퍼펙트 웨폰
데이비드 E.생어 지음 | 미래의창
퍼펙트 웨폰
데이비드 E. 생어 지음
미래의창 / 2019년 9월 / 536쪽 / 20,000원
원죄
I. 예전이었다면 폭격을 하는 식으로만 가능했던 규모의 공격을 사이버 무기를 써서 실행하는 방안을 두고, 백악관 상황실에서 열띤 토론이 벌어졌다. 마침 《뉴욕 타임스》는 그 정보를 입수하고 핵심을 정리하여 기사화할 예정이었다. 그런데 그 민감한 기사와 관련해 백악관이 모렐 부국장을 만나볼 것을 권유했기 때문에 2012년 나는 그를 만나기 위해 구(舊) 중앙정보국 본부로 갔다. 사실 나는 그와 벤저민 로즈 국가안보회의 전략통신 담당 보좌관의 사무실에서 이미 잠깐 만난 적이 있었다. 그때 나는 그들에게 내가 알고 있는 정보를 털어놓았는데, 그 내용은 정반대 기질의 부시 대통령과 오바마 대통령 두 사람 모두 새롭게 진행 중인 중동 지역 전쟁에서 기선을 잡을 최선ㆍ최후의 방법으로 최신식 사이버 무기를 결정했다는 내용이었다. 내 이야기를 들은 두 사람은 별로 놀라는 기색이 아니었다.
2년 전에 어쩌다가 ‘스턱스넷(Stuxnet)’이라는 악성코드 무기가 전 세계에 퍼져버리는 바람에 누군가 악성코드를 이용하여 이란의 핵 시설을 파괴하려 한 사실이 세상에 알려지게 되었다. 그런데 스턱스넷에는 그 제작 시기와 주체를 짐작하게 하는 디지털 지문 등의 단서가 가득했다. 수개월에 걸친 취재 결과, 나는 그것이 ‘올림픽 게임’이라는 작전명으로 실행된 공격이라는 것을 알게 되었다. 그런데 이 작전은 사실, 끝까지 비밀이 유지되기 힘든 것이었다. 피해 당사국인 이란도 충분한 증거를 찾아내기도 전에 진작부터 미국과 이스라엘을 배후로 지목하고 나섰다. 그러나 양국 정부는 모르쇠로 일관했다. 이는 비밀주의라는 사이버 공격의 전형적인 특징을 보여주는 모습이었다.
나는 모렐 부국장을 비롯한 중앙정보국 관계자들이 우리가 취재 중인 기사에 대해서 우려하는 부분이 구체적으로 어떤 내용인지를 듣고자 구 본부로 갔다. 사실 그들은 『뉴욕 타임스』측에 그 기사를 싣지 말아달라는 요구를 할 작정이었다. 당시에 진행 중이던 다른 작전들의 정보까지 흘러나갈지 모른다는 우려 때문이었다. 정보 당국 입장에서 본다면 충분히 이해할 만한 반응이기 때문에 당연히 언론사는 정부의 우려를 귀담아들을 필요가 있었다. 한편 정보국 입장에서는 내가 정확히 어떤 부분을 알고 있는지를 확인하고 더 이상의 기밀 유출 피해를 최소화하는 방법을 모색하기 위한 것이었다.
《뉴욕 타임스》가 준비 중인 기사는 특히나 그들을 불편하게 만드는 부분이 있었다. 사이버 무기는 군이 아니라 정보기관에서 만든 최초의 전략 무기로, 이것은 핵무기나 생물 무기 또는 최신형 스텔스 전투기나 드론보다 더 비밀에 꽁꽁 싸여 있었다. 정부 내에서도, 사이버 무기가 사용된 사실이 조금이라도 새어나간다면 장차 다시 그 무기를 사용하기 어려워질지도 모른다는 인식이 있었다. 행여 미국이 그런 사이버 공격을 받는다면 결코 조용히 넘어가지 않겠지만, 자국의 사이버 공격 능력이나 목표 또는 원칙에 관해서는 가장 기본적인 논의조차 미국은 철저히 금기시해왔다.
