-
네메시스, 엑스퍼트, 위저드, 엘리트, 구루, 테크니션, 스크립트 키디, 뉴비, 레이머.
일반인들이 ‘해커’라고 부르는 사람들을 가리키는 말이다. 이 중 한국수력원자력(이하 한수원)을 공격한 ‘자칭 해커’는 어느 정도 수준일까? 아무래도 ‘3류 기술을 가진 자칭 해커’일 가능성이 높아 보인다. 그 이유는 한수원 등 한국 공공기관과 기업들의 보안 수준 때문이다.
YTN “한수원, 보안점검서 스턱스넷 작동 중인지도 몰라”
-
24일 YTN은 올 봄과 가을에 있었던 원자력 발전소 보안점검 사실을 단독보도 했다.
보안점검단은 봄에는 월성 원전, 가을에는 고리 원전을 불시에 찾아 보안점검을 했다고 한다. 사이버 테러 또는 해킹으로 인해 위기가 발생했을 때의 대응 수준을 알아보는 것이었다.
보안점검단은 원전 시뮬레이션 프로그램에 ‘스턱스넷’이라는 악성코드를 심은 뒤 가동시켰다.
‘스턱스넷’은 미국과 이스라엘이 공동개발한 것으로 추정되는 악성코드다. 초기형은 獨지멘스社가 만든 SCADA(Supervisory Control And Data Acquisition. 감시 제어 및 데이터 취득, 산업용 대규모 시스템 프로그램) 소프트웨어만을 공격했다.
‘스턱스넷’은 평소에는 쥐죽은 듯 가만있다가 보안 프로그램이 가장 취약한 시기인 ‘제로데이’를 노려 활동을 개시한다.
‘스턱스넷’이 처음 세상에 모습을 드러낸 것은 2009년 이란. 당시 지멘스社가 만든 SCADA 프로그램을 사용하던 이란은 핵폭탄에 사용할 원심분리기 운영프로그램이 이 ‘스턱스넷’에 감염되는 바람에 작업에 실패했다.
이란에서는 핵물질 생산용 원심분리기 외에도 6만여 대의 PC가 감염돼 큰 피해를 입었다. 감염률은 갈수록 늘어 2012년 말 이란 내 60%의 PC가 감염된 것으로 집계됐다.
이후에 발견된 ‘변종 스턱스넷’은 원격 통합 감시제어시스템을 겨냥해 ‘프로그램 로직 제어기(PLC)’에 침투해서 기존의 운영 프로그램들을 개조하는 능력까지 갖췄다.
이 ‘스턱스넷’으로 피해를 본 나라는 중국, 인도네시아, 미국, 인도, 영국, 말레이시아, 파키스탄 등이다. ‘스턱스넷’의 위력을 구경한 이란과 북한은 이를 응용한 변종 스턱스넷을 만들어 낸 것으로 추정된다.
물론 ‘스턱스넷’이 유명해지면서 여기에 대응하는 수단들도 많이 나왔다. 이런 ‘스턱스넷’을 눈 앞에서 집어넣었음에도 원전 운전직원은 3시간이 지나도록 ‘스턱스넷’이 작동 중이라는 사실을 인지하지 못했다고 한다. 원자로 온도가 비정상적으로 높아졌는데도 말이다.
한수원의 이런 ‘보안의식 해이’는 감사원에서도 지적받은 바 있다. 감사원은 2012년 12월 고리 원전본부 제1발전소의 원전 제어망 컴퓨터가 악성코드에 감염돼 있고, 그럼에도 원전이 네트워크와 분리되어 있지 않았다는 감사결과를 발표했다.
한수원 측은 감사원의 지적이 나온 뒤인 2013년 3월 원전과 인터넷 망을 분리했다고 밝혔다.
그런데 한수원의 주장은 매우 위험한 사실을 드러냈다. 이 말대로라면, 2011년 9월 ‘대정전’ 이후 11월 새로 취임한 홍석우 지식경제부 장관이 발전소와 전력망의 보안을 점검한 뒤 한국전력과 한수원에 “모든 발전소와 인터넷 망을 분리시키라”고 지시한 것을 아예 무시했다는 뜻도 된다.
이런 수준의 한수원을 해킹하는 데 과연 ‘최고 수준의 해커’가 필요한 걸까.
“이것도, 저것도, 해킹은 전부 다 북한”, 제시 근거 보니….
지난 15일 첫 번째 자료가 인터넷에 공개된 이래 한수원의 내부 자료는 모두 5차례 인터넷에 뿌려졌다. 한수원을 해킹했다고 자칭하는 ‘원전반대그룹’은 트위터를 통해 한수원과 정부를 조롱하는 메시지를 남겼다. -
그런데 여기서 이야기가 이상한 방향으로 흐르기 시작했다. ‘원전반대그룹’이 정부를 조롱하면서 ‘아닌 보살’이라는 북한식 표현을 사용했고, 검찰 합동수사단의 추적 결과 국내 가상사설망(VPN)을 사용한 해커의 실제 접속지가 중국 선양이라는 점을 주요 근거로 내세우고 있다.
