보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
빨간불 켜진 한반도의 사이버 안보
2023.05.31
7,776
한반도는 남(南)·북(北) 갈등으로 인해 사이버 위협에 대한 긴장의 끈을 상시 놓칠 수 없다. 여기에 더해 최근에는 불안정한 국제 정세로 인해 러시아와 중국 등의 사이버 공격자들 또한 한반도의 사이버 안보를 위태롭게 만들고 있는 상황에 놓여있다.
한반도의 사이버 안보를 위협하는 북(北)·러(露)·중(中) 사이버 공격자들의 잇따른 사이버 공격 사례와 이에 대응하는 한국 정부의 움직임에 대해 알아보고자 한다.
01. 한반도를 위협하는 북(北)·러(露)·중(中) 사이버 공격자
1) 국내 전산망을 노리는 북한의 사이버 공격
한반도 정세가 요동치면서 사이버 위협 우려가 고조되고 있다. 대표적으로 남(南)·북(北) 갈등으로 인해 한반도의 사이버 안보를 상시 위협하는 북한의 사이버 공격자들은 최근 국내 전산망을 노리는 행보를 보이고 있다.
북한의 정찰총국(Reconnaissance General Bureau, 이하 RGB)이 배후인 해커 조직 라자루스(Lazarus)는 지난 ’21년 4월부터 KT 그룹 금융·보안 전문 기업 I사의 금융보안인증 소프트웨어(SW) 'I○○○○(가칭)’의 취약점을 악용해 사이버 공격을 준비했다. 라자루스는 ’22년 6월부터 해당 프로그램이 설치된 PC가 특정 사이트에 접속하면 자동으로 악성코드가 설치되는 워터링홀(Watering Hole) 수법으로 국내외 61개 주요 기관의 PC 207대를 해킹했다. 라자루스는 미국 소니 픽처스(Sony Pictures) 해킹(’14년), 방글라데시 중앙은행 해킹(’16년), 워너크라이(Wannacry) 랜섬웨어 공격(’17년) 등에 연루된 것으로 알려졌으며, 한국 정부는 지난 2월 라자루스를 ‘사이버 분야 대북 독자 제재 대상’으로 지정한 바 있다.
라자루스가 노린 SW는 I사의 ‘I○○○○ CrossWeb EX V3 3.3.2.40’ 이하 버전으로, 국내외 1,000만 대 이상의 기관·업체·개인 PC에 설치돼 있는 것으로 추정됐다. 이에 국가정보원(이하 국정원)·한국인터넷진흥원(이하 KISA)·경찰청 등 유관 기관은 해당 취약점을 파악한 뒤, 올해 1월 긴급 대응에 착수, 보안 패치를 개발해 3월 30일에 관련 내용을 발표했다. KISA는 취약한 버전의 ‘○○○○○ CrossWeb EX V’3가 설치돼 있는 경우 제거한 후 최신 버전으로 업데이트해야 한다고 지적, 문제가 된 취약점은 사이버 공격자가 원격에서 사용자 PC에 악성코드를 전파·감염시킬 수 있어 위험도가 높다고 경고한 바 있다.
하지만 한반도에서 사이버 공격 경보가 울린 것은 단지 이번만이 아니었다. 지난 2월 10일, 韓 국정원은 美 국가안보국(National Security Agency, 이하 NSA)과 연방수사국(Federal Bureau of Investigation, 이하 FBI) 등 美 정보기관과 합동으로 북한의 사이버 공격 위협을 경고하는 보안 권고문을 발표했다. 또한 3월 20일에도 국정원은 독일 연방헌법보호청(Bundesamt für Verfassungsschutz, 이하 BfV)과 합동으로 북한의 해킹 조직인 킴수키(Kimsuky)의 신종 사이버 공격에 대한 위험성을 알리는 사이버 보안 권고문을 발표했다.
