렇다면 해커가 수천대의 좀비PC 가운데 한모 씨의 노트북을 유력하게 발견할 수있는 기술력이다.

국내 해킹을 전문적으로 연구하는 해커스랩의 한 관계자는“좀비PC가 된 컴퓨터는 해커의‘내 컴퓨터’라고 보면 맞다”며 “특별 사이트에 대한 로그인 접속의 기록을 자신이 갖고 있는 공격목표의 어드레스 데이터베이스로 검색하면 해당 컴퓨터가 어디를 드나드는 PC인지 아는 건 식은 죽먹기”라고 말한다. 실제로 문제가 된 노트북은 해커가 구체적인 정보를 획득하기 위해 키로깅(Keystroke logging의 준말. 사용자가 키보드로 PC에 입력하는 내용을 낚아채는 것)과 도청 프로그램까지 사용했고 1개월간 키로킹을 통해 취득한 정보만도 A4용지 1073페이지에 이른 것으로 검찰수사에서 밝혀졌다.

따라서 위의 두 가지 의문은 고급 기술을 가진 해커라면 충분히 해낼 수 있는 사항이다. 물론 그 정도의 기술을 가진 해커라면 북한의 IP주소를 도용하는 것도 쉬운 일이다. 문제는 실제로 북한이 저질렀는가, 그 이유는 무엇인가 하는 것이다.

이 문제를 푸는 방법이 하나 있다. 수학에서 사용하는 증명의 귀류법을 채택하는 거다. 다시 말해 만일 북한이 농협을 해킹하지 않았다면 누가 그랬을까? 이렇게 물어보면 우리는 하나의 중대한 사실과 마주한다.

국내외 민간 해커 소행 가능성은 ‘0’

후보자 하나는 국내 반사회적 해커다. 자신의 능력을 자랑하고 싶고 사회적 불만을 사이버 범죄로 풀어 보고 싶은 자다. 그런데 이 후보자를 가정하는 데는 문제가 있다. 우선 7개월 동안 공을 들여야 한다는 점과 노트북의 해킹코드가 발각되지 않기 위해 일일이 암호화해야 하는 수고를 들여야 한다는 점이다.

해커스랩의 관계자는 “일반 해커들의 특성이나 기질상 그런 수고를 할 국내 해커는 없다”고 단언한다. 대개 국내 해커들의 연령대가 청소년이고 이들이 주로 기존의 해킹 프로그램을 얻어 사용해왔다는 점에서 시간과 자금을 들여 실패가능성이 높은 작업을 7개월간 한다는 것은 말이 되지 않는다는 것이다.

아울러 검찰 수사결과 사이버 공격에 사용된 프로그램이 한 사람의 작업으로는 완성되기 어려운 것으로 밝혀졌다. 다시 말해 집단적으로 업무를 나누어 작업을 해야 가능했다는 이야기다.
두 번째 후보는 훙커(紅客)와 허커(黑客)라고 불리는 중국 내 해커집단이다.

이들은 중국에 약 100만정도인 것으로 알려진다. 붉은 손님이라는 의미의 훙커는 중화주의와 애국심으로 무장된 민간 해커 그룹이고 허커는 주로 계좌에서 돈을 훔치거나 정보를 빼내 팔아먹는 범죄집단이다. 이번 농협 해킹사건에서 은행잔고의 외부 유출이 없었다는 점에서 허커집단은 제외된다.

훙커의 경우 2004년 3월, 한국인을 가장해 국회와 한국국방연구원 등의 인터넷에‘봄이 와요’라는 제목의 파일을 보내는 수법으로 안보 관련 자료 3건을 빼낸 전력이 있다. 그러나 중국의 훙커집단은 애국심에 의해 스스로를 과시한다는 특징을 가지고 있다.

