[이코리아] 지난 12월 8일 KBS 9시 뉴스는 “보이스피싱 조직들이 사용하는 악성앱 다수가 북한산으로 추정된다”는 보도를 내보냈다. 필자는 과거 국회 남북관계특별위원회 업무를 담당한 적이 있는데, 북한은 전체 예산의 약 3분의 1을 우상화나 체제강화에 사용하는 것으로 알려졌다.
북한의 예산은 약 9조원이나 되는데 국가예산의 최대 3분의 1을 사이버 공격으로 벌어들여서 대부분 우상화나 체제강화에 사용한다고 해도 과언이 아니다. 사이버공격으로 북한이 벌어들이는 수익은 무려 년간 약2조8천억원 수준인데 절반은 암호화폐 해킹이며 기타 수익는 랜섬웨어 공격과 개인정보 판매로 얻는 것으로 알려져 있다.
2017년 개봉된 영화 '분노의 질주: 더 익스트림' 등에는 수많은 차량들이 해킹되어 동시에 거리로 쏟아지는데 이와 유사한 해킹과 공격은 가상의 영화가 아닌 이미 현실세계에서도 이루어진다. 전 세계적으로 다양한 IOT기기를 활용한 스마트시티가 가속화되면서 정보화역기능은 더욱 확대되고 있다. 이 글에는 근래에 IOT기기들에 대하여 이루어진 주요 사이버공격과 이에 대한 정보화당국의 대응책에 대하여 살펴보기로 한다.
영화에서 흔히 보는 차량해킹은 지금부터 12년전인 2010년 텍사스에서 시작되었다. 최초의 사건은 중고차 판매상이 대금이 미납된 차량 100여대의 시동이 꺼지거나 경적이 울리도록 조작한 것이었다. 영국에서는 2010년 신형 BMW차량이 해킹되어 3분만에 도난당하는 사고도 여러 건 나타났다.
2015년에는 피아트-크라이슬러의 차량 47만대에 대한 해킹으로 엔진과 가속장치를 원격조정할 수 있음이 알려졌다. 또한 히로시마대 연구팀은 도요타 차량 일부를 해킹하여 스마트폰으로 조정할 수 있음을 밝히기도 하였다. 올해 1월 독일의 10대의 젊은 다비드 콜롬보(David Colombo)가 테슬라 차량 25대의 원격조정이 가능했다고 밝혀 충격을 주기도 했다.
거대한 해킹사고는 단일한 자동차에서만 발생하는 것은 아니다. 필자의 사무실이 있던 산호세 인근의 샌프란시스코에서는 Muni라는 시영철도와 BART라는 광역지하철, 장거리 철도인 Caltrain 등이 동시에 운영되는데 2016년 11월 무려 2,112대의 컴퓨터가 동시에 맘바(Mamba)라는 랜섬웨어에 감염되어 역사의 결제시스템과 스케줄링 시스템을 사용할 수 없었고 시당국은 지하철에 무임승차를 도입할 수밖에 없었다.
지난 9월 서방해킹 집단은 러시아판 우버인 얀덱스 택시를 해킹하여 스탈린이 1950년대에 세웠던 '호텔 우크라이나'에 택시 100여대가 갑자기 몰려드는 사건이 발생하기도 했다.
해킹 공격은 자동차나 대중교통의 안전을 위협할 뿐만 아니라 인프라시설을 공격하여 생명과 건강을 직접적으로 위협하기도 한다. 이란의 원자력발전소는 2010년 스텍스넷이란 악성코드 무기의 공격을 받았다. 이 공격으로 이란의 원심분리기 중 1,000여개가 파괴되어 이란의 핵개발은 1년 이상 지연되었다. 이 악성코드는 크기가 500kb규모로 지멘스가 제작한 윈도우 응용프로그램을 거쳐 기계를 제어하는 PLC에 까지 접근했다. 필자도 PLC로 구성된 다양한 기계들을 설계하고 판매했는데 PLC에 오류가 발생한 기계는 마치 살인기계처럼 변모하는 것을 여러 번 직접 목격했다.
지난 2016년에는 우크라이나의 전력공급소가 블랙에너지라는 멀웨어에 의하여 공격을 받아 대규모 정전사태가 발생했고, 2020년 이스라엘의 정수시스템에 사이버공격이 감행되었고, 수도물에 첨가하는 화확물을 과다 투여하는 방법으로 공격이 진행되었으나 이스라엘의 사이버사령관은 공격을 성공적으로 막아냈다.
필자는 플로리다의 포터 로더데일 공항을 자주 이용했는데 인근에 있는 올즈마(Oldsma)시에서는 2021년 수도시스템이 해킹당하여 15,000명 이상이 건강에 위협을 받았다. 공격자들은 팀뷰어와 윈도우7의 취약점을 활용했다.
해킹기술의 발달로 공격은 특정 개인이나 건물을 상대로도 이루어지고 있다.
지난 2020년 메르세데스 벤츠 공장으로 유명한 뒤셀도르프의 한 대학병원에서는 평소 하루 120건의 수술을 진행하고 있었으나, 랜섬웨어가 서버 30대를 공격하였고, 한 여성은 긴급수술을 위해 32km 떨어진 다른 병원으로 옮겨지다 숨을 거두었다. 이는 랜섬웨어로 환자가 사망한 첫 사례로 꼽히고 있다. 그 후 FDA는 세인트 쥬드(Saint Jude)사의 심장박동기가 해킹될 수 있다며 펌웨어 업데이트를 권고하기도 했다.
