“소리 없는 아우성”. 유치환의 시 ‘깃발’에 나오는 이 역설적 표현이 펼쳐지는 공간이 있다. 남북이 온라인에서 365일 치열한 공방전을 벌이는 ‘사이버 휴전선’이 그곳이다. ‘제5의 전장’으로 불리는 사이버 공간에서 남북은 컴퓨터를 무기로 24시간 치열한 전투를 벌이고 있다. 약육강식의 정보전이다. 이곳에서는 정전협정의 교전규칙이 적용되지도 않는다.
사이버 정보전에서 북한보다는 남한이 불리한 환경이다. 남측은 IT 네트워크 기반이 잘 갖춰진 데다 정보화 및 전산화가 북측보다 훨씬 잘돼 있다. 가져올 정보도 많고, 접근도 상대적으로 쉽다는 의미다. 정보당국이 국회에 보고한 자료를 보면 북한의 사이버 공격은 하루평균 129만건이나 된다.
반면 폐쇄사회인 북한은 사이버전을 펼치기에는 불편한 곳이다. 가져올 만한 정보나 자료도 상대적으로 적다. 그런데도 북한의 내부 사이버망에서는 놀랄 만한 정보가 발견되기도 한다.
■탈탈 털린 기밀자료
그동안 북한 해커들이 털어간 한국군 정보는 주요 무기 자료만 해도 바닷속 잠수함에서부터 공중을 나는 정찰기까지 총 망라돼 있다. 최근에는 북 해커조직이 군의 핵심 대북 공중정찰자산인 백두 정찰기와 금강 정찰기 관련 기술자료를 빼내 간 것으로 확인됐다.
백두 정찰기는 북한 전역의 통신 정보, 금강 정찰기는 전방 일대 북한군 영상 정보를 수집하며 대북 감시의 ‘눈과 귀’ 역할을 하는 자산이다. 백두 정찰기는 북의 미사일 발사 추정 신호까지 포착할 수 있다. 금강 정찰기는 북한의 남포와 함흥을 연결하는 지역까지 고성능카메라를 활용해 전천후 영상 수집이 가능하다.
2016년 9월에는 북한 정찰총국과 연계한 해커조직에 의해 ‘사이버 휴전선’이 22일간이나 무방비로 뚫렸다. 북 해커들은 한국군 국방망(내부 인터넷)을 ‘놀이터’ 삼아 아무 때나 수시로 들락날락했다. 이 과정에서 ‘작전 계획 5015’를 비롯한 2~3급 군 기밀이 대거 북으로 빠져나갔다. 미군이 한국군에 제공해준 기밀 자료와 사진까지 유출됐다.
북 해커는 방산업체를 해킹해 해군의 3000t급 잠수함인 도산안창호급의 설계도와 콜드론치(Cold Launch) 기술도 빼내 갔다. 콜드론치는 고압 압축공기 시스템으로 미사일을 사출시킨 뒤 공중에서 점화하는 고난도 기술이다. 북한은 해킹한 기술을 신포급 잠수함의 잠수함발사탄도미사일(SLBM) 시험 발사에 사용했다.
잠수함 전투체계 프로그램의 알고리즘 유출은 한국 잠수함의 무기체계 특성과 작전반경 등이 그대로 노출됐다는 것을 의미한다. 잠수함뿐만이 아니다. 이지스함인 율곡이이함, 차기 호위함인 울산급 배치(Batch)-II, 수상함 구조함인 통영함, 대형수송함인 독도함 등의 설계도, 건조기술 자료, 무기체계 자료 등 60여건의 군사기밀이 절취당했다.
설계도 유출은 북이 마음만 먹으면 한국군의 최신 함정과 같은 군함을 제조할 수 있음을 의미한다. 그나마 북한이 HY-100과 같은 잠수함 전용 특수강을 제강하는 고난도 기술이 없어 한국 해군의 최신 잠수함과 같은 수준의 함정을 건조하기는 힘들다는 게 전직 군 정보 고위당국자의 설명이다. HY-100 강재는 탄소강에 망간, 니켈, 구리 등을 첨가해 까다로운 조건에서 만들어지고, 1㎡당 7t의 압력을 견딜 수 있다.
