돈 노린 게 아니었다…北 해커조직 '라자루스' 총성의 시작 [Focus 인사이드]

지금으로부터 15년 전인 2009년 7월 7일 발생한 7·7 디도스 공격은 대한민국을 노린 북한 배후 해커 조직인 라자루스의 첫 번째 대규모 공격이라는 상징성을 갖는다. 그런데 더 흥미로운 사실은 기술이 더 발전한 지금도 그때의 교훈이 여전히 유효하다는 점이다.

━

왜 국가 배후 공격인가

7·7 디도스 공격은 그 이전의 디도스 공격과는 달랐다. 당시 단기적으로 금전적인 이득을 추구하는 중국 소재 사이버 범죄 조직은 웹사이트 1~2개 정도만을 대상으로 디도스 공격을 가했다. 이들 사이버 범죄 조직은 디도스 공격을 수행하는 악성코드 1개 정도를 활용했고, 명령을 내리는 명령제어 서버를 통해 실시간 공격을 제어하는 방식을 사용했다.

사이버 테러의 배후인 해커의 이미지. 로이터=연합

그들의 악의적 행위는 평문(암호화하지 않은) 채널을 통한 통신으로 외부에서 공격명령 내용을 모니터링할 수 있는 단순하고 작은 규모의 단기적 금전 추구 공격이었다. 이에 대한 대응은 대체로 명령과 제어를 담당하는 서버의 차단으로 가능했다.

그러나 7·7 디도스 공격은 단순하지도 않았고, 금전을 추구하지도 않았다. 대한민국과 미국의 주요 정부 기관과 금융 등 민간분야 중요 웹사이트에 대한 공격은 당연하게도 사회 혼란과 정보 획득이라는 정치적 목적을 담고 있다고 볼 수 있었다.

본 공격은 명령과 제어를 담당하는 서버를 운영하지 않았고, 오히려 일정 주기로 악성코드를 업데이트 받아 계획된 일정에 따라 공격을 실행하도록 설계돼 있었다. 공격에 사용된 서버는 악성코드를 업데이트해주기 위한 것이지, 공격을 실시간 통제하기 위한 것은 아니었다. 즉 이는 명령과 제어를 담당하는 서버를 차단하는 방식의 공격 대응을 불가능하게 했기 때문에 공격에 사용된 좀비 PC에 설치된 악성코드 차단을 통해서만 대응이 가능했다.

미국 시각 2009년 7월 4일부터 시작한 정교한 공격은 압축 파일 형태의 악성코드가 PC에 다운로드된 뒤 디도스 공격을 비롯한 여러 개의 악성 행위를 수행하는, 추가적인 악성코드가 서버에서 다운로드·설치되는 방식으로 이뤄졌다. 디도스 공격을 수행하는 1개의 악성코드만이 사용되는 단순 금전 추구 사이버 범죄 행위와 달리 7·7 디도스 공격은 복잡하고 정교한 공격이었다.

또한, 1~2개의 웹사이트가 공격받는 소규모의 디도스 공격과 달리 미국과 대한민국의 수십 개의 웹사이트가 7·7 디도스 공격을 받았다. 더욱이 대통령실과 국방부부터 금융기관까지 높은 보안 수준을 요구하는 기관의 웹사이트에 대한 공격은 다분히 정치적 의도성을 나타냈다. 금전을 요구하지 않았다는 사실은 결국 사회의 혼란과 중요 정보의 획득 및 탈취가 목적이었다는 것을 의미했다.

━

라자루스: 북한 연계 조직의 공격

대한민국과 미국의 중요 웹사이트를 겨냥한 정교한 7·7 디도스 공격은 국가 배후 사이버 공격으로 의심할 수밖에 없었다. 공격이 발생한 초기 당연히 북한이 사이버 공격의 배후로 의심받았다.

