"유사시 국가 전력망 점거 가능성"…中 배후설에 '사이버전쟁' 경고음

올해 통신 3사 해킹 사태를 두고 보안업계는 단순한 해킹을 넘어 국가 차원의 사이버전 가능성을 제기하고 있다. 공격에 사용된 악성코드가 중국에서 유래한 계열로 분류되는 데다 직접적인 금전 목적이 뚜렷하게 확인되지 않았다는 점 등이 단서다.

일반적인 해킹과 랜섬웨어 공격은 금전 탈취나 서비스 마비처럼 즉각적인 피해를 노린다. 이에 비해 KT 일부 서버가 감염된 것으로 확인된 BPF도어, 루트킷 등 악성코드는 서버와 네트워크에 장기간 은닉·잠복해 있었던 것으로 조사됐다. 피해를 주기보다 들키지 않은 채 내부 시스템에 머무르며 기회를 엿보는, 전형적인 지능형 지속 공격(APT) 양상이라는 평가다.

BPF도어는 중국 해커 그룹 ‘Redmenshen’이 장기간 사용한 악성코드로 알려졌다. 과학기술정보통신부는 29일 브리핑에서 이들을 “중국이 배후인 그룹”으로 명시했다. 지난 4월 SK텔레콤 침해사고 당시에도 이 그룹의 BPF도어 감염 여부가 확인됐다. 맞춤형 악성코드 운용과 장기 잠복, 반복적인 정찰이 결합한 이런 공격은 일개 범죄 조직이 감당하기 어려운 수준의 자원과 시간이 투입된 경우가 많다. 특정 국가의 개입 가능성이 거론되는 이유다.

한 보안 전문가는 “중국산 악성코드는 유사시 활용 가치가 높은 통신망을 노리는 것”이라고 말했다. 정수환 숭실대 전자정보공학부 교수(과기정통부 산하 AI보안연구센터장)도 “리눅스 운영체제의 심장부에 깊숙이 침투해야 하는 루트킷은 일반 해커가 쉽게 사용할 수 있는 기술이 아니다”며 “높은 수준의 전문성과 사전 준비가 필요한 공격”이라고 말했다. 통신, 전력 등 국가 기간 인프라는 평시에는 민간 서비스지만 유사시엔 정보 수집·감시·차단이 가능한 전략 자산으로 전환될 수 있다. 2015년 우크라이나 전력망 해킹 사건이 대표적인 사례다. 수개월 전 침투한 공격자가 내부 시스템을 정찰한 뒤 지정학적 긴장이 고조된 시점에 공격을 실행해 대규모 정전을 일으켰다. 평소 피해가 드러나지 않는다고 해서 안전하다고 볼 수 없다는 점을 단적으로 보여준다.

정부는 KT 해킹 주체를 특정하는 데는 신중한 입장을 유지하고 있다. BPF도어가 중국에서 개발된 것은 맞지만 오픈소스 형태로 확산했기 때문이다. 류제명 과기정통부 2차관은 “오픈소스화한 이후에는 공격 주체를 단일 국가로 특정하기 어렵다”며 “현재는 국제 공조 차원에서 관련 정보를 공유하는 수준”이라고 밝혔다.

이영애 기자 0ae@hankyung.com