국가 사이버안보 전략과제 구체적 방안 마련과 함께 차세대 보안 기술 개발 및 투자 시급
북한의 사이버 공격 대응 위해 국회에서 관련 법안 마련 필요
[보안뉴스 김경애 기자] 북한의 해킹조직 ‘라자루스’가 2021년 6월부터 지난해 1월까지 법원행정처 전산망을 해킹해 총 1,014GB 규모의 법원 자료를 탈취했다. 이어 보건복지부 공식 SNS 계정이 북한 해커조직에 의해 해킹됐다. 이처럼 북한의 해킹 공격이 거세지고 있는 가운데 정부부처와 공공기관을 비롯해 국가 사이버 안보 위협에 철저한 대비가 필요하다는 목소리가 커지고 있다.
▲북한 해킹의 실체와 대응 방안 세미나에서 참석자들이 기념촬영을 하고 있다[사진=보안뉴스]
이러한 상황에서 ‘북한 해킹의 실체와 대응 방안’을 주제로 한 세미나가 국회의원회관 제2세미나실에서 개최됐다. 국민의힘 박충권 의원이 주최한 이번 세미나에서는 한국정보보호학회 하재철 회장이 좌장을 맡은 가운데 지니언스 시큐리티센터 문종현 센터장과 국가보안기술연구소 김동희 실장이 발제를 맡고 플레인비트 김진국 대표, 한국침해사고대응팀협의회 원유재 회장, 국가안보전략연구원 김소정 책임연구원, 경찰청 안보수사지휘과 김산호 과장, 과학기술정보통신부 정창림 정보보호네트워크정책관이 북한의 사이버공격의 현주소를 짚어보고, 우리의 대응방안을 모색하는 자리로 열띤 토론을 펼쳤다.
1. 북한의 해킹 공격 실체
①북한의 해킹 이슈 심각, 국가 안보와 직결
박충권 의원은 개회사에서 “북한이 사이버 공격을 만능으로 생각하고, 보험으로 생각한다”며 “해킹 인력을 집중적으로 양성하고 있다”고 밝혔다. 이어 박 의원은 “사이버 공격으로 훔쳐간 암호화폐 액수가 4조원에 달한다”며 “개인정보를 대량으로 탈취해 댓글공작, 남남갈등 등의 사회혼란도 야기시킨다”고 말했다. 덧붙여 박 의원은 “이번 세미나에서 제기된 북한 해킹 대응 역량 강화 방안, 정책적 지원 대책 마련을 위해 논의된 사항을 국회에 반영되도록 노력하겠다”고 밝혔다.
②북한의 과학 천재, 해킹에 매달리고 있어
국회 정보위원회 신성범 위원장은 축사를 통해 “북한의 강력한 무기는 해킹 영재 육성”이라며 “북한의 과학 천재들이 해킹에 매달리고 있다”며 우려했다. 그러면서 신 위원장은 “이번 토론회를 통해 북한 사이버 공격에 대한 실체를 파악하고, 대응방안을 모색하는 자리가 되길 바란다”고 말했다.
③초등학교때부터 해킹전문반에서 집중훈련
국회 주호영 부의장은 “2003년 8월 평양 소년인민궁전을 방문한 적이 있는데, 당시 초등학생때부터 집중훈련을 시키는 해킹전문반으로 구성된 교실이 있었다”며 “벌써 20여년 전으로 지금도 꾸준히 양성하고 있으니 그 실력을 가히 짐작할 수 있다”고 밝혔다.
이어 주 부의장은 “하지만 우리는 대법원 전산망이 해킹됐는데도 알지 못하고 있는 실정이며, 국정원에서 모니터링하는 실시간 해킹 공격은 하루에만 몇 만건에 달한다”며 “군 전산시스템이 공격받아 무력화되면 끔찍한 재난이 일어날 것”이라고 말했다.
④북한의 군사력 핵심은 비대칭 전략
국민의힘 윤재옥 원내대표는 “북한의 사이버 공격에 대한 대응능력이 미흡한 현실”을 지목하며 “이번 세미나를 통해 미흡한 부분이 보완되어 북한의 사이버 공격에 철저하게 대비해야 한다”고 강조했다.
또한, 국민의 힘 한기호 의원은 “국방에서 빼놓을 수 없는 주제가 바로 사이버 공격으로 북한의 군사력 핵심은 비대칭 전략”이라며 “핵무기는 완성 단계에 있고 사이버 공격, 게릴라전, 총량전 등은 우리보다 우위에 있다”고 말했다. 이에 우리도 AI와 보안을 융합해 새로운 차원의 군대를 육성해야 한다고 한 의원은 당부했다.
2. 차세대 보안 기술 개발과 투자 확대 필수
이어진 발제에서 지니언스 문종현 이사는 과거 북한의 주요 사이버 공격 이슈에 대해 “하루 평균 162만건의 사이버 공격 중 80%가 북한 소행”이라며 “2009년 7.7 디도스, 2011년 농협 전산망 장애, 2012년 중앙일보 해킹, 2013년 3.20 사이버테러, 2014년 소니픽쳐스 해킹, 2016년 인터파크 개인정보 유출, 국방 내부망 공격 등이 모두 북한 소행으로 드러났다”고 분석했다.
