본문 바로가기

'잠복기간 5년'…이란 핵개발 막으려 은밀한 공격 나선 미국

중앙일보 2020.02.11 14:51

Focus 인사이드 

 
“우리가 살아가는 방식대로 전쟁을 수행한다.” 미래학자 앨빈 토플러가 『전쟁과 반전쟁』에서 지금 벌어지고 있는 미국과 이란의 극한 대립을 두고 남긴 말이듯 싶다. 13년 전으로 거슬러 올라가는 양국 간 사이버 공방은 어느덧 사이버 전사(戰史)가 되고 있다.

[미국·이란 사이버 전쟁] ①과거
미국, 이란 핵개발 시설 해킹
이란, 사우디·미국 원전 보복
전산망 중단…장비 교체 5개월


 
이스라엘은 2007년 9월 전폭기를 동원해 시리아 원자로를 잿더미로 만든 '오차드 (Orchard)' 작전 이후 이란의 핵시설도 폭격하려다 확전을 우려한 미국이 이를 제지했다. 대신 미국은 부시 행정부 때인 2006년부터 비밀리에 개발해온 사이버 무기를 사용하기로 하고, 이란 핵 프로그램의 핵심인 나탄즈 우라늄 농축시설을 공격 대상으로 정했다.
 
2015년 원전 시설을 방문한 하산 로하니 이란 대통령 [사진=AFP=연합뉴스]

2015년 원전 시설을 방문한 하산 로하니 이란 대통령 [사진=AFP=연합뉴스]

 
미국과 이스라엘은 이스라엘 사막에 있는 디모나 비밀기지에 나탄즈 핵시설에서 사용하는 제어 시스템과 같은 시스템을 갖추고 2008년 말 파괴력 검증을 거쳐 악성코드를 침투시켰다. 이른바 ‘올림픽 게임(Olympic Game)' 작전이다. 미국은 전대미문의 사이버 포문을 열었고, 이는 세계 사이버 군축 경쟁을 불러일으키는 계기가 됐다.
 
악성코드가 핵시설의 제어 시스템을 감염시키면서 우라늄을 농축하는 원심분리기가 원인 모를 오작동을 일으켜 수시로 작동을 멈췄다. 미 국가안보국(NSA)은 운영 상태를 모니터링하는 시스템에 가짜 신호를 보내 정상인 것처럼 조작했고, 이란 과학자들이 해결책을 찾고자 골몰하는 모습과 시설이 붕괴하는 전 과정을 여러 경로를 통해 확인했다.
 
2010년 당시 지멘스의 산업자동화제어 SW 쓰는 인터넷 호스트의 스턱스넷 감염 분포 조사 결과를 보면 이란이 압도적으로 많은 비중을 차지한다. [중앙포토]

2010년 당시 지멘스의 산업자동화제어 SW 쓰는 인터넷 호스트의 스턱스넷 감염 분포 조사 결과를 보면 이란이 압도적으로 많은 비중을 차지한다. [중앙포토]

 
그런데 특정 시스템 내 있어야 할 악성코드가 바깥으로 유출됐다. 내부 혼란을 야기하고 막대한 자원을 소진할 목적으로 침투시킨 악성코드가 계속된 변종 공격으로 코드 오류가 발생한 것이었다. 
 
2010년 6월 벨라루스의 한 보안기업이 이를 발견해 ‘스턱스넷(Stuxnet)’이라 명명했다. 스턱스넷이 세상에 알려진 뒤에도 변종 공격은 계속됐다. 와중에 대(對)이란 스파이 기능을 총망라한  ‘플레임(Flame)’이란 악성코드가 대용량임에도 무려 5년이나 잠복해있다 발견됐다. 플레임이 정보를 빼내면 이를 분석해 스턱스넷이 시스템을 파괴하는 식으로 이란의 핵 개발을 방해해온 것이다. 
 
이란 핵시설 배치 현황 [중앙포토]

이란 핵시설 배치 현황 [중앙포토]

 
사건의 전모를 알게 된 이란은 미국과의 사이버전(戰)을 선포하고 사이버 부대 창설을 발표했다. 이란 혁명수비대는 거셈 솔레이마니가 이끄는 쿠드스군을 비롯해 여러 곳에 사이버 부대를 만들어 전력을 강화했다. 유사시 민간 해커로 가장해 공격할 수 있도록 정부의 어떤 조직에도 속하지 않는 별도의 사이버 전담조직도 구성했다.
 
당시 이란은 미국과 이스라엘의 기상천외한 방책에 일격을 당하고 절치부심(切齒腐心)해야 했다. 이란은 핵시설이 고장 난 원인을 찾는 데 꼬박 1년을 허비해야 했고 연이은 핵 과학자들의 암살로 계획에 큰 차질을 빚었지만, 핵 보유 의지는 더욱 불타올랐다. 예를 들어 이란은 스턱스넷 공격 당시 6000기였던 원심분리기를 3배로 늘렸고 더 많은 지하시설에 분산하고 주요 핵시설은 방공포로 무장했다.
 