정부의 이런 태도에 대해서는 일부 내부 인사들조차 눈 가리고 아웅하는 식이라고 말할 정도다. 사용한 사실은커녕 보유 사실조차 인정하지 않는 무기를 두고 국제적인 사용 원칙을 마련하자는 이야기가 어떻게 가능하겠느냐고 그들은 반문한다. 분명 오바마 정부 내에서도 이 무기의 사용 기준에 대한 뚜렷한 합의가 없었다. 오바마 대통령은 이란 핵 시설에 대한 공격을 승인하는 와중에도 내내 고민의 끈을 놓지 못했다. 당시 기사에 나간 대로, 임기 첫해에 백악관 상황실에서 안보회의가 열릴 때마다 오바마 대통령은 묻고 또 물었다. 핵 시설을 파괴하기 위해서 사이버 무기를 사용하는 것이 과연 옳은 결정인지, 미국이 훗날 후회하게 될 일의 포문을 여는 것은 아닌지를 말이다. 언젠가는 다른 나라들도 미국을 향해 이 신무기를 겨누게 될 것이라는 사실에 대해서는 오바마 대통령뿐만 아니라 모두가 잘 알고 있었다. 이에 대해 한 고위 관리는 다음과 같이 말했다. “대통령의 질문은 핵심을 찌르는 것이었다. 문제는 그날이 얼마나 빨리 닥쳐올 것인지를 아는 사람이 아무도 없었다는 사실이다.”
이제 확실한 것은 더 이상 우리가 이전으로 되돌아갈 수 없으리라는 사실뿐이다. 미국의 사이버 무기 실험 초창기에 핵심 역할을 했던 마이클 헤이든 전 국장은 스턱스넷 코드에서 “1945년 8월의 악취”가 난다고 말했다. 이는 히로시마와 나가사키 원폭 투하를 말하는 것이다. 그는 바야흐로 새 시대가 열렸음을 분명하게 경고했다. 기밀 취급 권한을 가진 그가 스턱스넷에 미국이 관련되어 있다는 사실을 대놓고 말할 수는 없었을 것이다. 그러나 그는 이것이 실로 역사의 한 획을 긋는 사건임을 분명하게 확인해주었다. 헤이든 전 국장은 이렇게 결론지었다. “분명한 사실은, 우리가 무엇인가를 하는 순간 전 세계 다른 나라들이 이것을 새로운 기준이라고 여기리라는 것이다. 이제 모든 나라가 자기들도 거리낌 없이 해도 된다고 생각할 것이다.” 정말 딱 그렇게 됐다. 조금 더 살펴보자.
II. 2001년 부시 대통령이 첫 임기를 시작할 무렵 카트라이트 장군은 사이버 무기의 잠재력과 위험에 상당한 흥미를 느끼기 시작했다. 그는 펜타곤이 제2차 세계대전 이후 수십 년간 만들어온 시스템과 전략이 다가올 반세기의 도전에 대응하는 데 충분할 것인지 의문을 갖기 시작했다. 답은 명백해 보였다. 훗날 장군이 한 말에 따르면, 그는 전략사령관 시절에 군이 실제로 사용할 수 있는 신기술을 계속해서 찾았다고 한다. 그는 가능하면 미국이 피를 한 방울도 흘리지 않고 싸움에서 이길 수 있는 기술을 원했는데, 그 기술이 바로 사이버 무기였다. 이 무기는 적진의 통신을 끊어놓거나 방어 시스템을 마비시킬 수 있는 변형된 ‘전자전 무기’이며, 레이저 같은 에너지 무기도 그런 신기술 무기 중 하나였는데, 이 무기들은 핵무기와는 달리 선제공격용으로 사용될 수 있다는 장점이 있었다.
또 사이버 무기는 전시뿐만 아니라 평화 시기에도 강력한 강제력을 가질 수 있는 특징이 있다. 카트라이트 장군은 이 무기가 ‘외교를 바꾸어놓을’ 수도 있다고 말했는데, 이는 즉 타국으로 하여금 협상에 나서는 수밖에 다른 선택의 여지가 없음을 깨닫게 만들 수도 있다는 것이다. 2012년 연설에서 그는 이란이라는 말은 입 밖에 꺼내지 않았지만 그 말이 어느 나라를 염두에 둔 말인지는 자명했다. 당시에 미국은 이란을 상대로 협상과 전쟁이라는 두 가지 대안을 동시에 준비하고 있었기 때문이다.
럼즈펠드 장관의 지시로 사이버전쟁 관련 임무를 맡게 된 전략사령부는 곧바로 비밀 연구소를 꾸렸다. 그곳에서 사이버 무기를 만들려면 무엇이 필요한지, 그 무기는 어떻게 사용되어야 하는지, 그 무기를 결집시키는 데 군의 역할은 국가안보국의 역할과 어떻게 다를 것인지 등이 연구되었다. 그렇게 해서 카트라이트 장군이 탄생시킨 것이 바로 오늘날 미국 사이버사령부의 원형이 된 기관이었다.