이어 그는 “2017년부터는 랜섬웨어를 활용하고, 가상화페를 탈취하는 등 갈수록 고도화·지능화 공격 양상을 보인다”며 “이들의 사이버 보안 인재 양성 시스템은 체계적인 엘리트 육성체계로 외국 교수를 초빙해 영어로 수업하는 등 높은 수준을 유지하고 있다”고 설명했다.
그러면서 문종현 이사는 북한의 5대 주요 사이버 공격 전술로 △스피어피싱 공격 △워터링홀 공격 △소프트웨어 공급망 공격 △사회관계망 공격(메이저 백신 프로그램 탐지율 ZERO) △아웃소싱 공격(개발 서비스 위장 사이트 발견)을 꼽았다.
첫째, 스피어피싱의 경우 ‘북한 시장 물가 분석’ 문서로 위장한 사례처럼 평소 업무로 사용하는 문서 파일로 침투하는 게 특징이다.
둘째, 워터링홀 공격 사례는 공인인증용 대국민 프로그램 취약점을 악용해 공격한 바 있다. 이와 관련 문 이사는 북한이 8개 언론사를 해킹해 악성코드를 심어 이용자가 PC로 해당 언론사 사이트의 뉴스만 읽어도 이용자가 악성코드에 감염돼 해킹을 당했던 이슈를 예로 들었다.
셋째, 소프트웨어 공급망 공격은 보안 프로그램에 악성코드를 은닉해 배포하는 수법으로 공인인증서 및 전자문서 보안 모듈을 악용한다. 이와 관련 문 이사는 “운영체제 SW 취약점을 악용해 악성코드를 삽입한 다음 웹 서버를 해킹함으로써 전체 공격 흐름을 파악해 가시성을 확보했다”고 설명했다.
넷째, 사회관계망 공격(메이저 백신 프로그램 탐지율 ZERO)이다. 이와 관련 문 이사는 “백신, 방화벽 등 1차 방어선 회피를 위한 연구를 통해 탐지를 무력화하는 등 새로운 전략을 도입했다”고 밝혔다.
마지막으로 아웃소싱 공격(개발 서비스 위장 사이트 발견)이다. 문종현 이사는 “북한 해커가 미국 부통령을 사칭한 가짜 구글 드라이브 클라우드 계정을 이용해 북한인권단체, 통일교육단체 등을 타깃으로 악성파일을 전달해 공격했다”며 “이들을 추적하는 과정에서 독일 C&C 서버를 발견했는데, 서버 운영자가 북한식 표현의 ‘새세기’라는 IT 서비스 웹사이트를 만든 흔적을 발견했다”고 밝혔다.
이처럼 북한의 사이버 공격이 갈수록 지능화·고도화됨에 따라 문 이사는 △EDR, CTI 기반 최신 위협 탐지를 가시성 있게 효율적으로 통합 운영 △자동화된 플랫폼 형태의 멀티 위협 대응 체계로 지능적 감시 강화 △차세대 보안 기술에 대한 지속적 관심과 투자 △현장 실무형 사이버 안보 전문가 양성 및 기존 보안 인력 처우 개선 등의 대응방안을 제시했다.
3. 사이버안보 전략과제, 구체적 방안 필요
이어진 발제에서 국가보안기술연구소 안보정책연구실 김동희 실장은 ‘사이버안보 위협 대응 정책 방향’에 대해 “국가 사이버안보 전략의 전략과제로 글로벌 공조체계 구축, 국가 핵심인프라 사이버 복원력 강화, 신기술 경쟁 우위 확보, 업무 수행기반 강화 등이 제시됐지만 구체적인 위협 대응방안은 아직까지 발표되지 않은 상태”라며 사이버안보 전략과제의 구체화 필요성을 강조했다.
그러면서 김 실장은 사이버안보 전략과제 이행방안으로 △사이버 대응역량 강화 △법·제도 정비 △공공-민간 협력 강화 △국제사회 공조 강화를 제시했다.
첫째, 사이버 대응역량 강화는 사이버공격 억지·대응 수단 확보, 공세적 사이버 방어 활동의 기술적·제도적 역량을 확보해야 한다.
둘째, 법·제도 정비 측면에서는 사이버안보 수행체계를 정비하고 강화해야 한다. 또한 사이버안보 업무 수행의 법적 근거가 마련돼야 한다. 이는 사이버안보기본법 제정이 시급하다는 얘기다.
셋째, 공공-민간 협력 강화를 위해 민간의 사이버안보 역량을 강화하고 참여를 확대해야 한다. 아울러 사이버안보 위협정보 수집·공유 체계를 강화해야 한다.
넷째, 국제사회 공조 강화는 사이버안보 위협에 대한 공통 상황인지 기준을 확립하고, 사이버 위협 공동 대응 옵션 발굴과 이행 체계를 마련해야 한다.
