[아이티투데이 성상훈 기자] '사이버 공격'이 보안업계에서 화두다. 이쪽에서는 그리 낯선 단어가 아님에도 말이다. 미국에서는 소니 픽처스 해킹, 한국에서는 한수원 해킹으로 연일 뜨겁다.

소니 픽처스와 한수원에 묻히고 있지만 이틀전 엑스박스 라이브, 플레이스테이션 네트워크가 또 다시 대규모 디도스 공격에 의해 다운됐다. 서방 세계 해킹의 배후로 지목됐던 북한의 인터넷망이 다운되는가 하면 지난달에는 미국 우체국 서비스가 사이버 공격을 받아 대량의 직원 데이터가 유출되기도 했다. 지난주에는 영국 IB타임즈가 시리아 전자군으로 부터 해킹을 당했다. 인터넷 세계에서는 이미 대규모 '사이버 전쟁'이 물밑에서 벌어지고 있다.

■사이버 전쟁 중인 미국

소니 픽처스 엔터테인먼트(SPE)해킹 사건이 미국 내에서 국가안보 수준에서 거론되고 있지만 사실 소니 픽처스는 지난달에도 해킹에 의해 직원들의 데이터가 유출됐다. 이때문에 직원 7,000여명의 사회보장 번호 및 개인정보가 유출됐고 결국 전 소니 픽처스 직원 2명이 회사를 제소하는 웃지못할 사태까지 벌어지고 있다.

소니 픽처스의 보안 수준은 그리 높은 편이 아니었다. 해킹이 일어난 시점에서 소니 픽처스 정보보안팀은 총 11명에 불과 했고 서버의 중요 파일은 전혀 암호화 되어 있지 않았다. 유출되면 막대한 금전적 피해가 야기될 수 있음에도 말이다.

소니 픽처스를 제소한 전 직원 크리스티나 매티스, 마이클 코로나는 소니 픽처스 정보보안 책임자(제이슨 스펠트로)가 공공연하게 "100만 달러의 손해를 막기위해 1,000만달러를 투자할 생각은 없다"고 언급한 것을 지적하면서 회사의 데이터는 물론 직원들의 개인정보를 지키기 위한 노력을 전혀 하지 않았다고 증언했다. 이번 해킹으로 인해 입은 소니 픽처스의 손해액은 이미 1억7,000만달러(1,868억원)를 넘었다.

국내에는 알려지지 않았지만 지난 7월 유튜브를 통해 어메이징 스파이더맨2가 유출됐던 것도 동일한 해킹범의 소행으로 분석되고 있다. 이마저도 당시엔 파악조차 못했으며 지금에 와서야 알려진 사실이다. 공개적으로는 '직원의 실수'로 무마한 바 있다.

소니 픽처스 뿐만 아니라 소니컴퓨터엔터테인먼트도 마찬가지다. 플레이스테이션 네트워크(PSN)는 지난 2011년부터 꾸준히 디도스 공격을 받아 걸핏하면 다운되기 일쑤였고 올해만 4번의 공격을 받고 먹통이 됐다.

소니 픽처스 사태가 불거지고 있는 현재 시점인 지난 25일도 디도스 공격에 의해 다운됐다. 몇년째 똑같은 공격에 다운되지만 그때마다 외양간 고치기 식의 대처뿐이다.

이렇듯 해킹 공격자의 단골 술집과도 같았던 소니지만 영화 '더 인터뷰'를 통해 일약 스타(?)가 됐다. 소니 픽처스는 북한 김정은 국방위원장의 암살을 다룬 코미디 영화 '더 인터뷰'의 개봉을 막는 공격자들의 협박에 굴복, 결국 상영일정을 취소하기에 이른다.

북한을 다뤘다는 점, 사이버 상이긴 하지만 테러 협박에 굴복했다는 점 때문에 결국 미국 내 사회 이슈로 급부상했고 미 연방 수사국(FBI)이 해킹의 배후를 북한으로 결론지으면서 오바마 대통령까지 나섰다.

오바마 대통령은 "독재자(김정은)가 미국 내에서 표현의 자유를 억압하는 일은 있을 수 없다"며 "우리가 원하는 시기에 원하는 방식으로 반드시 이에 상응하는 조치를 취할 것"이라며 보복 공격까지 표명했다.

오바마 대통령의 발언 사흘 뒤 북한내 인터넷망이 다운되기에 이르렀고 이는 이틀 연속 이어졌다. 물론 북한 인터넷망이 다운된 것이 미국의 공격에 의한 것이라는 증거는 없다. 그러나 미국 역시 공개적으로는 부인도 시인도 하지 않는다.