또 다른 쪽에서는 수십만 페이지에 달하는, 방대한 원전 자료를 속속들이 잘 알고, 이를 분류했다는 점을 들어 “대규모 조직이 없다면 이런 협박은 불가능하다”며 북한의 소행이라고 결론 내리고 있다.
‘원전반대그룹’이 “요구를 들어주지 않으면 원전 가동을 중단시키겠다고 협박했는데 이런 작업을 하려면 대규모 인력이 필요하다”며 “북한의 소행”이라고 주장하는 사람들도 있다.
24일 들어서는, 해커가 다섯 번째로 한수원 내부 자료를 공개한 것이 북한의 인터넷 망이 복구된 23일 오후였다는 것을 근거로 내세워 “북한의 소행”이라고 주장하는 사람들도 나왔다. 심지어는 “악성코드를 작성하려면 어셈블리어에 정통해야 하는데 최근 해커들은 대부분 이걸 배우지 않는다”면서 “북한의 소행”으로 지목하는 황당한 주장까지 제기되고 있다.
“한수원 해킹, 北소행으로 판단하기 어렵다”
“한수원 해킹은 북한의 소행”이라는 주장에 반대하는 의견도 적지 않다.해커가 트위터에다 ‘아닌 보살’이라는 말을 일부러 사용해 수사에 혼선을 주려 했을 가능성이 높고, 한수원에서 발견한 악성코드가 지금까지 북한이 한국을 공격할 때 사용했던 악성코드와 일치하지 않는 점 등을 그 근거로 내놓고 있다.
해커의 접속 IP가 중국 선양으로 나왔다는 점 또한 “북한의 소행”으로 단정 짓기 어렵다는 지적도 나온다. 중국 동북 3성 지역에는 한국을 대상으로 한 각종 범죄조직들도 활동하고 있기 때문이다.
이런 가운데 IT 전문 팀블로그 매체인 ‘블로터닷넷’은 재미있는 정보를 제시했다. 중국 인터넷 업체의 망을 빌려 쓰는 북한 체신성 IP 대역과 북한 인민군 정찰총국 산하 사이버부대가 태국 업체와 함께 만든 ‘스타조인트벤처’의 IP 대역이다.
스타조인트벤처 관리 IP: 175.45.176.0 ~ 175.45.179.255
북한의 중국 업체 임대 IP: 210.52.109.0 ~ 210.52.109.255IT 전문매체인 ‘블로터닷넷’조차 한수원 해커의 정체에 유보적인 입장을 보이고 있는 이유는 현재 수사 중인 사건이라는 점 외에도 한수원 등 한국 정부관련 기관들이 ‘보안’을 이유로 자신들의 온라인 보안 수준이 어느 정도인지를 공개하지 않기 때문이다.
2011년 9월 만났던 해커 출신 보안 전문가 권석철 대표는 그 때부터 이와 같은 일들을 우려해 왔다. 민간 기업은 물론 한국전력, 한수원 등과 같이 국가 인프라를 관리하는 곳들조차 보안 수준이 형편없다는 지적도 나왔다.
권석철 대표는 당시 인터뷰에서 중요한 지적을 했다.
“지금 우리나라 보안업계는 해킹을 ‘수비자’의 입장에서만 보고 있다. 하지만 해커는 ‘공격자’다. ‘공격자’는 자기가 원하는 시간, 원하는 장소에서 우리를 공격할 수 있다.”
권석철 대표는 한국의 ‘자칭 보안업체’들이 해커들을 제대로 이해하지 못하는 점도 지적했다.“해커들은 자유롭다. 몇 초 만에 해킹을 하는 게 아니다. 먼저 목표물을 찾은 뒤 차근차근 준비를 한다. 쓸 수 있는 모든 수단을 쓴다. 해커는 자기가 원할 때 원하는 방법으로, 원하는 경로를 통해 뚫고 들어온다.
반면 해킹을 막아야 하는 백신업체나 정부, 기업 등은 기존의 바이러스나 악성코드를 분석한 뒤 24시간 365일 방화벽 등으로 방어를 해야 하기 때문에 어쩔 수 없이 ‘한계’에 부딪힌다. 그런데도 지금 우리나라의 거의 모든 곳에서는 ‘해킹을 방어하는 시각’으로 문제를 해결하려 한다.”
한수원 해킹한 ‘원전반대그룹’, 어느 수준?
권석철 대표의 이 같은 지적은 ‘해커’가 되기 위해 공부하는 학생들도 아는 개념이다.해커는 크게 ‘스크립트 키디’와 ‘구루(또는 엘리트)’, ‘위저드’로 나뉜다. 인터넷에서 얻은 악성코드 프로그램을 메일에다 첨부해 보내는 수준의 레이머(Lamer)는 해커로 쳐주지 않는다.
인터넷이나 딥웹(Deep Web)에서 구할 수 있는 해킹 프로그램을 주로 사용하는 ‘스크립트 키디(또는 툴 키드)’부터 해커에 입문한 것으로 친다. ‘스크립트 키디’도 운영체제(OS)나 네트워크에 대한 지식은 비교적 풍부하지만 해커라 부르기는 어렵다고 본다.
