해킹 대응, '적'을 모르면 시작도 없다

올해 우리 사회를 충격에 빠뜨린 대형 해킹 사건들이 연이어 발생했다. 4월에는 국내 최대 통신사인 SKT의 내부 시스템이 3년 이상 외부 침입에 노출된 상태였던 사실이 드러났다. 해커들은 2022년 6월 이미 SKT 내부 서버에 침투해 악성코드를 심어 놓고 잠복하다가, 지난 4월 말 언론·정부 발표 기준으로 약 9.7GB 규모의 전 가입자 수준 유심 관련 정보가 유출된 것으로 밝혀졌다. SKT측은 민감 정보가 유출되지 않았다고 밝혔지만, 3년 가까이 이어진 침입이라는 사실 자체가 국민에게 큰 충격을 안겼다.

불과 몇 달 뒤인 8월에는 거대 금융사 롯데카드가 해커의 표적이 되었다. 8월 12일 해커는 롯데카드의 온라인 결제 서버에 우회 침투해 악성코드를 설치했고, 사흘 후인 8월 14일부터 대규모 고객 데이터를 외부로 탈취하기 시작했다. 그러나 롯데카드는 8월 31일이 되어서야 해킹 징후를 인지하고 관계 당국에 신고했다. 당국에 보고된 내용에 따르면 그 사이 해커의 손에 넘어간 데이터는 297만 명의 고객 정보로, 이 중 약 28만 명의 경우 카드번호와 유효기간, CVC 등 결제에 악용될 수 있는 핵심 정보까지 침해된 것으로 확인되었다. 롯데카드는 뒤늦게 피해 고객 전원에게 부정 사용 시 전액 보상을 약속하고 카드 재발급 등의 조치를 내놓았지만, 10월 9일 현재까지도 '공격자의 정체'에 대해선 명확한 발표가 없는 상태다. 수백만 명의 정보가 유출되었는데도 '누가, 왜 이런 짓을 벌였는가'에 대한 답을 찾지 못했다는 사실이, 피해자들의 분노와 불안감을 더욱 키웠다.

한편 SKT 사태의 여진이 가시기도 전에 KT에서 또 다른 사건이 터졌다. 9월 초 드러난 KT 무단 소액결제 해킹 사건은 해커들이 통신망 인프라의 빈틈을 노린 새로운 전술이었다. 이들은 불법 초소형 기지국 장비, 일명 '유령 기지국'을 차량에 싣고 수도권 일대를 돌아다니며 특정 지역의 KT 휴대전화 가입자 신호를 몰래 가로챘다. 그렇게 빼낸 가입자 식별정보(IMSI)를 악용해 당사자가 모르는 사이 수십만 원대의 모바일 상품권을 구매하거나 교통카드를 충전하는 등 소액 결제 범죄를 저질렀다. 8월 27일 전후부터 피해 신고가 접수되기 시작해 이후 수도권 여러 지역으로 확산되었고, 9월 22일 경찰 발표에 따르면 피해자 214명, 피해액 약 1억3천만 원에 달하는 조직적 범행으로 확인되었다. 다행히 9월 16일 경찰이 용의자 2명을 검거하면서 수법의 전말이 일부 밝혀졌지만, 이번 사건이 통신 인프라의 허점을 노린 해킹이 현실화되었다는 점에서 충격을 주었다.

SKT부터 KT, 롯데카드까지 국민 생활과 밀접한 기간산업들이 연이어 사이버 공격을 당하면서 국가 인프라 보안에 대한 신뢰가 뿌리째 흔들렸다. 그러나 더 심각한 문제는 이들 사건에서 공통적으로 드러난 허점이었다. 기술적 취약점이나 대응 지연도 문제였지만, 그보다 근본적으로 '도대체 누가 배후이며, 왜 이런 공격을 벌였는가'에 대해 누구도 명쾌하게 답하지 못하고 있다는 점이다.

