2020년 3월호

"태영호도 당했다" 北의 南 스마트폰 해킹 방법

임종인 前대통령안보특보가 말하는 북한發 해킹 위협

  • 김우정 기자

    friend@donga.com

    입력2020-02-18 10:00:01

  • 글자크기 설정 닫기
    • 中, 한국이 맡긴 코딩 北에 재하청

    • 北 바이러스 심어 韓 스마트폰 해킹 가능

    • 북·중 합동 사이버戰에 반도체 공장까지 위협 노출

    • 유사시 공항·항만·공장 등 운영 프로그램 무력화 우려

    • 文정부 집권 후 국정원·기무사·사이버사 ‘3총사’ 유명무실화

    • 美, 정보유출 우려 韓과 고급 정보 공유하겠나

    • 北 사이버 역량 세계 5위, 韓 20위 밖

    [홍태식 기자]

    [홍태식 기자]

    임종인(64) 전 대통령안보특별보좌관(고려대 사이버국방학과 교수)은 사이버 안보 전문가다. 고려대 수학과를 졸업하고 고려대 대학원에서 박사학위(암호학)를 받았다. 2006년 한국디지털포렌식학회를 창립해 디지털포렌식(digital forensic·디지털 데이터에서 범죄 증거를 분석하는 것) 기술을 국내에 도입했다. 2000년과 2012년 각각 고려대 정보보호대학원과 사이버국방학과를 설립해 후학 양성에 나섰다. 국가정보원 국가보안협의회 위원·대검찰청 디지털수사자문위원장 등을 맡았다. 박근혜 정부 시절이던 2015년에는 대통령비서실 안보특보로 임명됐다. 

    1월 31일 서울 강남구 한국고등교육재단에서 임 전 특보를 만났다. 마침 그는 같은 장소에서 최종현학술원과 미국 국제전략문제연구소(CSIS)가 공동 개최한 ‘지정학 위기와 기술혁신’ 콘퍼런스 발표를 끝낸 참이었다. ‘한미 공조와 사이버 안보 강화를 위한 노력’이 주제였다. 

    임 전 특보는 “미국과 중국 사이 긴장이 고조되는 지정학적 위기에 사이버 안보도 큰 영향을 받는다”면서 “한미 간 사이버 안보 공조가 어느 때보다 중요하다”고 강조했다. 그러면서 “유사시 사이버 공격으로 공항·항만·공장 등의 운영 프로그램이 무력화될 수 있다”며 “반도체 공장도 공격 타깃이 될 것”이라고 했다. 그는 “이런 상황에서 최근 삼성전자 스마트폰의 기본 애플리케이션(앱)이 중국 보안 프로그램 업체 제품을 기반으로 한다는 논란이 있었다. 가볍게 볼 일이 아니다”라고 덧붙였다.

    중국산 프로그램, 보안성 신뢰 어려워

    - 논란이 된 앱은 무엇인가. 

    “중국 업체 ‘치후360’이 개발한 해당 앱의 기능은 ‘리던던시(redundancy·중복된 데이터 제거 및 압축)’다. 스마트폰 데이터 중 불필요한 ‘정크 파일’을 골라 삭제하는 프로그램이다. 그런데 어떤 데이터가 불필요한지 알려면 메인 서버의 데이터베이스와 대조해야 한다. 문제는 이 프로그램의 메인 서버가 중국에 있다는 것이다.” 

    - 중국 업체 제품의 문제점은. 

    “개인정보 보안은 물론 국가 사이버 안보 측면에서 중국 업체를 신뢰하기 힘들다. 서버가 중국에 있으면 사실상 관리·감독도 어렵다. 미국 정부는 최근 수년 간 국내외에 중국 업체의 프로그램 사용을 삼가라고 경고하고 있다. 중국의 대표적 소프트웨어·통신장비 제조업체 화웨이만 하더라도 사실상 국영기업처럼 정부와 밀접한 관계 속에 활동한다. 정경 분리가 어려운 중국 특성을 고려하면 중국 정부의 지시에 따른 정보 유출이 염려된다. 세계적으로 중국산 프로그램에 백도어가 설치된 것 아니냐는 우려도 높다.” 



    - 백도어란. 

    “말 그대로 프로그램의 핵심 기능에 접근하는 ‘뒷문’ 구실을 하는 프로그램이다. 서비스 제공자가 보안 인증을 거쳐 프로그램을 업데이트하려면 시간이 많이 걸린다. 현실적으로 원활한 서비스 제공을 위해 우회로가 필요하다. 따라서 백도어로 고객의 기기에 원격으로 접근하는 것이다. 백도어는 필요악에 가깝다. 그런데 24시간 업데이트 와중에 서버 보유 업체가 나쁜 마음을 먹고 백도어로 정보를 유출한다면 사실상 막기 어렵다.” 