여기에 더해 국정원 국가사이버안보센터(National Cyber Security Center, 이하 NCSC)는 해외 유관기관들과 발표한 사이버 보안 권고문에 더해 지난 3월 22일, 국가 배후 해킹 조직이 악성코드 유포에 국내 보안 솔루션 ‘MagicLine 4.0’ 취약점을 악용한 사례가 있다며 최신 버전으로 업데이트해야 한다고 밝혔다. 해당 솔루션은 D사가 개발한 보안 인증 솔루션으로, 국가 배후 해킹 조직은 중국, 러시아, 북한 등의 사이버 공격자들을 뜻한다. 이와 별개로 NCSC는 3월 14일에도 국가 배후 해킹 조직이 악성코드 유포에 Y사에서 개발한 보안솔루션 'V○○○○‘ 취약점을 악용한 사례가 있다고 경고했다. 해당 사례들을 포함해 국정원은 올해 2~3월 사이 6번이나 공식적으로 사이버 공격 가능성을 경고했는데, 이는 굉장히 이례적인 상황이라고 볼 수 있다.
2) 우크라이나 전쟁과 러시아의 사이버 위협
단지 북한뿐만 아니라 러시아의 사이버 공격 우려도 현실로 다가올 조짐이 보이고 있다. 지난 4월 7일, 美 정부의 국가 기밀로 보이는 문건들이 온라인상에 유출되는 사태가 발생했다. 유출된 비밀 문건들은 美 중앙정보국(Central Intelligence Agency, 이하 CIA)과 美 국방정보국(Defense Intelligence Agency, 이하 DIA) 등 美 정보기관이 수집한 정보를 취합해 美 국방부(U.S Department of Defense, 이하 DoD)가 작성한 것이라는 관측이 존재한다. 그리고 유출된 대부분의 문건에는 ‘비밀(Secret)’, 또는 ‘1급 비밀 (Top Secret)’이라는 표시가 적혀 있었으며, 외국 정부에 공개되면 안 된다는 ‘NOFORN’이라는 표시가 있는 문건도 존재한 것으로 알려졌다.
유출된 문건 중에는 한국 정부의 우크라이나 전쟁 관련 포탄 지원에 대한 구체적인 수치가 담긴 문건도 존재했다. 유출된 문건 가운데 ‘미국이 우크라이나를 위한 탄약 지원을 압박하는 것과 관련해 최종 사용자가 누구인지 한국이 우려하고 있다’라는 제목의 문건 하단에는 ‘1급 비밀(Top Secret)’이라는 표시가 적혀 있었으며, 외국 정부에 공개되면 안 된다는 ‘NOFORN’이라는 문구가 적혀있다. 그리고 해당 문건에는 3월 초에 열린 한국의 ‘국가안전보장회의(National Security Council, 이하 NSC)’에서 우크라이나에 포탄을 제공하는 것을 고민하면서, “바이든 대통령이 한국 대통령에게 전화해 압박할 것을 우려했다.”라는 내용이 언급되어 있었다. 여기에 더해 동일한 주제를 가지고 지난 3월 교체된 김성한 전 대통령실 국가안보실장과 이문희 전 외교비서관이 3월 초에 나눈 대화 내용 등이 담겨있다.
미국이 한국 정부의 논의 내용을 파악한 경위와 관련해 美 뉴욕 타임스(The New York Times, 이하 NYT)는 “CIA가 신호정보, 즉 시긴트(SIGINT)를 통해 확보했다는 부분이 담겨있다.”라고 보도했다. 다만 미국은 여전히 문건 작성 경위와 내용의 진위 여부에 대해서는 밝히지 않고 있는 상황이다.
그리고 해당 사건이 발생한 이후 얼마 지나지 않아 윤석열 대통령은 4월 19일, 英 로이터 통신(Reuters)과 진행한 인터뷰에서 러시아와 전쟁 중인 우크라이나에 대한 ‘군사적 지원 가능성’을 언급했다. 해당 발언에 대해 우크라이나와 전쟁을 벌이고 있는 러시아는 강력하게 반발했다. 드미트리 페스코프(Dmitry Peskov) 러시아 국가안보회의 부의장은 4월 19일, “무기 공급 시작은 특정 단계의 전쟁 개입을 간접적으로 뜻한다.”라고 경고했으며, 러시아 외무부 대변인 마리야 자하로바(Maria Zakharova)는 성명을 통해 “우크라이나에 대한 모든 무기 공급은 그것이 어느 나라에 의해 이뤄지든 노골적으로 적대적인 반러(反露) 행동으로 간주한다.”라고 밝혔다. 또한 러시아 외무부도 “한국이 우크라이나에 무기를 제공할 경우 한반도 주변 상황에 대한 러시아의 입장에도 영향을 미칠 수 있다.”라며 “양국 관계에도 부정적으로 영향을 줄 것”이라고 발언하는 등 한국의 우크라이나 무기 지원에 대해 강하게 반발하고 있다.