KT 해킹의 배후는 고도화된 지능형 지속 공격(APT) 수법과 대규모 침투 기간으로 볼 때 국가 배후 해킹 그룹의 소행일 가능성이 거론되지만, 아직까지 공격자의 정체를 공식 특정하지 않았다. 롯데카드 해킹 역시 수백만 건의 금융정보를 노린 중대 범죄였음에도 주범이 누구인지 불투명하다. KT 사건의 경우 직접 실행범은 검거되었지만, 이들의 배후나 조직적 연계 여부는 여전히 규명 중이다. 특히 이번에 체포된 용의자들이 언론 보도 기준, 중국 국적 용의자 포함이라는 점에서, 중국 배후 해킹 그룹과 연결되어 있는지 의문이 제기되기도 한다. 요컨대 사건은 잇따르는데, 진정 책임을 물을 대상은 누구인지를 분명히 밝혀내지 못하는 현실이 드러난 것이다.

복원력만으론 부족... 귀속 분석을 표준 절차화하고 법적 근거를 갖춰야

지금까지 국내에서 발생한 대부분의 사이버 공격 대응은 사고 수습과 재발 방지 대책 마련에 초점이 맞춰져 있었다. 침해를 당하면 시스템을 복구하고 보안을 강화하며, 피해 고객들에 대한 보상 대책을 내놓는 식이다. 물론 이러한 사후 조치도 중요하다. 그러나 근본적인 해결을 위해 간과되어 온 핵심이 있다. 바로 '공격자를 식별하는 일', 다시 말해 누가 우리를 공격했는지 밝혀내는 작업이다. 이는 보안업계에서 흔히 귀속(Attribution) 분석이라 불리는 단계로, 해킹의 기술적 정황을 넘어 범죄의 주체를 특정하는 일이다.

일각에서는 "어차피 공격 원점을 식별하기도 어려운데 복구와 예방(=사이버복원력)에 집중하는 게 낫지 않느냐"라는 반론을 제기하기도 한다. 피해 복구와 시스템 강화에 자원을 투입하는 편이 사업 연속성 측면에서 효율적이지 않느냐는 주장이다. 하지만 달리 생각할 수도 있다. 만약 우리 집에 도둑이 들었다고 가정해보자. 이 때 도둑이 낯선 사람인 경우와, 알고보니 이웃이었던 경우는 완전히 다른 이야기다. 공격자가 누구인지에 따라 대비책이 달라질 수밖에 없다.

이렇듯 기본적으로 모든 다툼에 있어서 '적을 알지 못한다'는 것은 마치 안갯속에서 싸우는 것과 같다. 해킹의 배후를 모른 채 무작정 방어만 강화하는 것은, 마치 범인이 어떤 수법으로 다시 올지 모른다는 두려움 속에 온갖 문단속만 거듭하는 격이다. 매번 사건이 날 때마다 해당 기업이나 기관만 호되게 질책하고 보안 강화를 주문하는 땜질식 대응이 반복될 뿐, 정작 공격자의 칼끝은 계속 살아있어 언제고 다른 표적을 노리는 상황이 이어진다.

사실 올해 SKT, KT, 롯데카드 사건에서도 피해 기업들의 미흡한 대응과 책임 문제가 도마 위에 올랐지만, 그들을 정녕 곤란하게 한 '적'들은 여전히 어둠 속에서 다음 목표를 준비하고 있을지 모른다. 우리들의 분노와 노력의 방향이 결국 엇나가고 있는 셈이다. 하지만 이는 반대로 공격자를 특정하면 그들이 누구며, 왜 우리를 노렸는지, 다음에는 어떤 전술을 쓸지에 대한 구체적인 지식을 얻게 된다는 것과 같다.