현대 최신 무기는 플랫폼에 전자 시스템을 장착하는 게 일반적이다. 가령 해군의 이지스 전투체계 프로그램은 ‘함정의 전투 두뇌’ 역할을 한다. 함정에 탑재된 모든 탐지체계와 무장체계, 항해 지원 장비를 네트워크로 연결해 통합된 하나의 전술 상황 정보를 만들어 공유한다. 사이버 전문가들은 이지스함과 F-15K도 얼마든지 해킹할 수 있다고 지적한다. 모의 해킹을 통해 취약점을 미리 찾아내 예방책을 마련해야 한다는 주장이 나오는 이유다.
■다물부대 후예들
북의 해킹에 대한 군 당국의 대응은 한결같다. 처음엔 해킹 자체를 부인한다. 주로 내부망과 외부망이 단절돼 있다는 이유를 든다. 그러나 국회 등에서 강하게 추궁하면 “해킹당한 자료는 대부분 공개된 수준”이라며 해킹 사실을 인정하면서도 빠져나간 정보는 별 게 아니라는 식으로 해명한다. ‘부인→시인→해명’을 반복하는 것이다. 방위사업청은 이번 ‘백두·금강 정찰기’ 관련 자료 유출을 두고도 “정비·운용 교범 등 일반 자료가 해킹된 것은 확인됐으나, 핵심 기술 해킹 사례는 확인되지 않았다”고 주장했다. ‘핵심 자료’ 유출은 아직 모르니 별일 아니라는 식이다. 그러나 해커들은 핵심 자료를 빼간 것을 숨기기 위해 일부러 정보 가치가 적은 자료를 해킹한 것처럼 흔적을 남기기도 한다.
국방부 장관을 겸하고 있는 신원식 대통령실 국가안보실장 역시 국군정보사령부 ‘블랙 요원’ 명단 유출 사건에 대해서 “정보 업무에 큰 공백은 없다”고 국회에서 답변했다. 일반인의 상식과는 배치되는 발언이다.
이처럼 군 당국이 해킹으로 인한 구체적 피해를 밝히지 않는 것은 피해 사실을 확인해줄 경우 군의 사이버 역량이 노출되기 때문이다. 미국, 러시아, 중국 같은 강대국들도 적성국들의 사이버 공격을 받고도 구체적인 피해 사실을 밝힌 사례가 거의 없다. 또 모든 국가의 정보기관은 수비만 하는 게 아니라 거꾸로 사이버 공격으로 상대국의 정보를 빼내는 일이 다반사다. 피장파장이라는 얘기다.
한국군 정보를 빼낸 북 해커 조직으로는 라자루스와 ‘김수키’가 거론된다. 한국군과 국가정보원 역시 사이버 공격 기관을 운영하고 있다. 정보사의 블랙요원 명단 유출도 국내 정보기관 해커가 북한 정보기관의 네트워크를 해킹하는 과정에서 발견한 것으로 전해졌다. 과거 3000t급 잠수함 설계도를 포함한 군사기밀 역시 북한 기관의 네트워크 파일에서 발견됐다. 마치 북한 정보기관의 ‘금고’에서 도난당한 한국군과 방위산업체의 ‘귀중품’이 발견된 거나 마찬가지다. 장물이지만 군사기밀을 회수하는 것은 불가능하다. ‘소 잃고 외양간 고치기’를 반복할 수밖에 없는 게 현실이다.
한국군의 사이버 공격부대의 존재는 2015년 진성준 당시 새정치민주연합 의원이 국방부 국정감사에서 거론하면서 외부에 노출됐다. 그가 국감에서 언급한 사이버 공격부대(해킹부대)는 정보 수집과 사이버 공격을 하는 사이버사령부 예하 ‘900연구소’였다.
900연구소의 원조는 다물부대로 불리는 정보기술연단이다. 정보기술연단은 3·1센터(550단)로 명칭이 바뀌었다가 다시 900연구소로 개칭된다. 900연구소 역시 지금은 조직을 개편한 후 다른 위장 명칭을 사용하는 것으로 알려졌다.
다물부대는 김대중 정부 때 조성태 국방부 장관의 지시로 창설됐다. 다물(多勿)은 고구려어를 한자로 음차해서 쓴 단어로 ‘옛 땅을 회복한다’는 의미다. 창설 당시에는 국방부 장관이 직보를 받는 조직이었다. 또 계약직 민간인 해커가 서울 시내 오피스텔에 틀어박혀 북한의 컴퓨터 시설과 네트워크 체계에 접근하는 임무를 수행하다가 간첩으로 오인돼 경찰이 출동한 사례도 있었다고 한다.
<박성진 ‘안보22’ 대표·전 경향신문 안보전문기자>