러시아와의 관계 악화는 한국을 겨냥한 사이버 공격 우려로 다가오기도 한다. 이미 러시아는 한국에 대해 사이버 공격을 감행한 사례가 존재하는데, 지난 ’18년 2월, 평창동계올림픽이 열렸을 당시 러시아 사이버 공격자들은 자국 선수단이 올림픽에 출전하지 못한 것에 대해 앙심을 품고 사이버 공격을 감행했으며, 자신들의 소행을 감추기 위해 북한이 사용하는 수법을 사용하는 등 교란을 시도한 바 있다. 이로 인해 향후 한국 정부가 우크라이나에 군사적 지원을 결정할 경우 러시아 사이버 공격자들이 다시 한번 한국을 겨냥한 사이버 공격에 나설 수 있다는 우려가 나오고 있다.
3) 반한(反韓) 감정과 대만 이슈로 불거진 중국의 사이버 위협
여기에 더해 중국의 사이버 공격 가능성도 우려된다. 올해 1월, 중국 국적 사이버 공격 집단으로 추정되는 ‘샤오치잉(Xiaoqiying, 晓骑营)’은 한국을 상대로 사이버 공격을 벌이겠다고 선전포고했다. 샤오치잉은 선전포고 이후, 국내 연구소나 학회 웹사이트 등 상대적으로 보안이 약한 기관 사이트를 공격하는 행보를 보였다.
그러다 지난 2월 19일, 샤오치잉은 돌연 ‘한국에 대한 행동을 중지한다(Korean action ends here without any follow-up)’라는 글을 텔레그램(Telegram)에 남기고 종적을 감췄다. 이들의 목적과 사이버 공격의 이유는 명확하게 밝혀지지 않았지만 반한(反韓) 감정에 의한 것으로 추정되는 상황이다.
이러한 가운데 앞서 설명한 英 로이터 통신과 4월 19일 진행한 인터뷰에서 윤석열 대통령은 양안(兩岸, 중국과 대만) 관계 긴장 고조에 대해 “이런 긴장은 무력으로 현상을 바꾸려는 시도 때문에 발생했으며 우리는 국제사회와 함께 그런 변화에 단호히 반대한다.”라며 “대만 문제는 단순히 중국과 대만 간 문제가 아니라 북한 문제처럼 글로벌 문제”라고 발언했다. 이에 중국은 윤석열 대통령이 대만 문제를 거론한 것에 대해 거세게 반발했는데, 왕원빈(汪文斌) 중국 외교부 대변인은 정례 브리핑을 통해 “대만 문제를 해결하는 것은 중국인의 몫으로 타인의 말참견은 용납할 수 없다.”라고 반발했다.
이에 따라 중국 내 반한(反韓) 감정이 더욱 고조될 가능성이 있다는 지적이 나오고 있는 상황 속에서 지난 4월 22일, 한국에서 활동을 중지하겠다고 밝힌 샤오치잉이 다시 한번 등장하며 인프라 구축 전문 업체인 한국인프라의 웹사이트를 공격했다. KISA의 조사 결과에 따르면, 샤오치잉은 취약점을 악용하고, 웹페이지 변조 등 다양한 공격을 이어간 것으로 확인됐다. 이들은 쉽게 구할 수 있는 해킹 툴(Tool)인 ‘Sqlmap’과 ‘Nuclei’을 사용하거나 ‘웹 애플리케이션 서버(Web Application Server, 이하 WAS)’ 취약점을 악용하는 등 공격을 이어갔다.