사이버 공간에서 '적'을 식별한다는 것

물론 사이버 공간에서 공격자를 식별하는 일은 결코 쉽지 않은 과제다. 해커들은 정교한 수법으로 자신의 흔적을 은폐하고, False Flag(타 조직의 공격 행태를 흉내 내는 위장 전술)로 수사를 교란한다. 예컨대 악성코드에 다른 국가의 언어로 된 주석을 남기거나, 공격 IP 경로를 제3국을 경유하도록 꾸며 아예 엉뚱한 주체가 배후인 것처럼 속이는 식이다. 실제 사이버 공간에서의 공격자 식별은 어디까지나 '높은 확률의 추정'일 뿐인 경우가 많으며, 100% 확정적 증거를 얻기 어려운 분야다. 따라서 공격자에 대한 공개적 지목에는 신중함이 필요하다. 자칫 했다가는 외교 문제로 비화되거나, 법적 책임을 물을 때 증거가 부족해 곤란을 겪을 수도 있기 때문이다.

이 때문에 국력이 강한 나라일수록 오히려 공격자 공개에 대한 부담이 적고 적극적인 편이기도 하다. 충분한 증거 수집 능력과 국제적 영향력을 갖춘 국가는 해킹 배후를 지목해도 감당할 자신이 있지만, 그렇지 못한 나라는 섣불리 이름을 공개하기 어려운 현실이다. 그럼에도 불구하고 불확실성을 이유로 식별 자체를 포기한다면, 우리는 매번 어둠 속의 적과 싸우는 상황에 놓이게 된다. 어렵지만 반드시 풀어야 할 숙제가 바로 공격자, 즉 적을 식별해야 하는 이유인 것이다.

국제사회에서는 이미 사이버 공격자 식별과 대응을 위한 다양한 절차와 개념이 논의되고 축적되어 있다. 미국 등 사이버 강국은 정부 차원의 체계적인 대응 프로세스를 갖추고 있다. 예컨대 미국은 심각한 사이버 공격 발생 시 2016년 7월 26일 발표된 '미국 대통령 정책지시'(PPD-41)에 따라 ① 사고 인지 → ② 피해 규모·심각도 평가 → ③ 공격자 식별 및 공개 여부 결정 → ④ 대응 조치 유형 선정 → ⑤ 대응 실행의 단계를 밟는다. 여기서의 '대응'이란 단순한 기술적 복구가 아니라, 국가·단체·개인 등 식별된 공격자에 대한 정치·외교적 조치를 뜻한다.

실제로 미국은 2014년 소니픽쳐스 해킹 사건에서 북한의 소행임을 밝히고 법적 제재와 국제 수배 조치를 병행했으며(이와 관련 북한은 해킹 연루 혐의를 부인했다 - 편집자 말), 2013년 APT1 해킹 사건에서는 중국 인민해방군 장교들을 기소하며 외교적 항의까지 이어갔다. 이처럼 미국은 공격자 식별 이후 법적·외교적·정치적 수단을 연계한 종합 대응을 수행해왔다. 이처럼 공격자 식별 → 공식 발표 → 제재 및 기소로 이어지는 실전적 대응은, 사이버 공격에 실질적 대가를 부과하여 재발을 억제하려는 효과를 노린다.

물론 이러한 공격자 공개와 응징이 항상 쉬운 일은 아니며, 상당한 수준의 증거 확보와 국제사회의 지지가 뒷받침되어야 가능하다. 특히 배후로 타국 정부가 의심되는 사이버 공격의 경우, 자칫 국가 간 외교 갈등으로 번질 위험도 있다. 그럼에도 사이버 억지를 위해서는 공격자를 끝까지 추적해 책임을 묻는 자세가 반드시 필요하다는 점은 분명하다. 보이지 않는 적에게 일방적으로 당하기만 해서는, 다음 번 더 큰 공격을 막기 어렵기 때문이다.

