조기 대선 앞두고 사이버 테러 비상령…여야 시각 온도차
벚꽃 대선이 가시화되고 있다. 3월초 헌법재판소가 박근혜 대통령의 탄핵안을 인용하면 5월초에 19대 대선이 치러진다. 여의도에서는 이미 대선 레이스가 시작됐다. 그러나 탄핵 뒤 맞는 조기 대선이라, 혼란한 틈을 노린 사이버 테러의 가능성은 더욱 높아지고 있는 실정이다. 2011년 선관위 디도스 공격에 참여했던 핵심 관계자는 “선거 때마다 사이버 테러팀이 만들어지곤 한다. 선거마다 이런 팀들은 항상 존재한다고 보면 된다”면서 “사이버 공격은 어느 선거에서든 가능하다. 이번 대선 역시 마찬가지”라고 강조했다.
그러나 사이버 테러를 바라보는 여야의 시각은 전혀 다르다. 정부 당국은 북한발 테러 위협을 강조하며 사이버안보법을 밀어 붙이고 있고, 야당은 오히려 국정원이 또다시 선거에 개입할 수 있다고 주장하고 있다.
“북한과의 사이버 전쟁은 이미 시작됐다.” 황교안 국무총리 겸 대통령 권한대행의 취임 일성은 ‘북한에 의한 사이버 테러’였다. 황 권한대행은 지난해 12월13일 처음으로 주재한 국무회의에서 “최근 국방부 해킹 사례에서 보듯 북한은 호시탐탐 우리 정부의 주요 기간시설 등에 대한 사이버 테러를 시도했다”며 이같이 밝혔다. 그는 이어 “지금과 같은 비상상황일수록 안보의 중요성은 아무리 강조해도 지나치지 않으며, 국정의 조속한 안정도 오로지 튼튼한 안보가 전제됐을 때 가능한 일이라고 생각한다”면서 “테러방지법이 통과돼 대(對)테러센터를 중심으로 체계적으로 테러에 대처하고 있는 것처럼 사이버 테러에 대해서도 종합적인 대비체계를 강화해 주길 바란다”고 강조했다.
박근혜 대통령에 대한 탄핵심판 선고 일정이 사실상 3월13일 이전으로 결정되면서 5월 조기 대선 가능성이 커지고 있다. 이에 따라 사이버 테러를 우려하는 목소리도 높아지고 있다. 19대 대선에서도 선거에 개입하려는 ‘보이지 않는 손’이 작용할 가능성이 높다는 것이다. 실제로 중앙선거관리위원회에 대한 해킹 시도는 월 평균 300건을 넘어서고 있다. 중앙선관위에 따르면, 2012년 이후 중앙선관위 홈페이지에 대한 해킹 시도는 1만7887건에 이르고 있다. 2012년 314건이었던 해킹 시도는 매년 급증해 2015년에는 14배 이상 폭증한 4612건, 2016년에는 6000건을 넘어섰다. 그러나 사이버 범죄의 검거율은 현저히 떨어진다. 치안정책연구소가 발간한 ‘2017 치안전망 보고서’에 따르면, 해킹·DDos·악성코드 등 사이버 해킹 범죄에 해당하는 정보통신망 침해 범죄의 검거율은 29.8%에 그치고 있다. 3명 중 1명만 검거되고 있는 것이다.
