19일 경기도 성남시 소재 사이버안보협력센터에서 언론사 초청 사이버안보 간담회를 주재 중인 백종욱 국가정보원 3차장 ⓒ국가정보원

[디지털데일리 이종현기자] 국가‧군사‧산업기밀뿐만 아니라 일반 국민들의 정보도 북한 사이버위협의 대상이 되는 사례가 점차 늘어나고 있다. ‘사이버위협의 온도’가 점차 상승하는 중이다.

19일 국가정보원(이하 국정원)은 경기도 성남시에 위치한 사이버안보협력센터(이하 협력센터)에서 백종욱 3차장 주재의 언론사 초청 사이버안보 간담회를 개최했다. 한국을 둘러싼 사이버위협 동향과 이에 대응하기 위한 노력 등이 공유됐다.

국정원 조사에 따르면 올해 상반기에는 하루 평균 137만여건의 사이버위협이 발생했다. 이는 2022년 118만건 대비 15% 증가한 수준이다. 공격 주체별로는 북한 연계조직이 70%로 대부분을 차지했고 중국‧러시아 조직이 뒤를 이었다. 해당 수치는 국정원이 관할하고 있는 공공 및 지방자치단체 등 2만여개 관제 대상이 기준이다. 일반 민간 영역을 포함하면 수치는 훨씬 커질 수 있다.

백종욱 국정원 3차장은 “세계 전반에 걸쳐 사이버위협 온도가 조금씩 더 오르고 있는 듯한 양상이다. 온도를 0.02도씩 올리면 개구리가 그대로 삶아져 죽는다고 한다. 사이버위협 온도가 조금씩 올라 대수롭지 않게 생각하고, 심각도를 인지하지 못하면 어쩌나 하는 우려가 있다”고 말했다.

◆국가·개인 안보 위협하는 북한, 신용카드 정보 1000건 탈취도 발각

북한은 2022년 기준 암호화폐 탈취를 통해 7억달러가량을 벌어들인 것으로 파악됐다. 이는 대륙간탄도미사일(ICBM) 30발을 발사할 수 있는 규모라는 것이 국정원의 설명이다.

또 북한의 구체적인 공격 시도에 대해서도 공개했다. 네이버를 사칭한 페이지를 개설해 계정정보를 훔쳐낸 등의 사례가 대표적이다. 또 계정정보를 훔쳐낸 뒤 연동돼 있는 클라우드에 접속, 클라우드 속에 이미지로 저장돼 있는 신용카드 정보 1000여건을 훔쳐낸 것도 이날 최초로 발표했다. 절취된 카드 사진 대부분에는 카드번호, 유효기간, CVC번호 등이 포함됐다.

북한 IT 인력이 국내 기업 해외지사에 위장 취업하려는 정황을 포착한 내용도 공유했다. 과거 북한 IT 인력이 프리랜서로 일하며 일회성 일감을 수주해왔지만 이번에 확인된 사례는 국내 기업 취업 시도를 위해 여권 및 졸업증명서를 위조하는 수법을 활용한 것이 특이점이다. 고용계약서를 작성, 채용 직전 단계까지 도달했다가 발각됐다.

이와 같은 북한에 의한 공격 위협은 하반기 이후 더 거세지리라는 것이 국정원의 예측이다. 북한 지난 6월 김영철 전 대남 담당 노동당 비서를 당 정치국으로 복귀시켰다. 그는 정보보호의 날의 유래가 된 7.7 디도스(DDoS) 공격, 농협전산망 파괴 등을 주도한 인물이다. 일선에 복귀시켰다는 것은 주요국을 대상으로 첨단기술 절취에 몰두하고 과거 사례와 같은 대규모 사이버도발의 가능성도 커졌다는 지적이다.

상반기에는 국내에 1000만대 이상의 PC에 설치돼 있는, 공동인증서 로그인을 위해 필요한 보안인증 제품을 해킹해 중요 국가기관 내부망에 침투하려는 시도도 발표됐다. 국정원은 “이와 같은 공급망 공격은 다수의 PC를 이릿에 장악하거나 국민 생활과 밀접한 주요 시스템을 마비시킬 수 있는 등 대규모 피해로 이어질 수 있고, 탐지도 쉽지 않아 주의가 필요하다”고 경고했다.

다만 해당 프로그램을 설치한 개별 사용자는 언제든지 침입을 받을 수 있는 상황에 놓였다. 사용자가 스스로 프로그램을 제거하고 재설치하거나 업데이트하는 것 외엔 뾰족한 수가 없다. 국정원 측은 “일반 국민들도 보안에 관심을 갖고 잘 대응할 필요가 있다”고 전했다.

네이버의 화면을 그대로 복제한 피싱사이트 모습 ⓒ국가정보원

◆공격 시도 늘리고 있는 중국… 러시아 위협도 변수

국정원이 파악 중인 해외 해커에 의한 공격 시도의 절대다수는 북한이다. 하지만 중국, 러시아의 위협도 무시할 수는 없다. 실제로 글로벌 해킹사고의 59%를 북한, 중국, 러시아가 차지하는 등 3개 국가는 세계 사이버안전을 위협하는 ‘문제아 3인방’으로 활동하고 있다.

