핵폭탄의 위력은 상상을 초월한다. 제2차 세계대전 당시 일본 히로시마에 투하된 핵폭탄으로 도시 면적의 70%가 파괴됐고, 14만 명이 사망했다. 2016년 북한 5차 핵실험 기준으로 볼 때 북한 핵폭탄의 위력은 히로시마 핵폭탄의 약 66% 수준이다. 히로시마 핵폭탄보다 위력은 낮지만, 인구밀도가 히로시마보다 훨씬 높은 서울에 핵폭탄이 투하된다면 그 피해는 히로시마보다 몇 배 더 클 것으로 보인다. 그래서 북한 핵실험은 한반도 안보를 위협한다.
북한 핵실험 관련 이슈는 한국뿐 아니라 미국, 중국, 일본 등에서도 매우 중요하다. 그래서 주변국 정상들은 이를 신중히 다룬다. 그러나 북핵에 치우치다 보니 안보 문제에서 간과하는 요소가 있다. 바로 ‘사이버 안보’다.
북한 핵실험은 도발로만 끝나지만, 한국은 이미 북한 소행으로 추정되는 사이버 공격으로 여러 차례 큰 피해를 입었다. 2013년 국군사이버사령부는 2009년부터 2013년까지 북한의 해킹 등으로 입은 피해액이 8600억 원에 달한다고 보고했다. 그런데도 이 문제를 북한 핵실험만큼 진중하게 고려하지 않고 있다.
2014년 국방부가 보고한 국방백서 기준으로 보면, 북한의 사이버 전사 수는 6000명에 달하나 남한은 10분의 1도 채 안 되는 500명 정도다. 참고로 북한은 1990년대부터 사이버 전사를 양성하고자 컴퓨터 영재 엘리트 교육을 실시했으나 남한은 2012년에 들어서야 고려대에 사이버국방학과가 개설됐다. 또 북한은 어릴 때부터 11년간 사이버 전쟁 교육을 하는 데 비해 남한은 대학 4년 과정밖에 없다.
원전 침투, 드론 해킹
2016년 12월 북대서양조약기구(NATO)는 사이버 공격을 새로운 전쟁 영역으로 공식화했다. 사이버 공격도 전쟁 선포로 간주한다는 뜻이다. 사이버 공격이 그만큼 국가에 위협이 될 수 있음을 의미한다.
사이버 공격의 피해 범위는 가상 공간을 넘어 물리적 공간으로까지 빠르게 확장되고 있다. 물리적으로 큰 피해를 준 사이버 공격 사례는 이미 많다. 그래서 사이버 공격을 전쟁으로 간주해도 전혀 이상하지 않다.
2010년 7월 이란 나탄즈에 위치한 원자력발전소에서 원심분리기 1000여 대가 파괴된 사건이 있었다. 당시 나탄즈 원자력발전소는 폭탄 공격에 대비하고자 22m 높이의 흙으로 덮여 있었고 벽 두께만 2.5m였다. 그러나 이 같은 철벽 방어는 악성코드에 감염된 USB로 무너졌다. 이러한 사건은 국내에서도 충분히 일어날 수 있다. 북한에 의해 원자력발전소가 물리적 공격을 받을 수도 있다.
이 밖에도 여러 사례가 있다. 이란은 자국 영내에서 정찰하는 미국 드론을 해킹해 포획한 적이 있다. 2011년 12월 이란은 미국 록히드마틴이 개발한 드론 ‘RQ-170’을 원격 해킹해 탈취했다. 이는 무인 드론을 해킹으로 탈취해 되레 적군을 공격하도록 유도할 수 있음을 시사한다. 지난해 12월 우크라이나 수도 키예프에선 사이버 공격으로 정전이 발생하는 피해를 보았다. 1시간 동안 키예프 지역에 전력 공급이 중단됐다. 우크라이나 정부는 그 배후에 러시아가 있는 것으로 추정하고 있다.
한국의 경우 2013년 3월 20일 디도스(DDos·분산 서비스 거부) 공격으로 국내 주요 언론기관과 금융기관 전산망이 마비된 사건도 있었다. 4만8700여 대의 기기가 디도스 공격으로 손상됐다. 이 사건은 사이버 공격으로 얼마든지 통신수단을 억제해 사회 혼란을 초래할 수 있음을 시사한다.
4차 산업혁명의 아킬레스건
이처럼 사이버 공격은 현실세계에서 전쟁무기로 활용돼 상대방에 큰 타격을 줄 수 있다. 하지만 이는 아직 시작에 불과하다. 4차 산업혁명 시대엔 사물인터넷(IoT) 연결로, 사이버 공격이 일으킬 안보 위협이 더 커질 것으로 전망되기 때문이다.4차 산업혁명 시대엔 IoT 기술로 거의 모든 것이 네트워크로 연결된다. 이는 사용자에게 편리성을 제공한다. 반면, 사이버 보안에 대한 위협을 증가시키는 문제를 일으킨다.
IoT로 인한 보안 위협 요인은 두 가지로 볼 수 있다. 첫째는 IoT 자체의 취약점이다. IoT는 센서 기반 기술이다. 다시 말해 연결되지 않던 센서들을 활용해 네트워크화하는 기술이 IoT다.