98년, 인도네시아 폭동과정에서 수많은 화교들이 살해되거나 강간당하는 피해를 입자 대량의 스팸 메일로 인도네시아 정부 홈페이지를 마비시켰던 사건과 99년 5월, 미군 전투기가 옛 유고연방 주재 중국대사관을 오폭해 사망자가 발생하자  미 정부부처 사이트를 해킹해 오성홍기를 휘날리게 한 사건, 일본 우익들의 역사 왜곡에 대항해 2000년과 2001년에 치러진 中-日 사이버 전쟁에서 보이듯 이들의 행동은 공개적이고 과시적이다. 자신들과 연고가 희박한 대한민국의 농협을 해킹하는 사건은 이들 소행의 패턴으로 볼 때 거리가 있다.

그렇다면 이제 남은 것은 북한이다. 그러나 북한의 단독기술로 보기에는 문제가 있다. 과연 북한이 정교한 해킹 프로그램을 만들 정도의 기술력이 있느냐는 거다. 이와 관련해 주목할 만한 연구 보고가 있다.
2009년 7월, 한국과 미국의 주요 인터넷 사이트에 동시다발적인 DDos공격이 있었다. 미국은 즉각 그 배후로 북한을 지목했고 북한은 아무런 코멘트를 하지 않았다. 그해 10월, 미국의 전략국제문제연구소(CSIS)는 ‘코리아의 사이버 공격과 (향후) 사이버 분쟁에 대한 의미’라는 제목의 보고서에서 당시 북한의 사이버 공격이 “기초적인 기술을 이용해 이뤄졌고 실질적인 피해를 가져오지 않았다”며 “심각한 공격(serious attack)이라기 보다는 시끄러운 시위(noisy demonstration)에 가까웠다”고 분석했다.

동시에 ‘북한의 사이버전 능력은 초보적 단계’라고 규정했다. 올해 3월 발생한 북한의 DDos공격도 2009년의 수법과 행태면에서 똑같았다. 같은 IP주소였고 중국을 경유했으며 북한이 중국으로부터 임대한 회선이었다. 그렇다면 올해 3월에 발생한 DDos공격과 4월에 발생한 농협해킹 사건은 그 본질에서 다르다고 할 수 있다. 어떻게 된 것일까? 이 문제의 대답은 2009년에 이미 있었다.

2009년 7월, 韓-美 주요사이트에 북한의 동시다발적인 DDos공격이 있기 두 달 전, 중국의 군사 및 정보 관련 전문가인 헤리티지재단의 존 타식(John Tkacik)전 선임연구원은 북한의 사이버전 전담부대가 자체 기술로 양성되고 있다기보다 중국의 지원을 받고 있을 가능성이 크다고 주장했다.

중국, 250개 부대 5만명 규모 ‘컴퓨터 바이러스’정규 군대 양성  

그는 2009년 5월, 미국의 RFA와의 인터뷰에서 “북한의 경우 해킹을 위한 기반 시설인 초고속 인터넷망이 대부분 중국을 통해 연결돼 있고 중국의 사이버전 부대는 전 세계 여러 국가 기관의 컴퓨터에 피해를 입힐 수 있을 정도로 기술 수준이 높고 활발하게 활동하고 있다”고 밝혔다.

그는 또 “특히 중국의 훈련을 받은 북한의 사이버전 요원들이 한국의 군 당국 네트워크를 통해 주한미군의 컴퓨터망에 접속하려 하기 때문에 이는 앞으로 미군 당국의 큰 골칫거리가 될 사안”이라고 전망했다. 다시 말해 중국과 북한간에 사이버전을 위한 군사동맹이 이미 가동하고 있다고 보아야 한다는 주장이었다.

북한의 사이버전 전술과 기능이 중국의 지원 하에 육성되고 있다는 좀 더 설득력 있는 분석도 있다. 미국의 군사전문연구소인 글로벌시큐러티의 조지 스미스 선임 연구원은 2009년 “북한의 사이버전 능력은 외부의 지원 없이는 위협적인 수준에 도달할 수 없는 환경”이라고 지적했다.

스미스 박사에 따르면 “특정 국가의 해킹 능력은 그 사회에 구축된 인터넷 망의 기반시설과 직접적인 관련이 있고 아주 어린 나이부터 인터넷과 관련한 집중적인 훈련이 요구되는데 북한의 경우 인터넷망의 기반시설이 석기시대에 머물러 있고 인터넷을 처음 접하는 연령층이 상대적으로 높기 때문에 북한 당국이 소수 기술자들을 대상으로 전문적인 해킹 요원을 양성하는 데 한계가 있다”라고 분석했다. 결국 북핵처럼 북한의 사이버전력 뒤에 중국이 있다는 이야기다.