사이버 테러의 배후에는 항상 북한이 지목돼 왔다. 김정은 북한 노동당 위원장은 2013년 8월 “사이버 공격은 핵·미사일과 함께 군의 타격력을 담보하는 만능의 보검”이라고 말했다. 현재 북한은 국내 포털사이트에 게재된 유언비어를 퍼 나르는 ‘댓글전담팀’을 운영하는 것으로 알려졌다. 북한은 인터넷 등 대남 사이버 심리전 매체를 동원해 지난해 3~5월 매달 200여 건의 ‘사드’ 배치 비난 심리전을 펼쳤다. 우리 정부가 지난해 7월13일 사드 배치 지역을 발표하자, 7월 한 달 동안 1만여 건의 ‘사드 배치’ 비난·비방글을 인터넷에 게재했다. 현재 북한은 핵무기 개발의 보복조치로 유엔 등 국제기구의 대북송금 제재조치가 강화되면서 외화벌이 수단으로 사이버 불법도박, 화상채팅, 해킹 등을 활용하고 있다. 북한은 이미 1000여 명의 IT(정보기술)인력을 중국, 동남아 등에 ‘외화벌이 일꾼’으로 위장 파견했다. 북한 정찰총국은 2016년 5월 인터넷 쇼핑몰 인터파크 회원 1030만 명의 정보를 해킹해, 7월4일부터 13일까지 인터파크 임원에게 총 34통의 악성 메일을 보내 회원 정보를 유출하겠다고 협박하며 30억원의 비트코인을 요구하기도 했다.
北 “사이버 공격은 만능의 보검”
그러나 사이버 테러의 북한 배후설이 ‘전가(傳家)의 보도(寶刀)’처럼 악용되고 있다는 비판도 제기되고 있다. 정부가 북한의 테러 위협을 강조하면서 공안 정국을 조성하고 있다는 것이다. IT보안업체 관계자 A씨는 “정부는 중대한 사이버 테러 사건이 발생할 때마다 앵무새처럼 북한의 소행이라는 말만 되풀이하고 있다. 악성코드나 IP주소가 유사한 패턴을 보인다는 것이 북한 소행이라는 유일한 증거”라면서 “그러나 이는 명확한 증거가 될 수 없다. 또한 이런 증거는 충분히 조작이 가능하다”고 지적했다.
또 다른 IT보안업체 관계자 B씨는 “북한이 사이버 테러를 저질렀다고 하면 누구 하나 책임을 질 필요가 없다. 해당 기관의 보안 담당자조차 책임을 면할 수 있다. 북한의 조직적인 국가 테러를 일개 기관이 막을 수 없다는 논리”라면서 “오히려 정부가 북한발(發) 사이버 테러를 정치적으로 활용하고 있다는 생각이 든다. 정부가 수세에 몰릴 때마다 단골 소재로 북한발 사이버 테러가 언급되는 느낌이 강하게 든다”고 말했다.
“공안 정국 위해 북한發 사이버 테러 조작”
이와 관련해 기자가 만난 현직 해커는 정부가 북한의 소행이라고 밝힌 몇몇 사이버 테러 사건을 “자신이 실행했다”고 밝혔다. 익명을 요구한 해커 C씨는 “○○ 해킹 사건과 ◇◇◇◇ 해킹 사건은 우리 팀에서 한 것이다. 사건이 난 후 정부가 북한 소행이라고 발표하는 것을 보고 웃지 않을 수 없었다”면서 “해당 업체의 경우 북한이 아닌 일반 해커들한테 당했다는 것을 절대 밝히지 못한다. 누군가는 이에 대한 책임을 져야 하기 때문이다. 이런 상황에서 북한의 소행이라고 발표하면 손해 볼 사람이 없다. 해당 업체는 책임을 면할 수 있고, 정부는 북풍으로 유리한 국면을 조성할 수 있지 않겠는가”라고 말했다. 그는 이어 “해당 기관이나 기업에 대한 해킹 공격은 ‘돈’ 때문에 이뤄진다”면서 “고객의 주문을 받고 해킹에 들어간다. 해킹에 성공하면 해당 업체는 IT 보안 설비를 보강하거나 교체할 수밖에 없다. 여기에 드는 돈이 적어도 70억~80억원에 이른다. 해킹을 주문한 고객은 이 과정에서 이득을 챙기고, 이 중 30%는 우리(해커) 몫이다. 1년에 두 번 정도만 성공해도 평생 먹고살 수 있는 돈이 생기는 것이다”고 밝혔다.