공격 직후 샤오치잉은 텔레그램을 통해 “한국인프라의 직원 이메일과 연락처 등 데이터를 탈취했다.”라고 밝혔다. 여기에 더해 “한국 보안 기업 주가 상승을 위해 사이버 공격을 감행하겠다.”라는 글을 올리기도 했는데, 해당 사실이 언론 등을 통해 알려지면서 관련 보안 기업들의 주가가 오를 테니 미리 매수했다가 차익을 거두려는 속셈으로 보인다. 북한의 사이버 공격이 나날이 거세지고 있는 가운데, 러시아와 중국의 사이버 공격 가능성까지도 높아지고 있는 상황인 것이다.
02. 사이버 위협에 대응하는 한국 정부의 움직임
1) KISA, ‘사이버 공격 대비 보안 강화 권고’ 발표
한반도를 겨냥한 북(北)·러(露)·중(中) 사이버 위협이 나날이 거세짐에 따라 KISA는 지난 4월 21일, ‘국내외 사이버 위협 고조에 따른 국내 기업 대상 사이버 공격 대비 보안 강화 권고’를 게시했다.
KISA는 보안 권고문에서 “최근 전 세계적으로 다양한 안보 이슈가 발생 중인 바 전문 해킹 조직에 의한 국내 사이버 공격 가능성이 고조되고 있어 국내 기업 보안강화 및 피해 주의가 요구된다.”라며 “캐나다 정부 시스템 대상 디도스(DDoS) 공격, 유럽 항공관제 기구(유로컨트롤, Eurocontrol) 대상 사이버 공격 등이 발생했다.”라고 밝혔다. KISA는 해당 사이버 공격을 감행한 특정 국가를 명시하지는 않았지만, 美 월스트리트저널(Wall Street Journal, 이하 WSJ) 등 외신에서는 친러(親露) 성향의 사이버 공격자들이 공격을 가했다고 보도했다.
이처럼 최근 국내 사이버 공격 가능성이 고조됨에 따라 KISA는 보안 권고문을 통해 △기업, 기관의 주요 시스템에 대한 보안 모니터링 및 보안 강화 실시 △보안취약점 공지내용의 주기적인 확인과 주요 취약점(금융보안 프로그램, MS 제품 등)에 대한 보안 업데이트 필요 △침해사고 발생에 대비한 유관기관 비상 연락체계 및 대응절차 점검 등을 강조했다.
2) 한-미 정상, ‘전략적 사이버안보 협력 프레임워크’ 발표
여기에 더해 윤석열 대통령과 美 조 바이든(Joe Biden) 대통령은 지난 4월 26일, 美 백악관(White House)에서 열린 정상회담에서 나날이 증가하는 사이버 위협에 대응하기 위해 한-미 양국 간 사이버 안보 협력을 강화하는 프레임워크를 출범하기로 했다.
한-미 정상은 “사이버공간의 평화와 번영에 기여하면서 급증하는 국가 안보위협에 대응하는 것을 포함하여, 강력하고 회복력 있는 사이버안보를 국가의 정책 및 전략적 우선순위로 설정할 것”이라고 선언했으며, 그에 따라 ‘전략적 사이버안보 협력 프레임워크(Strategic Cybersecurity Cooperation Framework, 이하 협력 문서)’를 공동으로 발표했다.
협력 문서의 가장 큰 의의는 한-미 동맹을 사이버공간으로 확장함으로써 한 단계 발전한 한·미 동맹을 구축해 새로운 안보 환경에 적극 대응할 수 있게 된 것이다.
● 한-미, 전략적 사이버안보 프레임워크 주요 내용
이번 협력 문서는 △서문 △협력의 범위 △협력의 원칙 △협력의 체계 등 크게 네 부분으로 구성되어 있다.
- 서문
먼저 ‘서문’에서 한-미 정상은 한미동맹의 70주년을 기념해 사이버 공간의 평화와 번영에 기여하면서, 급증하는 사이버 위협에 대응하기 위해 사이버 안보를 국가의 정책 및 전략적 우선순위로 설정할 것을 선언했다. 특히 한미동맹이 사이버 공간에 적용된다는 것을 인식하고, 양국은 ‘상호방위조약(Mutual Defense Treaty, 이하 MDT)’의 적용 방법과 상황에 대해 논의를 시작하기로 했다.
- 협력의 범위
‘협력의 범위’에서는 한-미 협력을 사이버 공간까지 확장하고, 사이버 위협 정보의 공유를 포함한 사이버 안보 기술, 정책, 전략에서 협력을 증진하며 신뢰를 구축하기로 했다.