    1월 6일 미국의 한 온라인 커뮤니티에 삼성전자 스마트폰의 기본 앱 ‘저장공간 관리도구’가 중국 내 서버와 데이터를 주고받았다는 의혹이 제기됐다. 저장 공간 관리도구와 같은 기본 앱은 단말기 구입 시 이미 설치돼 있어 임의 삭제가 불가능하다. 해당 앱은 2018년 이후 출시된 모든 삼성전자 스마트폰 기종에 쓰인 것으로 알려졌다. 이에 대해 삼성전자는 “데이터베이스 보유량이 많아 해당 업체 데이터베이스를 사용할 뿐 개인정보 유출 가능성은 없다”고 관련 우려를 일축했다.

    개인정보 유출 ‘팩트’ 아니나 문제는 ‘신뢰’

    2014년 11월 미국의 영화제작사 소니픽처스가 북한 해커들에게 공격당했다. 당시 소니픽처스가 제작한 코미디 영화 ‘인터뷰’는 북한 최고지도자 암살을 소재로 해 북한 당국의 반발을 샀다. 사진은 영화 포스터. [Sony Pictures 제공
]

    2014년 11월 미국의 영화제작사 소니픽처스가 북한 해커들에게 공격당했다. 당시 소니픽처스가 제작한 코미디 영화 ‘인터뷰’는 북한 최고지도자 암살을 소재로 해 북한 당국의 반발을 샀다. 사진은 영화 포스터. [Sony Pictures 제공 ]

    - 해당 앱을 통한 개인정보 유출은 아직 우려에 불과한데. 

    “의혹 제기가 일리 있어 보이나 분명 팩트는 아니다. 하지만 문제는 신뢰다. 소비자들이 저렴한 중국산 스마트폰을 쉽사리 선택하지 않는 이유가 뭔가. 개인정보가 유출될 수 있다는 우려가 한몫한다. 그래서 웃돈 주고 ‘프리미엄 폰’으로 알려진 한국 제품을 사용하는 것이다. 그런데 개인정보 유출 가능성이 있는 프로그램을 탑재하고도 제대로 알리지 않는다? 위험성을 제대로 고지하지 않고 금융 파생상품을 불완전 판매하는 격이다. 개인정보 보호의 중요성에 대한 마인드가 부족하다고 볼 수 있다. 

    미국을 보자. 지난해 12월 플로리다주 해군기지에서 이슬람 극단주의에 심취한 사우디아라비아 국적 훈련생의 총기 난사로 3명이 숨졌다. 미국 정부가 범인의 아이폰을 들여다보고자 제조사인 애플 측에 비밀번호 잠금 해제를 요구했지만 사실상 거절당했다. 도널드 트럼프 미국 대통령도 비판하고 나섰지만 아직 이렇다 할 애플의 태도 변화가 없다. 옳고 그름의 문제를 떠나 개인정보에 대한 글로벌 기업의 고집을 알 수 있다.” 

    임 전 특보는 “개인정보와 국가 안보는 밀접하게 연관돼 있다. 중국으로부터의 사이버 위협을 간과해서는 안 되는 게 현실”이라고 말했다. 그러면서 2015년 미국 연방인사관리처(OPM) 해킹 사건을 주요 사례로 꼽았다. 당시 OPM이 관리하던 연방 공무원 2500여 명의 개인정보가 중국 소행으로 의심되는 해킹으로 유출됐다. 미국 조야가 발칵 뒤집혀 중국에 책임을 추궁했으나 중국 측은 ‘모르쇠’로 일관했다. 이에 대해 임 전 특보는 “중국이 유출된 개인정보를 일일이 보지는 않을 것이다. 다만 중국이 생각하는 주요 인물의 통화 기록이나 내용 등을 심층 분석했을 가능성이 있다. 미국 정부기관마저 공격에 노출된 OPM 해킹 사건은 현실화된 사이버 위협을 보여준다”고 말했다. 

    - 한국 기업이 중국산 프로그램을 채택하는 이유는. 

    “이른바 좋은 ‘가성비(가격 대비 성능)’ 탓 아니겠는가. 공산품 중 ‘Made in China’ 아닌 것이 있나. 소프트웨어 분야도 마찬가지다. 설계는 한국에서 해도 실제 코딩(coding·프로그래밍 언어로 프로그램을 만드는 것)은 대개 중국에 하도급을 맡긴다. 저렴한 인건비 덕분에 가격경쟁력이 높고 성능도 우수하다. 차세대 산업에서도 중국은 두각을 나타낸다. 화웨이는 5세대 이동통신망(5G) 사업에 뛰어들어 글로벌 시장 선두를 차지했다.” 

