사이버 민병대
‘한국도 화이트해커를 양성하자’던 구호는 허울 좋은 소리가 되어버렸다. 화이트해커를 양성하려고 만들어진 각 대학의 사이버보안학과 졸업생들은 국가정보원이나 국군 사이버사령부에 취직해 기껏 배운 고급 기술을 자국 사법부 해킹에 활용하거나, 댓글 달기를 위한 민간 사이트 역분석에 써먹어야 했다. 분명 화이트해커는 맞는데, 이들에게 일을 시키는 기관이 자국 시민사회나 사법부, 행정부 공격을 지시했으니, 이들을 더는 ‘국민을 지키는’ 화이트해커로 부르기도 어려워졌다.
국군사이버사령부와 국군기무사령부 그리고 국가정보원 셋이 함께 뭉쳐 합법과 불법을 넘나들며 사법부 해킹이나 유명인 동향 파악을 했다는 의혹이 제기되었다. 이들 기관에 보안관제 제품을 납품하는 민간 보안업체들도 이들과 협의체를 구성해 사이버보안 관련 정보를 공유한다. 이 업체들은 민간망에도 거의 동일한 보안관제 체계를 갖추고, 전국의 컴퓨터마다 ‘백신 에이전트’를 심어 기기 통제권을 쥐고 있다. 그런 일이 없었기를 바라지만, 국가 단위 사이버보안 사령탑 역할을 하는 기관이 사법부 전산망을 공격하거나 민간인을 사찰하는 범죄행위를 저질러온 이상 민간업체 체계가 여기에 악용되지는 않았을지, 지난 정권이 특정 언론이나 민간인 컴퓨터나 스마트폰에 자체 악성코드를 심지는 않았는지 같은 의심도 이제는 가능성을 열어놓고 봐야 한다.
몇 년 전 논란을 빚었던 사이버테러방지법은 민간 인터넷 관제 자원을 국정원이 합법적으로 활용하기 위해 법적 근거를 마련하려던 시도였다. 국정원이 이탈리아산 해킹프로그램을 구매해 운용한 사실이 들통난 날, 국정원 직원들끼리 주고받은 문자에는 “시스템 오 해달래” “통신사로부터 확인은 잘 되었음” 같은 내용이 있었다. 이 해킹프로그램과 관련하여 통신사가 국정원과 어디까지 협조해왔는지도 오리무중이다. 사이버사가 자국 사법기관을 해킹하는데 국정원도 협조가 아니라 해킹을 했을지도 모를 일이다. 심지어 지난주에는 ‘카스퍼스키’라는 러시아산 백신프로그램을 활용해 러시아 당국이 미국 국가안보국(NSA)의 기밀정보를 훔친 사실을 이스라엘 정보기관이 발견했다는 보도도 나왔다. 설마 했던 일이 현실이 되고 공상일 거라 여겨지는 일도 합리적 의심의 영역으로 올라오는 지경이 됐다.
전시에 쓰려고 구축한 한국군합동지휘통제체계(전장망)에 ‘워너크라이 랜섬웨어’가 퍼져나갔다는 보도가 나왔다. 최근까지도 사이버사가 전장망 트래픽에 대한 보안관제 및 통제를 소홀히 했고, 각 단말장비의 보안 업데이트도 안 챙겼다는 이야기다. 지난 정권에서 자국 사법부 해킹에 동원했던 역량을 해킹 방어를 위한 행정력에 썼다면 피해는 막을 수 있었을 것이다. 같은 수법으로 두 정권에 걸쳐 계속 해킹을 당하고 있는데, 해킹당한 사실이 밝혀질 때마다 북한 소행 같다며 도둑맞은 이의 책임은 감추고 또 도둑만 지목하고 있다. 열심히 양성해온 화이트해커가 자국의 사법부 망을 해킹하고, 세금 들여 시켜놓은 해킹 방어 역할은 제대로 못하고 있는 와중에, 우리는 벌써 집집마다 텔레비전, 보일러, 가습기, 사람 말을 알아듣는 스피커 등이 모두 네트워크에 연결되는 사물인터넷 시대를 맞이하고 있다. 우리 세금으로 국가 단위 사이버 보안을 챙기기는 어려울 것 같고, 국가기관의 공작으로부터도 각자의 프라이버시를 스스로 지켜야 할 처지다. 차라리 사이버 민병대라도 차려야 하나 싶다.
한겨레 2030 잠금해제 칼럼