기자는 지난달 초 안보 관련 세미나 초청 e메일을 2통 받았다. 발신처는 모두 안보 연구소들이었다. 세미나는 지난달 말 같은 날 오전과 오후 따로 열리는 일정인데, 두 세미나에서 토론자로 초청한다는 것이었다. 의심 없이 첨부파일인 세미나 안내문을 열어본 게 나중에 화근으로 드러났다.
   
‘세미나’ 일주일 전 좀 이상하다고 느꼈다. 주최 측에서 ‘발제문을 미리 보내줄 테니 검토한 뒤 토론문을 보내달라’고 했는데도, 막상 발제문이 안 왔다. 그래도 이렇게 생각했다.

 
‘가끔 세미나 당일 보내주는 경우도 있지. 이번에도 그러겠지.’

 
세미나 당일 오후 행사를 주관한 측에 주차를 문의했더니, 이미 지난주에 열었다고 답했다.

 
‘참 이상하다.’

 
일단 서둘러 오전 행사가 열리는 호텔에 도착했다. 그런데 세미나는 그 호텔에서 열리지 않았다.

 
‘아뿔싸, 속았다.’

 
별생각이 다 들었다. 평소 연락하는 방첩기관 취재원에게 전화를 걸었더니 이런 말을 들었다. 
 
“박 기자, 저쪽 애들에게 당했어.“

 
저쪽은 북한이다. 그렇다. 지난 10년간 북한의 해킹 시도에도 나름 잘 버텼다고 자부했던 기자다. 그런데 단 한 번의 방심으로 수많은 자료가 담긴 하드 드라이브를 눈물을 머금고 포맷하고 교체해야만 했다. 겨우 외웠던 수 많은 비밀번호도 모두 바꿔야 했다.
 
‘이철재의 밀담’ 기사 작성에 참여하는 박용한 기자가 실제 겪었던 일이다.

 
기자 해킹 메일을 분석한 보안 전문가인 문종현 이스트시큐리티 시큐리티대응센터장은 “메일 두개 모두 북한이 만든 것으로 99%이상 확신한다”며 “지난달 초 다른 분석 사례에서도 유사한 해킹 메일을 발견했다”고 말했다.

    
  북한은 한국을 상대로 한 해킹과 사이버 공격의 고삐를 결코 놓은 적이 없다. 군 당국에 따르면 국방정보시스템을 상대로 한 사이버 공격은 2013년 1434회, 2017년 3986건, 2019년 9533건으로 매년 급증하고 있다. 

 
국방부는 사이버 공격 발신지가 미국·중국 등 제3국으로 나타나더라도 상당수를 북한발(發)로 의심하고 있다. 해커 조직이 꼬리가 안 잡히도록 여러 번 우회해 발신지를 세탁하는 수법을 쓰고 있기 때문이다. 또 북한의 사이버 인력이 중동이나 아프리카 국가로 나가 일하는 경우가 많다.

 
남북한은 2018년 4월 27일 판문점 선언에서 ‘지상과 해상, 공중을 비롯한 모든 공간에서 … 상대방에 대한 일체의 적대행위를 전면 중지한다’(2조 1항)고 합의했다. 그러나 이 순간에도 북한은 호시탐탐 한국의 사이버 허점을 파고들고 있다.

 
문종현 센터장은 요즘 북한의 사이버 공격 트렌드를 “북한은 외화벌이 목적으로 비트코인 등 암호화폐 관련 종사자와 기관을 집중적으로 노렸는데 최근 그 범위가 넓어졌다”며 “주식ㆍ산업 등 경제 전반의 전문가로 공격 대상을 확 늘렸다”고 설명했다. 
 
미국의 국무부ㆍ재무부ㆍ국토안보부ㆍ연방수사국(FBI)은 지난 4월 15일 ‘북한 사이버 위협 주의보’를 내리고 “미국과 UN의 강력한 제재 압력으로 대량 학살 무기와 탄도 미사일 프로그램에 대한 자금을 만들기 위해 북한은 사이버 범죄를 포함한 불법 행위에 점점 의존해 왔다“고 경고한 것도 이런 맥락이다. 
    
  문종현 센터장은 또 “지난달 16일 북한이 개성공단 내 남북 공동연락사무소를 폭파할 즈음 북한이 정부 당국자, 북한 전문가를 상대로 한 해킹 시도가 갑자기 많아졌다”며 “한국 정부가 어떻게 대응할지 북한이 궁금했던 모양”이라고 말했다. 그러면서 “북한의 해킹 수법은 오랜 시간에 걸쳐 특정 목표로 침투하는 APT(지능형 지속 공격)가 대부분이었는데, 요즘 다양해졌다”고 말했다.  

 

북한은 전문가 동호회 사이트의 자료실에 악성 코드가 담긴 자료를 올린다고 한다. 문 센터장은 “물고기를 작살로 잡는 게 아니라 그물을 던져 물고기도 잡고, 문어도 잡고, 게도 잡는 방법”이라며 “파악해야 할 데이터의 양이 기하급수적으로 늘어나는데, 북한 해커 조직에서 이를 처리할 수 있도록 인원과 역량도 함께 많아진 것으로 보인다”고 말했다.

 
지금도 눈에 보이지 않지만, 숫자 0과 1(디지털)을 갖고 벌이는 사이버 전쟁은 한반도는 물론 전 세계 곳곳에서 벌어지고 있다. 
 
한국도 북한에 당하고만 있지 않은 듯하다. 구글의 보안 전문가들은 해커 조직이 지난해 마이크로 소프트의 웹 브라우저인 인터넷 익스플로러, 윈도, 구글의 웹 브라우저인 크롬의 보안 취약점을 이용해 북한과 북한 관련 전문가를 공격한 사례를 발견했다고 밝혔다. 구글은 이 해킹의 주체를 밝히진 않았다. 
 