실제로 이런 일은 IT업계에서 공공연하게 벌어지고 있다. 특히 선거철이면 해킹에 대한 유혹이 늘어날 수밖에 없다. IT보안업체 큐브피아 권석철 대표는 “상대 후보의 유권자 연락처 등을 빼내 달라는 제안을 받은 적이 있다. 처음에는 연락처 정도겠지만 나중에는 상대방의 중요 전략이나 문서를 해킹해 달라고 할 것이 분명해서 거절했다”면서 “해킹을 요구하는 것은 누군가 (해킹을) 하니까 그런 요구가 있는 게 아니겠는가. 누군가는 돈을 위해서 해킹을 실제로 했을 것이다. 이는 (IT업계에서) 비밀 아닌 비밀이다”고 말했다.
최근 온라인 백과사전인 ‘위키백과’에 야권 대선 주자인 문재인 전 대표와 이재명 성남시장이 각각 ‘조선민주주의인민공화국의 정치인’ ‘조선민주주의인민공화국의 성남시장’으로 등재돼 있는 사실이 밝혀졌다. 더불어민주당은 “위키백과는 네티즌들이 자율적으로 편집할 수 있는 온라인 백과사전으로, 누군가 불온한 목적을 가지고 우리 당 대선 주자들에 대해 가짜 정보를 입력한 것”이라며 “명백한 사이버 테러”라고 주장했다. 더불어민주당은 “조기 대선이 가시화되는 상황에서 벌어진 우리 당 대선 주자들에 대한 사이버 공격은 2012년 대선의 악몽을 떠올리게 한다. 우리는 지난 2012년 대선 당시 국가정보원의 여론조작을 경험한 바 있다”면서 “사법 당국은 이것이 개인의 일탈인지, 특정 집단의 개입에 의한 것인지 분명히 밝혀야 한다”고 밝혔다. 더불어민주당은 3월2일 문 전 대표와 이 시장의 이력을 조작한 혐의로 ‘성명 불상자’를 명예훼손 혐의로 검찰에 고발했다.
이처럼 선거와 관련된 사이버 테러에는 오히려 국정원을 비롯한 정부 당국이 배후로 지목된 경우가 허다하다. 본지는 2011년 10월26일 서울시장 보궐선거 때 발생한 이른바 ‘선관위 디도스 공격 사건’이 정부 여당 수뇌부가 조직적으로 지시한 것임을 단독보도한 바 있다(2017년 1월16일 “‘선관위 디도스 공격은 연습게임, 총선이 메인타깃’”기사 참조). 당시 선관위 디도스 공격에 참여했던 핵심 관계자는 “당시 박희태 국회의장의 지시를 받아 디도스 공격을 준비해 왔다”면서 “한나라당 수뇌부 역시 이 일을 알고 있었다”고 밝혔다. 이와 관련해 박원순 당시 서울시장 야권 후보(현 서울시장)는 “헌법 제1조를 위반한 중대한 범죄다. 재수사는 물론이고 진상조사위원회도 꾸려져야 한다”고 밝혔고, 더불어민주당과 정의당 등 야권에서도 추가적인 진상규명을 요구했다.
사이버 테러 배후로 정부·국정원 지목
국정원이 직접 해킹 프로그램을 구입해 불법 도·감청을 했다는 의혹도 불거졌다. 2015년 7월 이탈리아 IT기업 ‘해킹팀’의 내부 기밀자료가 유출됐는데, 이 자료를 통해 국정원이 해킹 프로그램을 구입한 사실이 밝혀졌다. 국정원은 2012년 4월11일 치러진 19대 총선을 두 달여 앞두고 해킹 프로그램 RCS(원격제어시스템)를 6억원에 사들였다. 또한 같은 해 12월19일 열린 18대 대선을 2주 앞둔 시점에 해킹 프로그램을 추가로 구입하기 위해 값을 문의하기도 했다. 2014년 6월 지방선거를 앞두고는 또 다른 해킹 프로그램 TNI(Tactical Network Injector)를 들여왔다. 당시 국정원은 대북 공작활동에 사용하기 위한 것이라고 항변했지만 불법 민간인 사찰에 대한 국민적 의혹이 일었다. 그러나 사이버 안보를 담당했던 임아무개 국정원 과장이 빨간 마티즈 차 안에서 자살하면서 사건의 진실은 결국 밝혀지지 못했다.