무엇보다 금번 농협의 해킹사건이 사이버전의 성격을 갖는 것은 일반 해킹과는 달리 사이버전이 상대국의 군사, 행정, 금융시스템을 타깃으로 하기 때문이다. 그렇다면 중국의 사이버전 능력은 어느 정도일까.
2007년 미국과 영국, 독일, 프랑스 정부는 이메일 계정을 통한 대규모 해킹을 경험했다. 당시 이 사건의 배후로 중국 인민해방군의 사이버 전담부대가 지목됐다. 미국정부는 이듬해 국가위협평가에서 러시아와 중국 등이 사이버 공격 능력을 보유하고 있는 반면 미국은 이에 관한 대응책이 부족하다고 지적하기도 했다.

중국의 중앙군사위원회는 ‘컴퓨터 바이러스’ 침투가 원자탄보다 효율적이라는 개념 아래 1997년 6월 100여명 규모의 컴퓨터 바이러스 부대를 창설했고 2000년에는 사이버 공격과 정보교란의 모의 훈련을 임무로 하는 ‘넷 포스(Net Force)’부대를 만들었다고 자유아시아방송이 밝힌 바 있다. 중국은 현재 250개의 사이버 부대에 5만여 명의 장병이 복무 중인 것으로 미국은 파악하고 있다.

이와 관련해 김흥규 성신여대 교수(정치외교)는“중국은 우주무기와 잠수함발사탄도미사일(SLBM) 및 사이버 분야에서만큼은 미국의 우위를 인정하지 않겠다는 방침”이라고 한 일간지와의 인터뷰에서 밝힌 바 있다.

北-中 사이버 군의 다음 타깃은 주한미군

지난해 5월, 美 국방부의 마이클 낙트 전략문제 담당 차관보는 북한이 정권 유지를 위한 국가안보전략의 하나로 사이버 공격 능력을 증강 중이라고 밝힌 바 있다. 또 세계적 보안기술업체인 맥아피사는 2009년 7월 북한이 미국과 한국의 주요 인터넷 홈페이지를 대상으로 디도스 공격을 한 것은 유사시 주한미군과 워싱턴의 미군 지휘부 간 통신 마비를 노린 것이라고 지적하기도 했다.

이러한 분석들이 제기하는 동일한 방향은 북한이 자체적으로 사이버전을 수행하는 것이 아니라 중국 인민해방군과 연계해 한-미 군사동맹에 타격을 주고 비대칭적 우위를 점하고자 하는 것이 그 목적이며 국내 사이트에 대한 공격은 바로 그 테스트베드(시험장)으로서 예비전의 성격이라는 점이다.
그렇다면 우리 군의 사이버전 능력은 어느 정도일까? 한국은 지난 1월 사이버사령부를 만들었으나 인력은 160여 명에 불과하며 사이버전 교리마저 없는 것으로 알려진다.

현재 국방개혁 ‘307계획’에 의하면 사이버전의 범위를 특정 국가를 넘어 단체, 개인으로까지 확대한 것은 긍정적인 것으로 평가된다. 아울러 지경부와 협의해 마에스트로(사이버 전사)를 양성하려는 계획도 있다.
그러나 문제는 어느 수준으로 대칭전략을 만드느냐는 문제와 사이버전이 방어 위주로만 방향 잡혀 있다는 점이다. 이와 관련해 금번 농협사건을 계기로 우리 군에 사이버 보복전의 개념이 도입돼야 하고 그 수준은 중국과 맞설 수 있어야 한다는 주장이 설득력을 얻고 있다. 북-중 사이버 군사동맹을 타깃으로 유사시 중국의 군사, 행정, 금융망이 타깃이 돼야 한다는 이야기다.

한정석 편집위원·前 KBS PD 
kalito7@futurekorea.co.kr