또한 사이버 공간에서 악의적인 행위자들의 활동을 차단·억지하기 위해 다양한 종류의 대응수단을 개발·실행하고, 사이버 공간에서 파괴·불법적인 행위에 관여하는 국가에 책임을 물을 수 있도록 협력하며, △사이버 훈련 △핵심 기반시설 보호 연구·개발 △인재양성 △사이버 위협정보 실시간 공유 △사이버 복원력 확보를 위한 민․관․학 협력 네트워크 구축 등 현재의 협력을 보다 굳건히 발전시켜 나갈 것이라고 강조했다.
- 협력의 원칙
‘협력의 원칙’ 부분에서 양국은 상호 신뢰를 바탕으로 악의적인 사이버 위협에 공동 대응, 적극적으로 협력할 것을 천명하면서, 이용 가능한 모든 역량을 활용할 것이라고 밝혔다. 또한 악성 사이버 활동을 수행하는 국가 및 비(非) 국가 행위자에 대응하기 위해 악성 사이버 활동에 관한 정보공유를 지속하고, 국가적 접근법과 대응책을 교환하며, 가능한 협력 메커니즘을 강화하기로 했다. 그리고 한-미 양국은 물론 다른 파트너들의 국익 또는 핵심 기반시설에 영향을 미치는 중대한 사이버 사고가 발생한 경우, 긴밀한 양국 간 협의와 정보 공유를 통해 조율된 행동과 병행 대응 조치를 적절히 실행하기로 했다.
- 협력의 체계
마지막으로 ‘협력의 체계’를 통해 양국은 사이버 이슈에 대한 중요한 파트너로서 사이버 안보 정책 및 기술 협력에 있어서 韓 국가안보실과 美 국가안전보장회의(National Security Council, 이하 NSC)간 채널, 한-미 사이버협력 워킹그룹 등 다양한 수준의 여러 채널과 美 사이버안보 및 인프라보호청(Cybersecurity and Infrastructure Security Agency, 이하 CISA), 韓 국정원 등 사이버 안보 기관을 통해 협력할 것을 체계화했다.
● 전략적 사이버안보 프레임워크 기대 효과
한-미 정상은 이번 협력 문서 채택을 통해 전통적인 육(陸)·해(海)·공(空) 국방의 안보 동맹을 사이버 안보 분야까지 확장하는 것을 최초로 선언하고, ‘핵우산’에 비견될 ‘사이버 우산’을 확보하는 상징적 계기가 될 것으로 기대한다고 밝혔다.
특히, 물리적·전통적 한미상호방위조약(Mutual Defense Treaty between the Republic of Korea and the United States of America, 이하 MDT)의 범위를 사이버 공간까지 어떻게 적용할 것인지, 어떤 상황에서 적용될 것인지를 논의하게 되어 빈틈없는 사이버 안보 동맹 관계를 구축할 수 있게 되었다고 강조했다. 또한 한-미 양국은 협력 문서를 바탕으로 사이버 위협 정보의 공유를 강화함으로써 전 세계에서 가장 강력한 동맹 중 하나로 꼽히는 ‘파이브 아이즈(Five Eyes, 미국-영국-캐나다-호주-뉴질랜드)’에 견줄 수 있는 사이버 안보 동맹 관계를 만들어내기로 했다.
● 한-미, 사이버 안보 협력 후속 논의
한-미 정상이 ‘전략적 사이버안보 협력 프레임워크’를 발표하며 한미동맹의 관계를 사이버 공간까지 확장하기로 선언한 것에 대한 후속 조치로 지난 5월 3일, 美 백악관(White House)의 사이버 보안 담당 실무진들이 방한(訪韓) 했다. 이들은 韓 국정원과 美 NSC 간 채널, 한-미 사이버 대화, 한-미 대북 사이버 위협 워킹 그룹, 한-미 사이버 협력 워킹 그룹 등 협력 문서의 추후 논의 방향과 구체적인 협력 사안을 놓고 조율을 시작한 것으로 알려졌다.