한국형 사이버 대응 체계, '공격자 식별'에 달렸다

이러한 공격자 식별 역량은 단순한 기술 문제가 아닌, 국가 사이버 주권의 핵심 요소다. 사이버 주권이란 물리적 영토가 아닌, 우리 네트워크 공간을 외부 위협으로부터 스스로 지켜낼 수 있는 능력을 의미한다. 이때 가장 중요한 것은 '누가 침범했는가'를 정확히 밝혀내고, 그에 따라 대응 전략을 세울 수 있는 주도권을 갖는 일이다. 지금까지 우리는 해킹 피해의 책임을 오롯이 방어하는 쪽, 즉 피해 기관에만 묻는 경향이 강했다. 그러나 앞으로는 누가 공격했고 그에 대해 국가가 무엇을 할 것인가까지 묻고 답하는 적극적 사이버 안보 패러다임으로 전환해야 한다.

이제 한국의 사이버 안보 대응 체계에는 무엇이 필요할까? 우선 우리의 현실을 직시해야 한다. 앞서 언급했듯 한국은 그동안 사이버 공격에 대응하면서도 공격자에 대한 공식적 조치를 거의 취하지 못했다. 실제 국가 배후가 확실시되는 사이버 공격에 대해 정부 차원에서 대응한 사례가 극히 드물다는 평가도 있다. 예를 들어 2018년 평창 동계올림픽 개막식 해킹의 경우, 미국과 영국 등 서방 국가들은 배후로 러시아를 지목하고 러시아 군 정보요원 6명을 기소하며 공동 규탄했지만, 우리 정부는 공개 귀속과 공동 규탄에 지나치게 신중했다. 이처럼 우리는 공격자의 존재를 애써 숨기거나 침묵한 채 대내적인 보안 강화 조치에만 주력해온 경향이 있었다. 사이버 공격 자체에 취약했던 과거를 고려하면 이해 못할 바는 아니지만, 이제는 사이버 안보 패러다임의 전환이 필요한 시점이다. 사고 후 단발식 처방만으로는 대규모 침해가 또 발생할 것이 자명하다. 이제 우리도 공격자 식별을 중심에 둔 능동적 사이버 대응 체계로 거듭나야 한다.

이를 위한 핵심 과제는 다음과 같다.

△공격자 식별 전담 기관 및 매뉴얼 구축: 사이버 침해사고 발생 시 초기 대응부터 공격자 추적까지 일관성 있게 처리할 수 있도록, 정부 차원의 사이버 공격 대응 매뉴얼을 체계적으로 정비할 필요가 있다. 현재 과기정통부(KISA), 국정원, 군, 경찰 등으로 분산된 대응 조직은 정보 공유와 의사결정에 한계가 있으므로, 각 기관 간 유기적 연계를 강화하고 역할을 명확히 구분해야 한다. 이를 위해 민·관 협력 기반의 사이버 공격자 식별 전담 기관의 설치가 필요하다. 해당 기관은 기술적 포렌식, 악성코드 분석 역량을 중심으로 운영하되, 국정원·경찰 등 기존 국가 정보기관과의 협업 체계를 통해 첩보 수집 및 배후 판단 기능까지 연계하는 방식이 바람직하다. 이 기관은 사고 발생 직후 신속히 분석을 개시하고, 공격 유형과 특성에 따라 식별 절차를 단계적으로 진행하는 체계를 갖춰야 한다. 또한, 대응 매뉴얼은 상술한 미국의 PPD-41처럼 표준화된 발동 기준을 명시하고, 위협, 자산, 첩보 기반의 3축 대응 틀을 기반으로 해야 한다. 동시에 '사이버 통합조정그룹(C-UCG)' 방식의 협의체를 구성하여 각 참여 기관의 임무와 책임을 사전에 규정하고, 평시·위기 시 대응 체계를 이원화함으로써 실효성 있는 공동 대응을 도모해야 한다.