    - 국내 업체의 화웨이 장비 도입도 논란이었는데. 

    “LG유플러스가 2013년 4세대 이동통신망(4G) 도입 시 화웨이 장비를 썼다. 이때부터 보안에 대해 우려의 목소리가 높았다. 그럼에도 LG유플러스는 5G 파트너로도 화웨이를 선택했다. 장비 호환성 때문이다. 아직 5G 기술이 초기 단계라 4G 망을 토대로 서비스를 제공한다. 중간에 사업자를 바꾸면 기존 망을 모두 교체해야 하므로 비용 부담이 커진다.” 

    - 일각에서는 영국도 화웨이 장비를 채택하지 않았느냐고 말한다. 

    “영국도 4G에 이어 5G 단계까지 화웨이의 네트워크 장비를 도입했다. 다만 화웨이와 합의해 공동 검증위원회를 구성했다. 검증위 영국 측 전문가들이 소스코드(source code·프로그램의 구조를 나타낸 프로그래밍 언어)를 살피고 서버도 현장에서 점검한다. 통신 네트워크 핵심 분야에선 화웨이 장비를 제외했다. 영국이 자국 안보상 가장 견제하는 대상은 중국이 아닌 러시아다. 유럽 내 영향력을 두고 러시아와 갈등하기 때문이다. 거리가 먼 중국의 위협은 아직 큰 고려 대상이 아니다. 다만 영국은 중국의 무역보복 가능성을 고려했기에 그 나름의 안전장치를 갖춰 중국산 통신망을 도입한 것이다. 이런 저간의 사정을 모르고 영국 사례를 우리와 단순 비교하는 것은 어불성설이다.”

    ‘Made in China’ 도입? 전략적 판단해야

    이 대목에서 임 전 특보는 사이버 안보와 국제 정세가 밀접히 연관됐다고 강조했다. 

    “한국은 미국의 주요 동맹국이다. 중국이 아시아에서 패권을 쥐는 데 잠재적 걸림돌로 비칠 공산이 크다. 따라서 ‘Made in China’ 소프트웨어·하드웨어 도입에 전략적 판단이 필요하다.” 

    특히 그는 북한과 중국의 사이버 공조를 주시해야 한다고 말했다. 

    - 북·중 사이버 공조는 어떻게 이뤄지나 

    “중국은 한국에서 받은 일감을 자국 소프트웨어 업체에 취업한 북한인들에게 맡긴다. 한국→중국→북한으로 이어지는 재하도급 구조인 셈이다. 북한 프로그래머들은 중국인보다 낮은 인건비를 받으나 능력이 상당한 것으로 알려졌다. 과거에는 사기업의 게임은 물론이고 ‘대한민국 전자정부’ 소프트웨어까지 중국에 코딩 하도급을 맡겼다. 최근에야 경각심이 일면서 조금씩 자제하는 분위기다.” 

    북한이 한국에서 사용하는 컴퓨터 프로그램과 스마트폰 앱에 바이러스를 심어 해킹할 수도 있다는 얘기다. 

    - 북한의 사이버 안보 역량은 어느 정도인가. 

    “세계 사이버 안보 역량 순위를 매기자면 1위는 물론 미국이다. 러시아와 중국, 이스라엘이 뒤를 잇는다. 많은 이가 간과하지만 5위가 바로 북한이다. 전반적 국력이 세계 10위권인 한국의 사이버 안보 역량은 내가 보기에 20위권 밖이다. 한국에서 이공계 고등학생 중 똑똑하다 싶으면 대개 의과대학에 진학하지 않나. 반면 북한에서는 가장 우수한 인력이 사이버 분야로 진출한다. 북한은 컴퓨터공학 분야 영재를 일찌감치 선발해 ‘사이버전사’로 집중 육성한다. 매년 중등교육 과정에서 추리고 추린 300여 명이 김일성대, 김책공대 등으로 진학해 관련 교육을 받는다. 이들이 대학 졸업 후 중국에 건너가 소프트웨어 업체에 취직한다.” 

    북한의 위협은 사이버 공간에서 상수다. 2009년 7월 한국과 미국의 주요 기관 35개 사이트에 대한 이른바 디도스(DDoS·분산 서비스 거부) 공격도 사실상 중국을 경유한 북한 해커들의 소행으로 추정된다. 공격 범위와 이로 인한 피해도 점차 늘고 있다. 2017년 북한이 개발한 랜섬웨어(ransomware·컴퓨터 시스템을 감염시켜 일부 데이터를 암호화해 사용 못 하도록 하는 악성 소프트웨어)는 단 24시간 만에 세계 150여 개국에서 컴퓨터 23만 대를 감염시켰다. 이로 인해 대만의 대표적인 반도체 제조업체 TSMC의 생산설비 1000여 대가 작동을 멈춰 3000억 원 이상의 피해를 본 것으로 알려졌다.