구체적인 협력 사안에 대해서는 협력 문서에서 양국 간 협력 주체로 언급된 美 CISA의 합동사이버방어팀(Joint Cyber Defense Collaborative, 이하 JCDC)와 韓 국정원, KISA, NCSC와 함께 사이버 안보 문제를 민·관·군이 함께 집단 방어하는 조직인 국가사이버위기관리단(NCRMU)이 논의에 참여 중인 것으로 알려졌다. 실무 협의에서 한국 측에서는 북한, 중국, 러시아, 이란 등 사이버 보안 위협국으로 지목된 국가들에 관한 정보 공유 수준과 구체적인 안보 협력 방안을 정리할 것으로 전해졌다.
3) 국가정보원-사이버작전사령부, 상호협력 강화
이뿐만 아니라 한반도를 겨냥한 사이버 위협에 대응하기 위해 국정원 NCSC와 軍 사이버작전사령부도 손을 잡았다.
양 기관은 지난 4월 27일 사이버 안보 분야 상호 협력 강화를 위한 업무 협약(MOU)을 체결했다. 이번 MOU 체결은 국제 해킹 조직의 사이버 안보 위협이 지속 발생하고 있는 상황에서 해킹 위협을 신속하게 탐지·차단하고 늘어나는 사이버 안보 위협 진단·점검 수요를 충족시키기 위해 진행됐다. NCSC는 이번 MOU에 대해 국제 해킹 조직의 사이버 안보 위협이 지속 발생하고 있는 상황에서 사이버 위협을 신속히 탐지·차단하는 한편, 증가하는 사이버 안보 위협 진단·점검 수요를 충족시키기 위해 정보기관-軍 간 협력이 긴요해진 점이 배경이 됐다고 설명했다.
MOU 체결을 통해 NCSC는 사이버작전사령부와 협의회를 구성해 △사이버 위협 관련 과제 추진 △과제 정기 점검 등을 진행하며 ‘지속적 협력’을 위한 계기로 활용할 방침이다. 또한 △주요 정보통신망 및 기밀 정보 보호를 위한 예방·대응 활동 △위협 정보 및 대응 기술 등 정보공유 △전문인력 양성 등에도 협력할 계획이다.
NCSC는 이번 MOU 체결에 대해 “국가 사이버 위협 대비 태세가 체계적으로 발전하는 데 긍정적인 영향을 미칠 것으로 기대한다.”라고 전하는 등 민(民)·관(官)을 넘어 군(軍)에서도 사이버 위협에 대응하기 위한 움직임이 활발하게 나타나고 있다.
03. 마무리
우크라이나-러시아 전쟁 관련 사이버전(戰)의 확산과 국내 기업 대상 랜섬웨어 공격, 정보유출 사고 발생 등 국내·외 사이버 위협 발생 가능성이 고조됨에 따라 사이버위기 경보가 지난해 3월 21일 ‘주의’로 상향된 이후, 사이버위기 경보는 1년이 넘은 지금에도 하향 조정되지 못하고 있다. 이는 사이버 위협이 상시화·일상화된 것을 의미하기도 하는데, 최근에는 북한은 물론 러시아와 중국의 사이버 공격 가능성도 높아짐에 따라 최악의 경우 북(北)·러(露)·중(中) 사이버 공격자들이 동시에 사이버 위협을 가할 수 있는 상황도 발생할 수 있다.
한반도를 노리는 사이버 위협이 일상화된 것을 넘어 나날이 거세지고 있는 가운데, KISA와 NCSC 그리고 사이버작전사령부는 물론 한-미 동맹까지 ‘전략적 사이버안보 협력 프레임워크(Strategic Cybersecurity Cooperation Framework)’를 발표하며 보다 안전한 사이버 안보 환경을 만들어내기 위해 움직이고 있다.
이처럼 현재 한반도는 사이버 공격 역량이 뛰어난 3개 국가로부터 동시다발적으로 위협을 받고 있는 상황에 놓여있다. 하지만 국가 안보를 노리는 사이버 위협은 앞으로 더욱 증가할 것으로 전망되는 만큼, 이를 단지 ‘악재(惡材)’로 받아들이기 보다는 한반도의 사이버 안보 환경을 더욱 강화시킬 발판으로 삼을 필요가 있어 보인다.