△지속적 위협 모니터링 및 국제 공조 강화: 사고 발생 이후에야 급하게 대응하는 사후약방문식 대응에서 벗어나기 위해, 평시에도 지속 가능한 위협 분석 및 감시 인프라를 구축해야 한다. 이를 위해 국내 유입 트래픽과 악성코드 샘플을 24시간 자동 수집·분석하여 APT 해킹 그룹의 활동 징후를 실시간으로 포착하는 통합 모니터링 센터가 필요하다. 이 센터는 앞서 제안한 식별 전담기구 내에 설치하여 상시 운영되도록 하고, 금융·방산·통신 등 국가 핵심 인프라별로 전문 분석 조직을 연계하여 부문 간 위협 정보를 실시간 공유해야 한다. 이를 통해 "현재 우리를 노릴 수 있는 해킹 그룹은 어디인가?"라는 질문에 지속적으로 답할 수 있는 체계를 확립해야 한다. 또한 사이버 공격은 국경을 넘는 위협이므로, 효과적인 대응을 위해서는 국제 공조가 필수적이다. 한국 정부는 UN 등을 통해 사이버 공간에도 국가 주권과 국제법이 적용되어야 한다는 입장을 밝혀왔으며, 이를 토대로 한·미 동맹 및 글로벌 파트너들과의 위협 정보 공유 채널을 상시 가동해야 한다. 이는 단순한 기술 협력에 그치지 않고, 공격의 배후 세력을 규탄하고 책임을 명확히 하는 국제 여론 형성에도 기여할 수 있다. 특히, 모니터링 범위에는 이동통신망(RAN) 계층까지 포함하여 신호 세기 및 PCI(Pseudo Cell ID) 이상 탐지, 5G 가입자 식별 보호(SUCI) 우선접속 기준을 운영지침에 명시해야 한다. 아울러 인터폴, MLAT(범죄인 인도조약), 클라우드 데이터 보전 명령 등을 신속히 연계할 수 있도록 국제 공조 채널을 고정화하고, 이를 사이버 위협 대응 체계 내에 제도적으로 내재화할 필요가 있다.

△법·제도적 뒷받침 및 역량 강화: 식별된 사이버 공격자에게 국내외적으로 책임을 물을 수 있도록, 사법·행정·외교적 수단을 아우르는 법·제도적 기반을 정비해야 한다. 특히 현행 형법, 정보통신망법, 전자금융거래법 등은 민간 차원의 '해킹백(공격자에 대한 반격)'을 금지하고 있음을 전제로, 국가가 수행하는 합법적 차단·무력화 조치의 요건과 절차를 명확히 규정할 필요가 있다. 이를 위해 법원 영장 기반의 도메인·IP 등 악성 인프라 신속 차단 및 압수 절차를 마련하고, 긴급 차단 명령의 발동 요건과 사후 사법 심사 절차를 명문화해야 한다. 또한 클라우드 및 통신사업자의 협력 의무를 명확히 하여 로그 보존과 데이터 보전 명령의 표준화를 추진하고, 인터폴·MLAT 등 국제 사법공조 체계를 강화해 부다페스트 협약과 추가의정서 수준의 전자증거 공조 체계를 확립해야 한다. 이와 함께 제재, 기소, 자산 동결 등 대외 조치 실행을 위한 국내 법적 근거도 정비할 필요가 있다. 아울러 NATO의 탈린 매뉴얼을 참고해 한국형 사이버 대응 매뉴얼을 마련함으로써, 사이버 자위권과 상응 조치의 범위, 책임 주체, 통제 장치를 명확히 해야 한다. 영장 기반 차단·압수, 긴급 차단 발동 및 사후 심사 절차, 통신·클라우드 협력 의무, 국제 사법공조 표준화, 그리고 부다페스트 협약 이행을 포함한 제도적 정비가 종합적으로 추진되어야 한다.