2014년 12월 22일 미국의 소니픽쳐스가 해킹됐다. 이 영화사는 김정은을 풍자한 '인터뷰'란 영화를 개봉하려다 북한 정찰총국의 사이버 공격을 받았다. 당시 해킹 사건을 보도하는 TV 옆을 육군 장병이 지나가고 있다. AP=연합

국가정보원은 공격 발생 직후 이번 디도스 공격의 배후가 북한과 그 추종세력으로 추정된다는 발표를 했다. 그 근거로 제시한 것은 북한 IP가 이번 공격에 사용됐다는 점이었다. 미국 정부 역시도 초기 한국의 국정원과 같이 북한을 그 배후로 지목했다.

그러나 같은 시기 언론을 통해 그 배후가 북한이 아니라는 보도들도 나와 약간의 혼란도 있었다. 국내의 한 사이버 보안기업은 미국 내 IP가 공격에 사용됐으며, 북한 IP가 사용되지 않았다고 주장을 펼쳤다. 그러한 영향 때문인지 방송통신위원회로부터 자료를 넘겨받은 국회 입법조사처의 2009년 12월 발표 보고서는 공격의 주체가 미확인됐다고 명시하기도 했다. 이러한 논란은 사이버 안보 위협의 특징을 잘 보여주는 대목이었다. 공격의 주체를 찾는 것이 어렵거나 많은 시간이 필요하기 때문이었다.

초창기 부정확한 정보에 따라 약간의 논란은 있었지만, 시간이 지나면서 정부 기관과 민간 사이버 보안 업계 모두는 7·7 디도스 공격의 배후가 북한과 그 추종세력이라는 것에 동의하게 됐다. 국정원은 공격 직후부터 그 배후로 북한을 지목했던 것에 대해 변함이 없었다.

2010년 10월 원세훈 국정원장은 국회 정보위원회 국정감사에 나와 북한 체신청이 임대해 사용하는 IP가 디도스 공격에 사용됐다고 명확히 밝혔다. CNN은 대표적 글로벌 사이버 보안기업인 맥아피 보안 보고서를 인용해 7·7 디도스 공격이 주한 미군과 미국 본토 지휘부 사이의 커뮤니케이션을 마비시키려는 전략에서 비롯됐을 수 있다고 분석했다. 맥아피의 보고서는 북한이라고 명확하게 언급하지 않았지만, 정황상 북한을 공격의 주체로 보고 있었다.

그리고 한국과 미국 정부는 물론이고, 북한의 사이버 공격을 추적해온 국ㆍ내외 민간 사이버 보안기업 등 모두가 그동안 북한이 보여준 공격의 패턴과 방식, IP 주소 등 모든 과학적 증거를 바탕으로 7·7 디도스 공격의 배후가 북한이라는 것을 인정했다.

심지어 이번 공격은 ‘북한의 사이버 공격’하면 계속 연관 지을 북한의 ‘정찰총국’과 그 예하 조직인 ‘라자루스’의 대표적 데뷔 무대이기도 했다. 그들은 이전에도 악의적 사이버 공격을 수행해 왔지만, 7·7 디도스 공격을 통해 처음으로 전 세계인의 머릿속에 그들의 이름을 완벽히 각인시켰다. 이후 라자루스는 7·7 디도스 공격을 시작으로 2014년 소니픽쳐스 해킹 사건, 2016년 방글라데시 중앙은행 사이버 강도 사건, 2017년의 워너크라이 랜섬웨어 사건 등 굵직한 공격의 주범으로 지목되며 악명을 떨치고 있다.

━

7·7 디도스 공격이 남긴 유산

2009년의 7·7 디도스 공격은 전 세계를 향한 북한의 본격적 사이버 공격의 시대를 알리는 사건이었다. 이번 공격으로 북한의 대외 공작 활동을 담당하는 조선인민군 총참모부 산하 정찰총국이 평시(휴전상태) 대한민국의 내부에 혼란을 일으키고, 중요한 정보를 빼내려 하는 정치적 목적을 달성하려고 조직적이며 체계적인 방식으로 사이버 수단을 선택했음이 만천하에 드러났다. 그리고 북한의 사이버 공격의 효과는 기대 이상이었다.