이어진 토론회에서는 북한의 사이버 위협에 대한 다양한 대응방안이 제시됐다. 다음은 토론회에서 나온 주요 내용이다.
4. 사이버 위협 정보 공유 활성화 필요
플레인비트 김진국 대표 : 첫째, 북한의 사이버공격을 대응하기 위해서는 사이버 위협 정보가 효율적으로 공유되는 체계가 마련돼야 한다. 둘째, 국내 인프라 사이버테러에 또 다시 당하지 않도록 우호 국가와 관련 정보를 공유해야 한다. 셋째, 방어 능력을 키워야 한다. 방어 역량을 강화하기 위해서는 민간과 긴밀히 협력해야 한다.
5. 사고 예방과 대응 명확히 구분돼야
한국침해사고대응팀협의회 원유재 회장 : 우선 사고 예방과 대응이 명확히 구분돼야 한다. 또한, 중앙부처 보안업무 수준을 크게 향상시켜야 한다. 정보화담당관은 운영 보안에 치중돼 있고, 공공 CISO 제도는 잘 운영되지 않는다. 공급망 보안과 관련해서는 보안 사고가 발생하지 않도록 보안업체의 보안수준을 높여야 한다. 다음으로 공격을 받으면 사고 내용에 대한 정보 공유가 신속히 이뤄져야 한다. 특히 북한발 공격은 공유가 잘 안 된다.
6. 북한의 사이버 공격 대응 위한 국회의 법안 제정 필요
국가안보전략연구원 김소정 책임연구원 : 2022년 이후 북한에 대해서는 국제정치 맥락 안에서 대응하고 있다. 2008년 미국은 정보보호가 담보되지 않으면 정보화 예산을 편성하지 않는 등 행정부처의 정보화 예산 확보 경쟁을 유도함으로써 정보보호를 강화하고 있다. 또한 적대 세력 대항법을 제정하고, 대통령 행정명령 등을 통해 제재하고 있다. 국회에서도 이러한 방향으로 발전시켜야 한다. 아울러 북한의 사이버 공격에 대해 법적·정치적·외교적·기술적 측면 등 다방면에서 구체적인 방안을 모색해야 한다.
7. 유관기관 협력과 네트워크 강화해야
경찰청 안보수사지휘과 김산호 과장 : 사이버안보 유관기관의 협력과 네트워크를 공고히해야 한다. 민·관 구분 없이 무차별적으로 가해지고 있는 사이버안보 위협에 효과적으로 대응하기 위해 유관기관과 협력하고 네트워크를 강화해야 한다. 특히, 공유정보를 확대해야 한다. 북한의 사이버공격에 공동 대응하기 위해서는 국내외 유관기관들과 사이버위협 정보 및 기술적 대응 방법 등에 대한 공유범위가 확대돼야 한다. 이와 함께 사이버안보 관련 법·제도적 뒷받침이 필요하다. 전산망 침입, 악성코드 유포부터 랜섬웨어, 생성형 AI를 이용한 사이버 공격에 즉각적이고 신속한 대응을 위해 법·제도를 정비해야 한다. 사이버안보 기술 개발 뿐만 아니라 최신 공격유형 및 사례 분석 등 수사역량 강화에 필요한 과감한 인적·물적 지원이 필요하다.
8. 북한의 사이버 공격 대응 위해 정부에서 다양한 정책 시행 중
과학기술정보통신부 정창림 정보보호네트워크정책관 : 앞으로도 북한은 디지털 기술 일상화로 공격 접점이 확대될 것이다. 이러한 위협에 대응하기 위해 과기정통부와 한국인터넷진흥원에서는 △470만개 악성코드 탐지·모니터링·현장 출동을 통해 피해확산 방지 및 재발방지 △수집된 정보 3700개 기관과 공유 △정보통신기반보호법에 따라 정보통신기반시설 보호대책 수립 운영 △일정규모 이상 기업 대상으로 CISO 의무지정 △사이버보안 관련 R&D 기술 지원 확대 △화이트해커 양성 △보안 유니콘 육성 △글로벌 보안 인재 육성 지원사업 △국방부와 협력해 사이버전문사관 확대 △사이버침해사고 대응 위해 국가사이버위기단 정보 공유 △국정원과 협력해 CISO 전문성 강화 법령 추진 등의 정책을 시행하고 있다. 앞으로도 보다 적극적으로 북한의 사이버 공격 대응을 위해 노력하겠다.
9. 북한의 공격, 미리 예측하고 방어할 수 있어야
한국정보보호학회 하재철 회장 : 북한의 해킹 공격은 민간, 공공, 국방 분야 등 전 분야를 막론하고 인프라시설 공격, 시스템 공격, 웹사이트 공격, 5G ·모빌리티·AI 등의 첨단기술 타깃 공격 등이 무차별 자행되고 있다. 북한 해킹 공격의 목적이 기존에는 사회적 혼란이었다면 이제는 무기 개발에 필요한 돈을 벌어들이는 경제적 수단으로 활용되고 있다. 이에 따라 북한의 공격을 미리 예측하고 방어하기 위해 보다 적극적으로 나서야 한다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>