이쯤되면 북한의 공격->해킹 유출->미국의 보복 공격 으로 이어진 것처럼 보이는 것은 너무나 당연해 보인다. 물론 이는 수면위의 정황만으로 판단한 '추측'일 뿐이다. 그러나 기자 한사람의 추측이 아니라 수많은 사람들이 같은 추측을 하고 있는 것은 '사실'이다. 눈에 보이는 사건들만으로도 '사이버 전쟁'으로 부를 정도다.

■공격만 당하는 한국

연일 한수원 해킹 관련 보도가 나오고 있지만 공통적으로 지목되고 있는 것 역시 '북한배후설'이다.

지난해 3월 20일 오후 2시 우리나라의 방송사, 금융기관 등 여섯 군데에서 내부 시스템이 일제히 다운되는 대규모 사이버 공격이 발생했다. 4만8,700여대의 PC가 먹통이 됐고 많은 경제적 피해를 야기시켰다.

'320 사이버테러'로도 불리는 이 공격의 배후로 북한이 지목됐고 당시 사용된 악성코드 샘플은 이번 한수원 해킹 사태에서도 일부 동일한 샘플이 포착됐다.

수사를 진행중인 정부합동수사단(합수단)의 발표에 따르면 이번 해킹 공격자들은 한수원 직원들을 대상으로 악성코드가 삽입된 문서파일로 익스플로잇(취약점) 공격을 시도했고 이메일 유포지는 중국 심양으로 확인됐다.

320 사이버테러 당시 악성코드 유포지도 중국 심양이었다. 지난 7월 북한 해커들에게 악성프로그램 제작을 의뢰했던 국내 범죄조직 일당이 검거될 당시 이들이 거래했던 북한 해커들도 중국 심양에서 활동하고 있었다.

북한의 소행이라는 핵심 증거는 없지만 이정도의 정황증거 만으로도 한수원 해킹의 배후로 북한을 지목하는데에 무리는 없어 보인다.

320 사이버테러 당시에도 공격자가 시범적으로 악성코드를 유포시켜 사회 혼란을 조장하는 일종의 실험이 아니었을까 하는 전문가들의 견해도 있다. 한수원 해킹은 원자력 발전소 라는 국가 중요 시설을 타깃으로 하고 있다.

두 사건 모두 기업이 아닌 정부가 나서서 위기 관리를 할 정도로 큰 사안이다. 일반적인 사이버 공격이 아닌 '사이버 전쟁' 수준이라고 해도 과언이 아닐 것이다. 반격 없이 공격만 당하긴 해도 말이다.

■'사후' 대응 아닌 '사전' 대응 필요

박근혜 대통령도 지난 23일 한수원 해킹 사건과 관련, 유출 경위와 배후를 철저히 조사하라고 지시했다. 박 대통령은 "원전은 국민의 안전에 직결되는 1급 보안 시설"이라며 "국가 안보 차원에서 철저히 관리되어야 한다"고 강조했다.

한수원 해킹 공격 사건도 대통령까지 나서서 국가 안보를 언급할 정도로 위중한 사안이 됐다.

하지만 이미 한번의 큰 사건(320)을 겪었음에도 아직 체계적인 보안 프로세스는 구축되지 못했다. 지난해 7월 청와대를 컨트롤 타워로 삼는 종합 대응 체제 구축을 발표하긴 했지만 이후에 나온 구체적인 구성과 방안에 대해서는 알려진 것이 없다. 대통령의 지시도 언제나 그때 뿐이다.

국가 사이버 안보와 관련된 법안도 현재는 없다. 새누리당 사상기 의원과 하태경 의원이 발의한 국가사이버안보 법률안이 입법예고 되긴 했지만 국회에서 떠돌고 있는 실정이다. 정부 부처도 이제서야 사이버 보안 관련 부서를 신설하려는 움직임이다.

미국은 지난 2012년 8월 '사이버 보안 법안'이 상원에서 한번 부결됐지만 오바마 대통령이 직접 규정 일부에 대해 검토하고 다음해인 2013년 2월 13일 사이버 보안 강화 행정명령(Executive Order 13636)과 정책지침을 발표했다.

오바마 대통령은 당시 "국가 안보에 치명적인 영향을 줄 가능성이 있는 기간 인프라를 중점으로 보안 강화에 나서야 한다"며 "미국의 적들은 우리나라(미국)의 전략망, 금융기관, 네트워크, 항공 관제 시스템을 방해하려고 한다. 아무런 대책도 취하지 않고 있다가 나중에 후회해서는 소용이 없다"고 강조하기도 했다.

오바마 행정부가 발표한 행정명령과 정책지침은 현재 모두 완료됐으며 지난 3월부터는 통합대책위원회를 구성 사이버보안 프레임워크 개발에 박차를 가하고 있다.

사이버 공격이 '국가 안보' 수준에 이르렀다면 이제라도 사후 대응이 아닌 '사전대응' 대책이 필요할 때라고 전문가들은 입을 모으고 있다.