선거와 관련한 사이버 테러에 국정원을 비롯한 정부 당국이 배후로 거론되고 있지만 사이버 영역에서의 국가의 힘은 갈수록 강화되는 모양새다. 지난해 12월27일 열린 국무회의에서 북한 등의 사이버 공격에 신속하게 대응하기 위해 국가사이버안보기본법이 심의·의결됐다. 개정안에 따르면, 국가안보실장을 위원장으로 대통령 소속 국가사이버안보위원회를 두도록 했다. 국가사이버안보위원회는 사이버 안보 정책의 ‘컨트롤타워’ 역할을 수행하게 된다. 문제는 공공기관뿐 아니라 민간 영역까지 적용 대상을 확대했으며, 국정원의 권한과 기능을 대폭 강화했다는 점이다. 국정원장은 국가안보를 위협하는 사이버 공격이 발생하면 피해 확인, 원인 분석, 재발 방지를 위한 조사를 진행하고, 단계별 사이버 위기 경보를 발령할 수 있다. 이와 관련해 참여연대 측은 “황교안 총리가 대통령 권한대행을 맡은 후 처음부터 북한의 사이버 테러 위험을 강조해 왔다. 결국 사이버안보법을 통과시키려는 꼼수”라면서 “사이버 보안 권한을 민간으로 확대하면 국정원의 민간 정보통신망에 대한 사찰과 감시 역시 수월해질 수밖에 없다. 전 세계 어느 나라도 국정원 같은 정보기관이 사이버 보안에 대한 컨트롤타워를 맡고 있지 않다”고 비판했다.
북한發 사이버 테러 사건
2009년 7월7일 발생한 이른바 ‘7·7 디도스 사건’이 북한의 소행으로 알려진 첫 번째 대규모 사이버 테러다. 청와대, 국방부, 국가정보원 등 정부기관을 비롯해 금융·언론·포털 등 20여 개 홈페이지가 마비됐다. 미국의 백악관과 재무부 등 기관 역시 공격을 받았다. 디도스에 이용된 ‘좀비PC’가 11만여 대에 달했고, 1400여 개의 하드디스크가 파괴돼 500억원 이상의 피해가 발생했다. 공격 근원지로는 북한 체신성이 지목됐다.
2011년에는 두 번의 사이버 테러가 있었다. ‘3·4 디도스 공격’으로 청와대·국회·국정원·경찰청과 금융사, 포털 등 40여 곳이 피해를 입었다. 4월12일에는 농협 협력업체 직원의 노트북이 악성코드에 감염돼 농협 서버 270여 대의 자료가 파괴됐다.
2012년에는 중앙일보 신문제작 시스템이 파괴됐는데, 북한 체신성의 소행으로 알려졌다. 2013년 북한은 3차 핵실험을 단행하면서 정전협정 백지화를 선언했다. 남북관계가 급속히 냉각됐고, 3월20일 방송·금융기관에 악성코드가 유포되면서 PC·ATM(현금자동출금기) 등 4만8000대의 데이터가 삭제됐다. 6월25일에는 청와대와 정당 등에 대한 사이버 공격이 가해졌다. 2014년 8월에는 대학병원 전산망이 사이버 테러를 받았고, 12월에는 한국수력원자력에 대한 해킹 공격으로 설계도와 조직도 등 80여 건의 문서가 유출됐다. 지난해에는 ‘청와대 국가안보실’ 등 정부기관을 사칭해 700여 명에게 해킹 메일을 보냈고, 정부 인사의 스마트폰과 인터파크를 해킹하기도 했다.
경찰청 사이버테러대응센터 관계자는 “북한 정찰총국의 사이버부대는 6000여 명에 이르며 사이버 공격 능력은 세계 6위, 사이버 정보 평가능력은 7위 수준”이라면서 “북한의 대남 사이버 공작기관은 페이스북, 유튜브, 트위터 등 1000여 개의 SNS 계정을 개설해 운영하고 있는데, 이는 2013년 300여 개보다 3배 이상 급증한 것이다”고 말했다.