미 사이버사령부가 최근 북한 연계 악성 소프트웨어 표본을 공개한 데 대해 보안업계가 큰 관심을 보이고 있습니다. 세계적인 보안업체인 `파이어아이’의 앤드루 톰슨 분석관은 이에 대해, 북한이 기존 악성 프로그램을 중도 폐기하고 큰 비용을 들여 새로 개발하는 것을 노린 사이버사령부의 전략으로 해석했습니다. 지난 2009년부터 8년간 미 국방부와 해병대 사이버사령부의 방첩, 대인 첩보를 담당했던 톰슨 분석관을 김동현 기자가 인터뷰했습니다.
기자) 사이버사령부가 지난 8일 북한 해커들이 제작한 것으로 추정되는 악성 프로그램 11종을 공개했습니다. 어떤 의도가 있다고 보시나요?
톰슨 분석관) 사이버사령부는 이번 악성 프로그램 표본의 정확한 출처를 밝히고 있지 않습니다. 그러나, 공개 시점이 북한의 정권 수립일 직전이었다는 점에서 북한에 신호를 보내는 명백한 의도가 있다고 생각합니다. 북한에 ‘너희가 제작한 악성 프로그램 표본을 찾아낼 수 있고, 너희가 자주 표적으로 삼는 보안 취약점(백도어)에 대한 파악이 끝났으며, 따라서 북한에 책임을 물을 수 있다’는 신호를 보냈다는 점이 매우 흥미롭습니다.
기자) 전문가들은 이번에 공개된 악성 소프트웨어가 북한의 해커조직인 히든 코브라가 제작한 신형 백도어 트로얀인 멀웨어 홉라이트의 일종으로 보고 있습니다. 위협 정도가 어떤가요?
톰슨 분석관) 저희는 자체적으로 ‘교수형 집행관(HANG MAN)’이라고 명명해 분류했습니다. 컴퓨터의 보안 취약점(백도어)에 설치되는 멀웨어의 일종으로 원격으로 조종할 수 있는 점이 주요 특징입니다. 설치 뒤 마음대로 파일을 올리거나 내려받을 수 있고요, 심지어 컴퓨터 자체를 완전 망가뜨리는 파괴 공작도 원격 조종을 통해 가능한 것으로 분석됩니다.
기자) 어떤 소프트웨어든 설계 구조를 보면 누가 제작했는지를 파악할 수 있는 ‘디지털 지문’을 남긴다고 흔히들 이야기합니다. 일각에서는 이번 공개가 이미 알려진 악성 프로그램을 기반으로 하는 만큼 새로울 게 없다는 비판도 있는데, 어떻게 보시나요?
톰슨 분석관) 새로울 게 없다는 점은 잘못된 인식입니다. 일부 보안업계에서는 이미 악성 프로그램의 작동방식이 알려지면 용도 폐기된다고 착각을 하는 경우가 있습니다. 하지만 현실은 다릅니다. 한번 개발된 악성 프로그램은 설치 뒤 수년 동안 사용되는 경향이 있습니다. 모체가 된 악성 프로그램을 기반으로 다양한 파생형을 만들어 재사용할 수 있으니까요. 비용을 아끼려고 파생형을 계속 만들기 때문에 핵심 구조를 파악하면 어느 단체가 만들었는지 쉽게 파악할 수 있습니다, 은폐와 은닉이 생명인 사이버 해킹에서 북한에 귀책 사유를 이끌어낼 수 있는 효과가 있는 것이죠.
기자) 이번 표본 공개로 북한 당국 또는 해커들에게 어떤 효과를 가할 수 있나요?
톰슨 분석관) 악성 프로그램 개발까지는 많은 시간과 금전적 비용, 기술력이 소요됩니다. 높은 기회비용이 발생하기 때문에 앞서 언급했던 것처럼 이미 정체가 파악된 악성 소프트웨어라고 해도 관련 구조를 기반으로 파생형을 만들어 재사용하려는 것이죠. 사이버사령부가 악성 프로그램 표본 구조를 공개함으로써 보안업계는 향후 악성 프로그램의 파생 계열까지 완벽하게 차단할 수 있게 됩니다. 이렇게 되면 북한은 기존 설계 방식을 용도폐기하고 새로운 악성 프로그램을 처음부터 다시 설계해야 하는데 추가적으로 높은 비용이 발생할 수밖에 없다는 이야기죠.
기자) 북한의 전반적인 사이버 역량은 어느 정도 수준인가요? 또 이처럼 비용을 발생시키는 것이 향후 추가 공격에 대한 억지력이 될 수 있다고 보시나요?
톰슨 분석관) 북한의 사이버 역량은 많은 양의 가상화폐를 탈취할 수 있는 상당한 정교함을 보이고 있습니다. 국가적으로 금전 확보를 위해 모든 종류의 불법적 사이버 활동에 개입하고 있고, 성공한 사례도 많이 있습니다. 다만 표본이 공개됨으로써 발생하는 추가 비용은 향후 공격에 집중해야 하는 역량을 새로운 프로그램 개발에 분산시키는 효과를 낳습니다. 나아가 기존 소프트웨어가 북한에서 제작됐다는 점이 공개됨으로써 더이상 익명성을 무기로 활동할 수 없다는 제약까지 붙게 되죠. 익명성이 보장되지 않기 때문에 공격할 때 ‘보복 위협’에 대한 손익계산을 할 수밖에 없습니다.
기자) 사이버사령부는 최근 수면 아래서 사이버 역량 경쟁을 펼쳐 비용의 출혈을 강요하는 이른바 ‘지속적 개입’ 전략을 새롭게 추진하겠다고 밝히고 있습니다. 이번 조치도 그 일환으로 볼 수 있을까요?
톰슨 분석관) 물론입니다. 이번 발표는 수년간 방어에만 치중했던 사이버 사령부 전략의 획기적 변화를 암시하고 있습니다. 적국 또는 해커 단체의 행동 변화를 야기한다는 점에서 보다 적극적인 접근법을 취하고 있습니다. 사이버사령부가 별도의 통합전투사령부로 승격됐다는 점도 고려해야 합니다. 과거에는 갖지 못했던 법적 권한이 부여됐다는 의미이기도 하죠. 상대의 정체를 파악하고, 어디에서 작전을 벌이고 있는지를 파악할 수 있는 이른바 ‘지속적 개입’ 전략을 구사할 수 있게 된 것입니다.
기자) 사이버사령부가 북한을 겨냥했다는 점 외에 이번 표본 공표에서 주목할 대목이 있을까요?
톰슨 분석관) 전략적 모호함을 취하고 있는 점을 주목하고 있습니다. 사이버사령부 외에는 누구도 이번에 공개 표본을 어디에서 구했는지 모릅니다. 몇 년 전부터 설치된 보안 취약 부분(백도어)에서 구했는지, 아니면 북한 해커들의 자체 개발 컴퓨터 본체를 입수했는지, 또는 자체 개발 체계에서 탈취했는지 아무도 모르는 상황이죠. 매우 흥미로운 전개입니다. 이같은 모호한 태도는 북한 당국에 혼란을 주는 효과가 있습니다. 은폐와 은닉이 생명인 환경에서 프로그램 개발 표본이 어떻게 노출됐는지 파악하려고 해도 단서가 잡히지 않는 상황이기 때문입니다.
아웃트로: 지금까지 미국의 보안업체 파이어아이의 앤드루 톰슨 분석관이었습니다. 인터뷰에 김동현 기자였습니다.