대부분의 해킹 툴 사용법을 알고 있으며, 사이트의 취약점을 파악해 공격을 시도하는 해커는 한 단계 높은 ‘디벨로프 키디’라 부른다. 하지만 이들도 기존의 해킹 프로그램을 일부 개량하는 정도이지 직접 악성코드를 제작하는 수준은 아니라고 한다.
이보다 조금 더 나은 이들은 ‘구루(구루 테크니션)’ 또는 ‘세미 엘리트’라 부른다. 대부분의 사회에서는 이 단계부터 해커로 인정한다. 이들은 운영체제의 취약점을 찾아내고, 기존의 악성코드를 개조해 사용하기도 한다. 하지만 침입흔적을 남겨 꼬리가 잡히는 경우가 많다.
한 단계 높은 실력을 가진 이들은 ‘구루 익스피리언드 테크니션’ 또는 ‘엘리트’라고 부른다. 악성코드를 개조해 사용하는 것은 물론 운영체제의 취약점을 파악해 공격한다. 많은 사람들이 ‘해커’라 부르는 단계다. 이들 또한 해킹을 할 때 종종 흔적을 남긴다.
최고의 실력을 가진 ‘위저드’급 해커는 극소수다. 이들은 운영체제의 취약점을 파악한 뒤 흔적을 남기지 않고 원하는 정보를 모조리 빼내는 수준으로 알려져 있다. 이들을 본 사람들은 “방화벽이건 보안 프로그램이건 이들을 막지 못한다”고 평가한다.
이런 ‘위저드’도 그 실력에 따라 ‘엑스퍼트’ ‘네메시스’ ‘킹(데미갓)’으로 나뉜다고 한다.
한수원을 해킹한 ‘원전반대그룹’의 실력은 이 등급 가운데 어느 정도로 봐야 할까.
정부, 모자란 보안 능력 감추려 무조건 ‘北의 소행’ 주장?
권석철 큐브피아 대표는 인터뷰 당시 ‘위저드’급 해커만 해도 국내 보안업체들 수준에서는 해킹을 당했는지도 파악하지 못할 정도라고 설명한 바 있다.해커들이 ‘목표물’을 노리기 시작하면, 몇 달 동안의 준비기간을 거쳐 ‘목표물’의 취약점을 철저히 분석하고 진입방법과 퇴출방법을 모두 만든 뒤에 해킹을 하므로 흔적을 남기지 않는다는 것이다. 이런 ‘위저드’급 해커들은 자신들이 악성코드를 직접 만들고, 한 번 사용한 뒤에는 버린다고 한다.
반면 한수원을 해킹했다는 ‘원전반대그룹’은 흔적을 남기지 않는 수준은 아니었던 것으로 보인다. 여기다 국내 업체의 VPN을 사용해 기관들을 해킹하는 수법은 과거 PC방의 VPN을 활용해 게임 계정을 해킹하던 중국 ‘스크립트 키디’의 소행과 매우 흡사하다. 한수원을 협박하면서 그 대가로 거액을 요구하는 것도 의심스럽다.
-
이밖에 지금까지 공개된 ‘원전반대그룹’의 흔적을 따라가 보면, 이는 북한 정찰총국보다는 중국 조선족 범죄조직의 행태에 가까워 보인다.
중국 조선족 범죄조직은 한국 PC방의 VPN을 해킹하고, 한국에 와서는 공공 와이파이를 사용하며 자신의 위치를 숨기는 것으로 유명하다. 북한식 표현도 자주 사용한다. 게다가 이들의 궁극적인 목표는 이념이나 정치적 목적이 아닌 ‘돈’이다.
이들 중국 사이버 범죄조직들의 실력은 사실 ‘해커’라고 부르기 민망한 수준인 경우가 많다고 한다. 그럼에도 한국 정부와 기업은 지난 10년 동안 중국 사이버 범죄조직들에게 엄청난 피해를 입었다.
불법 도박이나 화상채팅 등 불법 사업을 하려는 국내 조폭이나 불량배들과 중국 사이버 범죄조직이 한국인들의 개인정보와 신용정보를 빼내는 이야기는 더 이상 특별한 소식이 아닐 정도다.
이런 면에서 볼 때 한수원 해킹을 수사하면서, 다양한 방향에서 접근하지 않고, 몇 개의 작은 근거만으로 “북한의 소행”인 것처럼 여론을 조성하는 것은 마치 정부기관과 공기업의 무능력과 무지를 숨기기 위해, 직접 수사를 할 수 없는 ‘북한’의 소행으로 몰아가는 게 아닌가 하는 ‘음모론’을 만들어 낼 뿐이라는 지적이 나온다.
일부 보안 전문가들이 한수원의 보안 수준에 경악한 불시 점검단의 이야기, 지식경제부 장관의 지시에도 여전히 원전에다 인터넷을 연결해 놓았더라는 감사원의 지적을 이번 해킹 사건의 ‘중요한 열쇠’로 거론하는 이유도 같은 맥락이다.