그러나 구글의 보안 전문가인 토니 기드와니는 “이번 해킹의 수법은 제로데이 공격(Zero-Day Attack·컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협)”이라며 “같은 해커 조직이 상대적으로 짧은 시간 안에 다양한 제로데이 공격 수법을 사용한 것은 이례적”이라고 말했다. 소규모 조직이 아니라, 많은 자원을 가진 대규모 조직의 소행이라는 뜻이다.
   
  실제로 러시아의 보안업체인 카스퍼스키 랩은 미국의 매체인 와이어드(Wired)에 지난해 해킹을 저지른 조직은 다크호텔(Dark Hotel)이라고 알렸다. 카스퍼스키 랩의 연구ㆍ분석팀장인 코스틴 라이루는 “다크호텔은 정보를 수집하기 위해 북한과 중국 국적을 오랫동안 해킹했다”면서  “조직은 문서ㆍe메일 등 정보를 얻는 데 관심을 가진다”고 말했다. 라이루는 다크호텔의 배경이 어딘지에 대해선 입을 다물었다. 
 
그런데 ‘Tapaoux’라고도 불리는 다크호텔은 과거 북한을 해킹해 한국 정부와 관련이 있다는 의심을 받아온 해커 조직이다. 다크호텔은 호텔의 실내 와이파이(WiFi) 비밀번호가 방 번호와 관련 있다는 점을 악용해 투숙객의 PC나 핸드폰을 해킹해서 유명해졌다. 
 
홍콩의 영문 일간지인 사우스차이나모닝포스트(SCMP)는 중국의 사이버 보안 업체 치후360 보고서를 인용해 다크호텔이 중국 정부 기관과 이탈리아·영국·북한·태국 등의 해외 공관을 공격했다고 보도했다. 치후360은 이 같은 사이버 공격이 중국 정부가 갖고 있는 신종 코로나바이러스 감염증(코로나19) 관련 정보를 노린 것일 수 있다고 주장했다. 외교안보 전문 격월간지인 ‘포린폴리시’를 발행하는 미국외교협회(CFR)는 다크호텔의 배후로 한국을 지목했다.    
 
  지난해 5월 28일 평양타임스ㆍ내나라 등 북한의 관영 매체와 북한 보험회사 웹사이트가 디도스(DDoSㆍ공격자를 분산적으로 배치해 동시에 서비스 거부 공격을 하는 방법) 공격을 받았다. 북한의 웹사이트에 대한 디도스 공격은 지난해 4~5월 여러 번 이뤄졌다. 공격 발신지는 최소 161개국이었다. 누구의 소행인지 밝혀지지 않았지만, 북한을 사이버 공격할 의도와 수단을 갖춘 나라는 몇 나라 안 될 것이다.

 
지구 상 사이버 전쟁이 가장 치열한 곳을 꼽는다면 중동이 들어간다. 이스라엘과 이란은 네트워크를 통해 서로를 공격한다. 이스라엘의 매체인 Ynet은 자국의 상ㆍ하수도를 관리하는 시스템이 오작동을 일으켰는데, 이게 이란의 해킹 때문이라고 보도했다. 앞서 이스라엘 정부는 시스템 문제라고 발표했다. 
 
반면 이란은 호르무즈 해협 인근 반다르 아바스에 있는 샤히드 라자이항의 항만 관리 시스템을 목표로 한 사이버 공격이 있었다고 밝혔다. 이스라엘의 소행이라고 보도했다. 두 나라의 사이버 전쟁은 정부나 군을 공격하지 않고, 민간의 인프라를 침해한 게 특징이다. 두 건의 사이버 공격 모두 큰 피해는 없었다. 이스라엘과 이란 모두 새로운 형태의 해킹을 찔러본 게 목적인 듯하다. 본격적인 공격이었다면 양국은 막대한 타격을 받았을 것이다. 그러면 이스라엘 또는 이란은 사이버 공간이 아니라 실제 세상에서 보복 목적의 전쟁을 일으켰을 가능성이 있다.
   
  이칸스(EKANS) 또는 스네이크(Snake)라 불리는 랜섬웨어(ransomwareㆍ컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어)는 공장이나 시설의 시스템을 장악해 이를 풀려면 몸값을 내라고 요구한다. 이스라엘이나 이란과 같은 국가가 아니라 해커 집단이 이 같은 랜섬웨어로 한 나라의 인프라를 장악할 경우 경제는 물론 일상생활까지 틀어지게 만들 수 있다는 우려가 나온다.

 
러시아는 특정 웹사이트를 마비시키는 디도스 공격을 넘어서 아예 한 나라의 인터넷망을 멈춰 세우는 도구를 만들었다. 러시아의 해커 조직으로 추정하는 디지털 레볼루션(Digital Revolution)은 러시아 연방정보국(FSB)의 하청 업체인 퀀텀 리서치 인스티튜트(Qunatum Research Institute)를 해킹해 빼낸 문서를 2018년과 2019년 공개했다. 이 문서에 따르면 러시아는 사물 인터넷(Iotㆍ각종 사물에 센서와 통신 기능을 내장하여 인터넷에 연결하는 기술)을 통해 대규모 인터넷망의 접속을 차단하는 방법을 개발했다.
  국가보안기술연구소 소장을 지낸 손영동 한양대 융합국방학과 초빙교수는 이렇게 제안했다.
   
이철재ㆍ박용한 기자 seajay@joongang.co.kr