2014년 이란에서 공개한 레이더와 미사일이 함께 탐재된 이동형 방공무기 [사진=AP=연합뉴스]

2014년 이란에서 공개한 레이더와 미사일이 함께 탐재된 이동형 방공무기 [사진=AP=연합뉴스]

 
미국의 강경한 경제제재와 스턱스넷 공격에 대한 반격은 2011년 후반 미국 은행에 대한 디도스 공격으로 시작됐다. '카삼 사이버 전사'라는 해커 집단이 뱅크오브아메리카(BOA)ㆍJP모건체이스ㆍ캐피털원ㆍ뉴욕증권거래소 등 50여 개 금융기관을 공격해 인터넷을 통한 거래가 중단되는 사태가 발생했다. 이란 해커들의 공격은 그리 정교하지는 않았지만, 미국 산업의 기반인 금융 분야를 2년이나 끈질기게 공략할 만큼 전의는 충만했다.
 
이란은 미국에 이어 걸프만 친미국가들을 공격했다. 2012년 8월 사우디아라비아 석유회사인 아람코(Aramco)는 악성코드 ‘샤문(Shamoon)’ 공격을 받아 컴퓨터 3만여 대에 저장돼있던 자료의 75%가 소실되고 전체 전산망 가동이 일시 중단됐다. 아람코는 해외에서 최고 수준의 보안전문가를 불러들이고 하드웨어 전부를 교체하는데 거액의 돈을 쏟아붓고도 정상 운영에 5개월이나 걸렸다.  
 
비슷한 시기, 카타르 가스회사인 라스가스(RasGas)에도 같은 종류의 악성코드가 침투해 웹사이트와 이메일 서버가 다운되고 생산에 차질이 빚어졌다. ‘정의의 검’이라는 해커 집단은 사우디가 시리아와 바레인에서 시아파 세력에게 행한 잔인함에 대한 복수라고 주장했다. 9월 들어 미국의 씨티그룹ㆍ웰스파고 등 대형 은행을 포함한 금융 분야의 파상공세가 이어졌다.
 
뉴욕 인근 보우먼 애비뉴 댐 해킹 소식을 전하는 방송 [영상캡처=CNN]

뉴욕 인근 보우먼 애비뉴 댐 해킹 소식을 전하는 방송 [영상캡처=CNN]

 
이란 해커들은 2013년 8월 뉴욕 인근의 ‘보우먼 애비뉴 댐’의 시설통제 시스템에 침입함으로써 미 행정부의 기반시설 안전에 경종을 울렸고, 2014년 2월 카지노 거물인 샌즈코퍼레이션 회장이 이란의 핵 프로그램을 맹비난하자 그의 카지노들을 공격해 업무를 마비시켰다. 이후 이란은 미국과 사우디의 군사ㆍ항공ㆍ석유화학 기업을 집중적으로 공격했고, 2016년 중순부터 공격 대상과 영역을 미국의 동맹국으로 넓혔다. 한국도 예외가 아니었지만, 이란이 북한과 과학기술협정을 맺고 핵과 미사일 기술을 교류하고 있다는 점에서 연계성이 의심된다.
 
미국은 대내적으로 이란의 제재 대상 해커와 기업을 특정하고 법적 절차를 통해 이들의 활동을 막는 데 주력하고 있다. 미 법무부는 2016년 3월 미국의 은행과 댐 전산망을 해킹한 이란 해커 7명을 기소했고, 2018년 3월에는 전 세계 320여 대학에서 방대한 연구자료와 지식재산권을 빼돌린 이란 해커 9명을 기소했다. 이들 모두 이란 정부와 혁명수비대를 위해 활동했다. 이란에 있는 해커가 미 법정에 설 가능성은 없지만, 인터폴에 수배되어 가시화되는 것만으로도 압박감은 크다.
 
미 재무부 해외자산통제국(OFAC)도 이란 정권의 사이버 활동을 도운 개인과 기관, 그리고 랜섬웨어를 유포해 금전을 탈취하는 등 자국에서 사이버 범죄를 일삼는 이란 해커들을 지속해서 제재 목록에 올리고 미국 내 자산을 동결하고 있다. 이처럼 미국은 모든 해킹을 국가 차원으로 취급하지 않으며, 공격자의 의지를 꺾어놓기 위해 악의적 활동을 공개하고 있다.
 
우리가 당면한 사이버 위협과 그 역동성은 20세기 초강국 들의 힘의 교착상태와는 전혀 다르다. 각국은 자국에 대한 불특정 위협을 찾아 일일이 대응할 수밖에 없는 상황에 놓여 있다. 자국보다 월등한 군사력에 맞서야 하는 나라일수록 사이버 무기가 주는 이점은 실로 엄청나다. 미국은 외부의 사이버 공격에 군사적 대응을 명시적으로 밝혀오고 있어 이란과의 갈등 국면에서 어떤 형태로 표출될지 귀추가 주목된다.
 
손영동 한양대학교 교수
공유하기
광고 닫기