세계일보

북한 정찰총국 소속 해커 그룹 ‘라자루스(Lazarus)’는 2014년 소니 픽처스 해킹으로 전 세계에 이름을 떨쳤다. 소니는 할리우드 유명인사와 임직원 등 4만7000여명의 신상, 미개봉 블록버스터 영화 등 기밀정보를 해커들에게 털렸다. 이뿐이 아니다. 수천 개의 하드 드라이브와 서버 정보가 파괴되고, 통신망을 복구하기 위해 회사가 며칠간 문을 닫아야 했다. 소니만의 문제가 아니었다. 이 회사가 제작한 북한 지도자 김정은을 다룬 코미디 영화 ‘인터뷰’를 두고 영화관을 공격하겠다는 협박을 받았다. 결국 미국 정부 책임자들이 개입하는 국가안보 사건으로 비화했다.

지난달 SK텔레콤 해킹사건으로 2300만 가입자의 유심(USIM) 관련 정보가 유출되는 일이 일어났다. 이번 사태에 일차적 책임은 SKT에 있다. 방대한 유출 정보와 해커의 교묘한 공격 방식도 놀랍지만, 3년 전에 심어졌던 악성코드를 그동안 몰랐다는 것 자체가 충격적이다. 허술한 보안관리에 대한 책임을 묻고, 사이버 보안에 대한 투자를 늘리는 등 근본적인 재발 방지책을 내놔야 한다.

여기서 그쳐선 안 된다. 세계 곳곳이 사이버 전쟁으로 홍역을 치르고 있다. 우리도 예외는 아니다. 국방백서에 따르면 1990년대부터 2022년까지 북한의 대남 도발은 619건이다. 반면 국가정보원이 집계한 북한의 대남 사이버 도발은 2023년에만 하루 평균 161만건에 이른다. 유엔의 대북제재를 비웃듯 전 세계를 대상으로 한 사이버 공격에서 탈취한 암호 화폐를 정권의 통치자금으로 버젓이 사용하고 있다. 북한 사례에서 보듯 사이버 공격은 단순한 과시욕을 넘어 금융망과 통신기록, 발전소, 공공기관 등으로 영역을 넓혀가고 있다.

SKT 해킹사건 역시 악성코드를 장기간 숨겨뒀다가 특정 시점에 해커가 명령을 내려 코드를 활성화하는 ‘BPF도어’ 방식이다. 중국 해커 그룹이 자주 쓰는 수법이다. 범인과 해킹 목적이 불확실하지만, 악성코드를 오랜 기간 심어놓고도 이렇다 할 ‘사이버 인질극’을 벌이지 않는 것을 보면 기업의 돈이나 명성 등을 노린 게 아니라는 얘기다. 어떤 기업·기관도 사이버 위협으로부터 자유롭지 않다는 방증이다.

얼마 전 한국경제인협회가 주최한 사이버 안보 세미나에 참석한 앤 뉴버거 스탠퍼드대 교수의 말이 의미심장하다. 뉴버거 교수는 “공격은 단 하나의 틈만 찾지만, 방어는 모든 문과 창문을 지켜야 한다”고 했다. “어떤 국가나 기업도 사이버 위협에 홀로 대응할 수 없다”고도 했다. 사이버 안보 분야에서 민관, 국가 간 협력 필요성을 역설한 것이다.

뉴버거 교수는 2019년 미 국가안보국(NSA) 아래 사이버 보안국 초대 국장을 역임했다. 조 바이든 행정부 시절인 2021년 미 백악관 국가안보회의(NSC)에서 사이버·신기술 담당 국가안보 부보좌관을 지냈다. 지난해 미국에서 고위 당국자 등의 통신기록을 노린 대규모 통신사 해킹사건이 일어났을 때 수습을 진두지휘했다.

작금의 사이버 위협은 빙산의 일각이다. 다크웹에는 지금도 수많은 기업, 공공기관의 이메일 계정과 패스워드 등이 떠돌고 있다. 단순한 정보 유출을 넘어 국가안보와 산업 경쟁력을 위협한 지 오래다. 국가안보와 개인정보 보호는 동전의 양면이다. 국가 지원 해커 세력의 공격을 개별 기업의 책임으로만 간주해서는 안 되는 이유다. 사이버 보안 솔루션 기업 포티넷에 따르면 올해 사이버 범죄로 발생한 비용은 10조5000억달러에 이를 것으로 전망된다.

사이버 안보에서 민간과 정부, 여야가 따로일 수 없다. 미 NSC의 국가사이버실(ONCD)이나 영국 국립사이버안보센터(NCSC), 독일 연방정보기술보안청(BSI) 등 각국이 속속 사이버 안보 컨트롤타워를 구축하는 이유다.

우리는 어떤가. 국가정보원(공공), 국방부 사이버작전사령부(국방), 과학기술정보통신부(민간)가 총괄하는 분권 체계로 운영하다 보니 체계적인 대응에는 역부족이다. 국가 차원의 사이버 컨트롤타워를 만들어 민·관·군이 신속하고 유기적 대응에 나서야 할 시점이다. ‘6·3 대선’으로 새로 출범하는 정부의 책임이 막중하다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]