국정원의 공격주체별 점유율 조사에는 70%는 북한, 4%는 중국, 2%는 러시아 해커조직이 차지했다. 북한 외에 특히 주목할 만한 것은 중국 해커조직의 활동이다.

지난 1월 ‘샤오치잉’이라는 해커조직이 한국 정부를 대상으로 공격을 예고한 것이 대표적이다. 샤오치잉은 한국 학회 웹사이트 등 보안이 취약한 곳을 겨냥해 공격 활동을 펼쳤다. 상대적으로 취약한 곳만 대상으로 수익보다는 핵티비즘적인 공격 성향을 보였으나 4월부터는 절취 자료를 판매하려는 등 돈벌이로 성향이 바뀌었다.

또 4월 중국 연계 해커조직이 정부 용역사업을 수행 중인 민간 기업을 해킹해 내부망 침투를 시도한 건도 발견됐다. 이와 함께 6월에는 중국 업체가 제조해 국내 기관에 판매된 계측장비에서 악성코드가 발견된 최초 사례도 나타났다. 관계기관 합동으로 유사 장비에 대한 전수조사가 이뤄지고 있다.

6월 사례는 향후 조사 내용에 따라 파급력이 클 것으로 전망된다. 제품 제조사가 의도적으로 악성코드를 심은 채 판매했다면 ‘백도어 사태’가 국내에서 벌어진 것으로 볼 수도 있다. 네트워크 및 컴퓨팅 등 장비의 상당수는 가격 경쟁력 등을 사유로 중국 기업의 제품이 도입되고 있는데, 제품 도입까지의 검증 작업이 추가되는 등의 제도적 변화가 있을 수 있다.

러시아 해커조직의 경우 전체 공격의 2%에 불과한 것으로 확인됐다. 실제 러시아 해커조직은 우크라이나를 비롯해 미국 등을 대상으로 공격 활동을 이어가고 있다. 다만 러시아가 북한 이상의 해킹 역량을 보유했고 최근 윤석열 대통령이 우크라이나를 깜짝 방문하면서 한국과 러시아 사이의 긴장감이 높아지는 상황에서 충분한 경계가 필요할 것으로 보인다.

◆국정원 “사이버위협에 공세적 대응”

국정원은 내년 총선을 앞두고 있는 만큼 하반기 이후 사이버위협이 더욱 거세질 수 있다고 경고했다. 핵심기술 유출을 노린 공격부터 그저 피해를 주기 위한 의료‧교통‧에너지 시설 공격 등의 가능성도 잠재해 있다. 대화형 인공지능(AI) 플랫폼을 비롯해 서비스형 랜섬웨어(RaaS)와 같은 해킹툴의 상품화도 위협을 키우는 요인들이다.

이에 국정원은 동맹국, 그리고 민간 분야와의 협력 강화를 해결책으로 제시했다. 지난 4월 한-미 정상회담을 통해 체결된 한미 전략적 사이버안보 협력 프레임워크를 계기로 한미 공조를 강화하는 한편 여타 우방국이나 글로벌 IT 기업들과도 적극적으로 정보공유를 확대해 나가겠다는 방침이다. 미국을 비롯해 독일 등과 함께 합동 권고문을 발표한 것도 그 일환이다.

이날 간담회가 진행된 협력센터는 이런 기조의 전진기지 역할을 한다. 2022년11월 개소한 협력센터는 당초 9개 국가‧공공기관, 5개 민간 보안기업을 포함한 46명으로 출범했으나 현재 15개 국가‧공공기관,을 비롯해 8개 IT‧보안기업 64명이 근무하고 있다. 앞으로도 그 규모를 키워나가겠다는 방침이다.

백종욱 3차장은 “사이버위협에 공세적으로 대응해 나가겠다”고 밝혔다. 그 일환으로 사이버안보법(가칭)에 대한 논의도 이어가고 있다. 급변하는 사이버 환경 속에서 실질적으로 국가와 국민의 안전을 강화할 수 있는 내용을 담을 수 있도록 고민하고 있으며, 이르면 하반기즈음 입법예고할 수도 있을 것이라고 전했다.

인공지능(AI) 기술을 이용한 보안관제 확대 보급, 유관기관과의 합동근무, 군과 국가배후 해킹조직 합동 추적을 비롯해 내년도 선거 보안 강화 지원 및 한국형 제로 트러스트(Zero Trust) 모델도 구축하겠다는 방침이다.

백종욱 3차장은 “전쟁이 발발하면 총탄이 오가는 전방에서는 그 심각도를 체감하지만 후방에서는 모를 수도 있다. 사이버위협이 그렇다. 국민들에게도 사이버위협의 심각도가 어느 정도인지 전달돼 경각심을 가졌으면 한다”고 밝혔다.