센서 기반인 IoT는 보안에 취약할 수밖에 없다. 센서는 일반 컴퓨터와 달리 저사양 성능이므로 해킹에 대응할 보안기술을 적용할 수 없다. 이는 보안상 취약점을 일으킨다. 인터넷으로 통신을 주고받을 땐 통신에 암호화 알고리즘을 적용한다. 제3자가 엿볼 수 없게 하기 위해서다. 그런데 IoT 기기는 저사양 성능이기에 높은 수준의 암호화 알고리즘을 적용할 수 없다. 이 때문에 제3자가 쉽게 암호통신을 해킹해 엿볼 수 있다. 그리고 컴퓨터처럼 백신을 설치할 수 없으므로 악성코드에 감염돼도 이를 탐지하기란 어렵다.
IoT 기기 보안의 취약점을 보여주는 대표 사례는 2016년 10월 미국에서 발생한 ‘미라이(Mirai) 공격’이다. 10만 개의 IoT 기기를 감염시킨 후 디도스 방식을 활용해 CNN 뉴스, 페이팔, 트위터 등 85개 업체에 서비스 장애를 일으켰다. 분석 결과, 공격 방식은 초보적 수준으로 밝혀졌다. IoT 기기에 충분한 보안장치가 없으므로, 굳이 백신과 같은 보안 프로그램을 회피할 기술을 도입하지 않은 것이다. 이는 IoT 기기가 사이버 공격에 얼마나 취약한지를 보여준다.
둘째는 ‘네트워크 의존성’이다. IoT는 기존엔 연결하지 않던 것들을 서로 연결한다. 이는 네트워크 의존도를 높이는 결과를 가져온다. 보안 관리 대상이 늘어난다는 의미다. 자연스럽게 보안 취약점도 늘어날 수밖에 없다.
사이버 보안 전문가 리처드 클라크와 로버트 네이크는 미국, 중국, 러시아, 이란, 북한 등 5개국을 대상으로 사이버 전쟁 능력을 평가했다. 평가 항목으로 ‘네트워크 의존도’를 넣었다. 네트워크 의존도가 높을수록 보안 취약점이 많아서 사이버 방어 수준이 낮아지기 때문이다. 실제로 사이버 방어력과 네트워크 의존도의 상관관계가 상당히 높음을 확인할 수 있었다. 미국은 5개국 중 네트워크 의존도가 제일 높은 동시에 사이버 방어력도 제일 낮았다. 반면 북한은 네트워크 의존도가 제일 낮은 동시에 사이버 방어력은 제일 높았다.
IoT는 사이버 공격력을 증대시키는 결과도 초래한다. 해커들이 은행, 자동차, 가전제품 등을 대상으로 공격할 수 있게 됐고, 해킹으로 피해를 줄 수 있는 범위가 확대됐다. 2015년 7월 세계 보안 콘퍼런스인 ‘데프콘’에선 클라이슬러 자동차를 해킹해 원격 조종하는 장면을 시연했다. 이는 해킹으로 운전자의 생명을 빼앗아갈 수 있음을 보여준다. 이 밖에도 다양한 해킹 공격으로 국가 주요 기관을 파괴하거나 사람들의 생명을 위협할 수 있다.
AI 기반 해킹에 속수무책
4차 산업혁명은 사이버 공격 무기를 고도화하는 촉매 작용도 한다. 보안 취약점이 많아져서 해킹이 쉬워지고 공격력이 상승해 얻을 수 있는 이익이 많다면, 해커는 사이버 공격에 더 많은 노력을 기울이게 된다. 대다수 해커는 목적의식을 가지고 비용과 수익을 고려하면서 사이버 공격을 하기 때문이다.기술 발달도 사이버 공격을 고도화한다. 해커들은 사이버 공격 감행 시 악성코드 프로그램들을 사용한다. 이들 프로그램은 해커 커뮤니티와 같은 사이트에서 뒷거래된다. 조작도 간단해서 10대 학생도 쉽게 사용할 수 있다. 실제로 국내에서 지난해 6월 해킹 혐의로 16세 청소년이 검거됐다. 놀라운 사실은 이 소년이 2015년 4월부터 2016년 4월까지 3847개 사이트를 해킹했다는 것이다.
4차 산업혁명에서 화두는 인공지능(AI)이다. 사이버 공격에서도 AI는 화두다. 보안 전문업체 제로폭스는 지난해 세계 보안 콘퍼런스인 ‘블랙햇(Black hat)’에서 ‘AI 기반 악성 봇’을 소개했다. 악성 봇은 트위터를 돌아다니면서 악성 사이트에 방문하도록 유도하는 메시지를 남긴다. 그래서 클릭 시 방문자를 감염시킨다. 중요한 점은 AI를 해킹에 활용했다는 사실이다. 이처럼 4차 산업혁명으로 등장한 기술이 앞으로 사이버 공격에도 활용될 것이다.
4차 산업혁명 시대의 도래로 사이버 안보는 더욱 중요해지고 있다. 그러나 애석하게도 한국 정부는 거의 신경을 쓰지 않고 있다. 보안 전문회사 ‘파이어 아이’는 2016년 기준으로 국내 기관의 38%가 첨단 사이버 공격의 대상이라고 보고했다. 이는 전 세계 평균의 2배가 넘는 수치다. 종합적으로 고려할 때 사이버 안보는 국내에서 가장 시급히 해결해야 할 과제 중 하나다. 핵폭탄보다 더 무서운 공격이 국가 안보를 위협한다. 정부는 사이버 안보의 중요성을 이제부터라도 인식하고 철저한 대비책을 마련해야 한다.