△사이버 주권 수호와 국제 규범 주도: 국가 핵심 인프라에 대한 상시 모니터링 체계와 침해 시 신속 대응 체계를 갖추는 동시에, 사이버 공격에 대해 국가 차원의 단호한 대응 원칙을 확립해야 한다. 사이버 공간에서도 주권은 보호되어야 하며, 이에 대한 명확한 입장과 실효성 있는 대응 수단이 국가 안보의 필수 요소로 자리 잡아야 한다. 아울러 국제사회에서도 한국은 책임 있는 사이버 강국으로서의 역할을 더욱 강화해야 한다. 현재 글로벌 차원에서 사이버 공간에 적용될 보편적 규범이 충분히 확립되지 않아, 규범 공백과 책임 회피가 지속되고 있다. 이에 따라 한국은 UN 정보안보 OEWG(개방형 작업반) 등 국제 논의에 적극 참여해, 사이버 공격 대응 원칙에 대한 국제 규범 제정 과정에서 주도적인 역할을 수행해야 한다. 특히, 공격 귀속 판단과 공동 대응, 대응 수단의 정당성 확보를 위한 국제 메커니즘 설계에 능동적으로 기여해야 하며, 사이버 평화 외교를 통해 억제력 중심의 글로벌 질서를 구축하는 데 기여할 필요가 있다. 이러한 노력은 국제사회에서 사이버 공격을 억제할 제도적 환경을 조성할 뿐만 아니라, 국내 대응 매뉴얼에 공격 귀속의 증거 등급 기준, 정정 및 재평가 절차, 오인 귀속 보정 기준 등을 포함함으로써 대응의 정당성과 신뢰성을 동시에 확보할 수 있도록 해야 한다. 더불어, 신규 UN 사이버범죄 협약 등과의 정합성을 바탕으로, 공동 귀속 판단과 공동 제재의 국제 메커니즘을 선도적으로 설계·제안할 수 있는 기반을 마련해야 한다.

보이지 않는 적과의 전쟁, 지금이 변곡점이다

큰사진보기

연이은 해킹 사태는 한국의 디지털 주권에 근본적인 질문을 던졌다. 세계 최고 수준의 IT 강국이며, 국제전기통신연합(ITU)의 GCI(국제사이버보안지수)는 194개국 중 최상위 1등급을 달성했지만, 정작 실전에서는 갈 길이 멀다는 현실이 드러난 것이다. 이제 사이버 주권 확보와 국제 수준의 대응 능력 강화는 선택이 아닌 필수 과제가 되었다. 다행히 정부도 최근 해킹 사태들을 엄중히 받아들여 국가 차원의 종합대책 마련에 착수한 것으로 보인다. 그러나 그 대책에는 반드시 '공격자 식별 및 추적'을 중심에 둔 전략적 전환이 담겨야 한다. 한국형 사이버 대응 체계의 핵심은 공격자 식별이라는 점을 명심하고, 사고 수습을 넘어 책임자 규명과 응징까지 포괄하는 종합 대응 시스템을 기획해야 한다.

물론 사이버 안보 분야에서 한국이 처한 외교·안보 현실을 감안할 때, 발생하는 모든 사이버 공격에 매번 똑같은 강도로 대응하기는 어려울 수 있다. 경우에 따라서는 공개적인 발표보다 비공개 경로의 대응이나 신중한 수위 조절이 필요한 상황도 있을 것이다. 이러한 전략적 선택의 여지는 충분히 남겨두되, 중요한 것은 우리가 그런 선택을 할 수 있을 만큼의 역량과 준비를 갖추는 일이다.

더 이상 우리 한국이 사이버 공간에서 '당하기만 하는 나라'여서는 안 된다. 누가 우리를 공격했는지 끝까지 밝혀내고, 필요하면 국가가 나서서 응분의 책임을 물을 수 있어야 한다. 그래야 비로소 우리의 사이버 주권, 나아가 국민과 기업의 디지털 안전을 지킬 수 있다. 눈앞의 편안함보다 미래의 위험을 직시하고, 공격자 식별을 중심으로 한 능동적 사이버 대응 체계 구축에 사회적 역량을 모을 때다.

큰사진보기