    北, 24시간 만에 전 세계 컴퓨터 23만 대 감염시켜

    [홍태식 기자]

    [홍태식 기자]

    “지난 기간 중국 업체와 북한 프로그래머들에게 하도급을 준 소프트웨어 속 바이러스 탓 아니겠는가. 한국의 공장이나 항구·공항·철도 등 기간시설도 컴퓨터 프로그램으로 운영된 지 오래다. 반도체 공장은 사이버 공격에 주요 타깃이 될 수밖에 없다. 반도체가 첨단기기에 필수적으로 들어가는 전략물자이기 때문이다. 미국도 안보상 한국의 반도체 생산력을 중시할 정도다.” 

    - 북한 소행 해킹인지 어찌 아나. 

    “프로그램 코딩 단계부터 해킹에 이르기까지 개인과 집단 고유의 특성이 있다. 북한도 마찬가지다. 이제까지 북한의 사이버 공격에도 고유 패턴이 있었다. 물론 그 패턴을 이 인터뷰에서 밝힐 수는 없다. 자칫 우리가 파악한 정보가 유출될 수 있기 때문이다. 정부에 대한 신뢰가 낮은 탓에 북한이 해킹했다는 사실을 밝혀도 진위를 의심하는 여론이 있어 답답하다.” 

    - 지난해 4월 청와대 국가안보실이 국가사이버안보전략을 발표하는 등 대책 마련에 나섰다. 

    “국가사이버안보전략에서 ‘국가 핵심 인프라 안정성 제고’ ‘사이버공격 대응역량 고도화’ 등 5개 전략 과제를 발표했다. 구구절절 맞는 말이고 필요한 과제다. 하지만 전략만 세우면 뭐하나. 전략을 실행할 조직과 예산이 있어야 한다. 청와대 국가안보실이 사이버안보를 관장한다지만 인력에 한계가 뚜렷하다. 그래서 과거 국가정보원이 실무 차원에서 컨트롤타워로 구실했다. 여기에 국방부와 행정안전부, 과학기술정보통신부 등 유관 부처가 협력했다. 하지만 지금은 팔다리가 묶여 여의치 않다.” 

    - 팔다리가 묶였다고? 

    “사이버 보안 3총사로 국정원과 국군안보지원사령부(옛 국군기무사령부), 국군사이버작전사령부를 꼽을 수 있다. 하지만 이전에 비해 사이버전 역량은 크게 약화됐다고 본다. 사이버 위협은 국외뿐 아니라 국내에서도 발생한다. 그런 점에서 이들의 대내(對內) 역량을 약화시킨 것은 어불성설이다. 물론 과거 국정원의 이른바 ‘댓글 공작’ 등에 대해서는 철저한 감시와 견제가 필요하다. 하지만 그런 과오 탓에 제 역할을 못 하게 해서는 안 된다. 대통령이 의지를 갖고 사이버보안 업무에 힘을 실어줘야 한다.”

    미국, ‘사이버 애치슨라인’ 그을라

    임 전 특보는 점증하는 사이버 위협에 직면한 한국의 고립을 우려했다. 한국의 사이버 안보 역량이 부실해 북·중으로 정보가 유출될 우려가 높아지면 미국이 쉽사리 고급 정보를 공유하겠냐는 것이다. 

    실제로 미국은 사이버 전쟁 국면에서 한국이 어느 편에 설 것인지 묻고 있다. 지난해 5월 도널드 트럼프 대통령은 행정명령으로 미국 기업의 해외 통신장비 사용을 금지했다. 미국 상무부는 화웨이 및 계열사를 미국 기업과 거래할 수 없는 ‘거래 제한 기업’ 명단에 올렸다. 백도어 등을 통한 중국으로의 정보 유출을 견제하겠다는 취지다. 같은 해 6월 해리 해리스 주한 미국대사는 국내 한 IT 관련 행사에서 화웨이 장비 채택의 위험성을 경고하며 “사이버 보안은 동맹국 통신 보호의 핵심 요소”라고 말했다. 중국산 장비를 사용하는 한국 업체들을 겨냥한 셈이다. 

    임 전 특보는 “최신형 전투기 F-35나 이지스 구축함에 대해서도 외부의 해킹 가능성이 제기되자 미국은 보안에 상당히 민감해졌다. 한국에 대한 ‘사이버 애치슨라인’을 긋기 전에 미국과의 사이버 안보 공조를 강화해야 한다”고 지적했다.



    댓글 0
    닫기

    매거진동아

    • youtube
    • youtube
    • youtube

    에디터 추천기사