2016년 오스트리아 알프스 관광지의 한 호텔은 예약시스템이 랜섬웨어에 감염되어 1,500유로의 비트코인을 건네주고 시스템을 복구했다. 비록 호텔에 손님이 갇히지는 않았지만 새로 도착한 손님들은 방에 전혀 입실할 수가 없었다. 이 호텔은 시스템을 업그레이드하였고 그 후 전자출입카드를 실물 자물쇠와 실물 열쇠로 교체했다.
2021년 한국의 아파트 700개 단지 총17만가구의 월패드가 악성프로그램에 노출되어 사생활이 고스란히 노출되는 사태가 발생했다. 이후 정부는 아파트 단지의 분배함에 홈게이트웨이의 설치를 의무화하기도 했다.
지금까지 살펴본 사례들의 일부만 보아도 사이버보안의 중요성을 쉽게 알 수 있다. 사이버공격은 정부의 사회기반기설, 의료기관 등에 집중되며 특정한 IOT기기에 취약성이 발견되면 같은 종류의 다양한 기기로 쉽게 확대되는 경향이 있다.
남북대치 상황에서 대한민국 국민은 사이버안보에 더욱 유념해야 한다. 북한은 지난 이태원 참사 수습 때에도 악성코드가 내장된 중앙재난안전대책본부 명의의 '이태원 사고 대처상황 보고서'를 작성하여 유포했다. 북한 등의 사이버 공격으로 한국인의 주민등록정보는 이미 누구나 활용할 수 있는 공공재라는 농담도 나오고 있다. 북한 IT조직원들은 악성앱을 개당 12만위안 즉 한국돈 2,200만원에 판매하고 있으며 북한은 한국인의 개인정보를 팔아서 매년 300억원 이상의 고수익을 얻는 것으로 알려졌다.
매일 업데이트되는 한국의 개인정보는 북한에서 중국으로 유입되어 보이스피싱에 활용되고 있다. 영화 '보이스'에는 다양한 피싱기법이 소개되고 있고 서울중앙지검의 검사들에게도 서울중앙지검이란 피싱 전화가 가는 정도이다. 보이스피싱 조직은 심박스란 기기를 한국에 두고 전화만 중국에서 걸어 010으로 발신자표시가 되는 더욱 지능화한 기법도 사용하고 있다. 사이버보안 당국은 걸려오는 전화가 국제전화임을 강조하여 안내하도록 하거나 피싱에 악용된 휴대폰의 단말기고유식별번호 (IMEI)를 추적하여 즉시 차단하는 방법도 추진하고 있다.
위와 같은 엄연한 현실에 직면하고 있는 이상 보이스피싱에 신경 쓰는 것처럼 악성코드나 랜섬웨어에 감염되지 않기 위한 각별한 노력도 필요하다. 우선 낮선 매일을 열지 말고 둘째 보안에 취약한 사이트는 방문하지 않는 것이 바람직하다. 공공기관에서는 매년 정보화취약성을 검사하는 훈련용 메일을 보내고 있는데 정교하게 만들어 일반인들은 대부분 열어보도록 설계되어 있다.
셋째 운영체계(OS)는 최신버전으로 업데이트하여 사용하는 것도 바람직하고 넷째 보안에 취약한 메신저의 사용은 자제하는 것이 바람직하다. 위에서 살펴본 플로리다 올즈마의 수도시스템 공격은 오래된 OS의 보안취약점을 활용한 정황이 있다. 물론 북한 등은 보안업데이트 서버의 취약성을 악용하기도 하며, 산업용 설비로 활용되는 오래된 시스템은 장치드라이버가 없어 업그레이드가 불가능한 경우도 존재한다.
만약 랜섬웨어에 감염되면 1개 제품의 해독에만 3~4개월이란 오랜 시간과 노력이 소모된다. 해독에 성공하는 비율은 20% 정도이므로 가급적이면 랜섬웨어에 대응하여 시스템을 사전에 백업하는 것이 바람직하다. 전통적인 백업방식으로 거론되던 3-2-1백업 방식은 이제는 4-3-2 백업으로 변모하고 있다. 백업본은 4개 이상, 3개의 다른 미디어에 보관하되 2개의 장소에 보관해야 한다는 것이다.
전문가들은 백업에 있어서 내용변경이 불가능한 클라우드의 백업시스템을 활용하고 오프라인 상태로 분리된 테이프 드라이버나 하드디스크 등에도 반드시 사본을 저장할 것을 권장하고 있다.
다양한 IOT장비들의 등장은 우리들의 삶을 편리하게 하고 공공복리에 크게 기여하고 있다. 하지만 건전하고 안전한 정보통신 네트웍을 위하여 사이버안보를 책임지는 다양한 기관들의 노력이 중요하지만 인터넷 사용자 개개인의 관심과 주의도 날마다 이어져야할 것이다.
[필자약력] 여정현
서울대학교 법과대학을 졸업하고 대우그룹 회장비서실, 안양대 평생교육원 강사, 국회사무처 비서관 등을 지냈다.