2022년 5월 16~19일 네덜란드 헤이그에서 열린 국제 사이버 훈련인 '사이버넷 2022'에 참가 중인 사이버작전사령부팀. 사이버작전사령부는 2022년부터 이 훈련의 우승을 차지하고 있다. 사이버작전사령부

북한은 정치적 목적을 위해 악의적 공격을 퍼부었으나, 사이버 공간의 특징 중 하나인 익명성에 숨어 국제사회의 제재와 보복을 피할 수 있었다. 정찰총국 산하 해커 조직인 라자루스에 의한 공격이었으나, 대한민국·미국 등 전 세계는 사이버 공간의 북한발 악의적 행위를 밝혀내고 국제사회의 인정을 받는 데에는 상당한 시간과 노력이 있어야 했다. 공격 시점과 행위자에 대한 확정 시점의 긴 간극은 보복과 제재를 어렵게 만들었다.

과학과 정황 증거 모두가 북한을 가리켰지만, 북한에게 악의적 행위에 대한 책임을 묻는 것은 쉬운 문제가 아니기도 했다. 북한이 벌인 사이버 만행에 대한 국제사회의 적절한 제재와 보복 수단이 없는 것도 그들의 계속된 사이버 위협의 이유이기도 하다.

앞으로 북한의 사이버 공격이 더 자주, 더 큰 규모로 일어날 전망이다. 결국, 국가 안보 측면에서 북한과 다른 악의적 국외 세력의 사이버 공격을 예방하고, 예상치 않은 사이버 공격 발생 시에 얼마나 빨리 회복하는지가 중요한 문제가 됐다. 이제 본격적인 사이버전의 시대가 열렸다.

대한민국 국방부는 7·7 디도스 공격 발생 이듬해인 2010년 이를 담당할 부대인 사이버사령부(현 사이버작전사령부)를 설립하고 적극적으로 북한의 사이버 위협에 대처하고자 했다.

보안 업데이트가 사이버 안보의 시작

그런데 사이버전은 국가만의 문제는 아니다. 사이버전에서는 국가와 민간 기업 간의 협력, 그리고 일반 시민의 협조가 중요하다. 북한 해커들은 일반인들의 무관심을 일차적으로 노린다. 북한의 정교한 악성코드에 점령된 엄청난 수의 개인 PC는 국가 안보를 위협하는 디도스 공격의 무기로 사용되고 있다.

7·7 디도스 공격 이후 빠르게 보급된 '손 안의 컴퓨터'인 스마트폰과 웨어러블 장치, 집 안의 IoT 기기 등은 북한과 같은 적이 사이버 공격에 사용할 수 있는 또 다른 무기가 돼 버렸다. 즉, 개인은 자신의 컴퓨터와 스마트폰 등의 최첨단 IT 장치들에 대한 보안 업데이트와 바이러스 검사 등에 노력을 기울여야 한다.

또한, 일반 시민들은 수상한 e메일과 문자 등의 첨부파일 등을 한 번 더 확인하는 습관을 지녀야 한다. 이상한 징후와 사례가 발생하면 가차 없이 국정원과 경찰청 등 관련 기관에 신고해 조치를 받아야 한다. 북한의 사이버 위협이 증대하는 가운데 개인의 보안의식이 직접 국가의 안보를 지키는 상황은 2009년 7·7 디도스 공격이 발생한 시점부터 2024년 지금까지도 전혀 변하지 않았다.

박동휘 육군3사관학교 군사사학과 부교수

▶ 중앙일보 / '페이스북' 친구추가

▶ 넌 뉴스를 찾아봐? 난 뉴스가 찾아와!

ⓒ중앙일보(https://www.joongang.co.kr), 무단 전재 및 재배포 금지