III. 카트라이트 장군과 키스 알렉산더 국가안보국 국장 그리고 다른 정보기관 관료들의 재촉에 부시 대통령은 이란의 지하 핵 시설을 통제하는 컴퓨터망에 악성코드를 은밀히 침투시키는 작전을 승인했다. 그들의 핵개발 진전을 방해하여 협상 테이블로 나오지 않을 수 없도록 만들겠다는 계산이었다. 하지만 네타냐후 이스라엘 총리가 하루가 멀다 하고 이란의 핵 시설을 폭파해버리겠다고 위협하는 상황에서 이스라엘의 계획을 단념시키는 것도 그 못지않게 중요했다. 이스라엘은 이미 이라크와 시리아의 초기 핵 시설에 폭격을 가하여 파괴한 전력이 있었기 때문이다. 그런데 올림픽 게임 작전은 이란의 핵개발을 방해하는 데 몰두한 이스라엘이 전쟁을 일으키는 것을 막을 단 하나의 방법이었다. 하지만 핵시설에 악성코드를 심는 것이 그리 쉬운 일은 아니었다. 나탄즈의 컴퓨터 시스템은 외부와의 인터넷 연결이 완전히 차단된 ‘에어 갭(air gap)’ 시스템이었기 때문이다.
중앙정보국과 이스라엘은 알게 모르게 이란 엔지니어들을 조력자로 삼아 다수의 이동식저장장치 드라이브에 악성코드를 슬쩍 심어 넣었다. 문제가 없었던 것은 아니었지만 몇 년 동안 이 계획은 대체로 제대로 굴러갔다. 이란의 핵 시설 관련자들은 일부 원심분리기의 속도가 어째서 빨라졌다 느려지기를 반복하다가 결국에는 저절로 망가져 버리는지 어리둥절했다. 공포에 빠진 그들은 나머지 원심분리기가 손상되기 전에 모든 작동을 중지시키고 의심스러운 엔지니어들을 해고하기 시작했다. 백악관에서 보기에 작전은 기대 이상으로 성공적인 것 같았다. 비록 나중에는 전부 엉망이 되고 말았지만 말이다.
올림픽 게임 작전이 세상에 노출된 것은 언론과는 아무 관련이 없었다. 그것은 오로지 미국과 이스라엘 정부의 실수 때문이었다. 이후에 책임 공방이 이어졌다. 이스라엘은 미국이 너무 느리게 움직였다고 비난했고, 미국은 이스라엘이 조심성 없이 조급하게 움직였다고 몰아붙였다. 하지만 한 가지 사실만큼은 논란의 여지가 없다. 바로, 2010년 여름 스턱스넷 웜이 전 세계 컴퓨터 시스템으로 순식간에 자가 복제를 해나갔다는 사실이다. 스턱스넷 웜은 이란에서부터 인도를 거쳐 미국에까지 퍼졌다.
이란, 러시아, 중국, 북한을 비롯한 전 세계 해커들이 이 웜을 가지게 되었고, 여기에 ‘스턱스넷’이라는 이름이 붙여졌다. 이 이름은 코드 내에 등장하는 키워드를 따서 만든 것이었다. 지금 생각해보면 올림픽 게임 작전은 현대 사이버전쟁 최초의 기습 공격이었다. 그러나 당시에는 누구도 그런 사실을 몰랐다. 확실한 것은 세계를 떠다니고 있는 이상한 컴퓨터 웜이 이란에서부터 퍼진 것이며, 2010년 여름에 파과 사실이 알려진 이란의 핵 프로그램이 이 웜의 표적이었다는 사실이었다.
《뉴욕 타임스》보도국에서는 폭탄이나 미사일이 아니라 사이버 무기가 이란의 핵 시설을 공격했다는 증거를 찾아내기 위해서 촉각을 곤두세우고 있었다. 2009년 초 오바마 당선자가 대통령직 인수를 준비할 당시에 나는 부시 대통령이 이란의 핵무기 완성 시기를 늦추기 위해서 전자 시스템을 손상시키는 비밀 작전을 은밀히 승인했다는 기사를 썼다. 그로부터 18개월 뒤에 스턱스넷이 우리가 찾던 코드라는 증거가 쌓이기 시작했을 때 그것을 보고 놀라는 사람은 아무도 없었다.
김정은의 반격
정보 당국의 평가에 따르면, 2009년 당시만 해도 북한의 해킹 기술은 무시할 만한 수준이었다. 정보 당국은 이 나라의 장거리 미사일 프로그램이 완성 단계에 이른 속도를 과소평가했던 것과 마찬가지로, 북한이 의미 있는 사이버 위협을 가할 수 있을 정도가 되려면 시간이 한참 더 지나야 한다고 결론지었다. 만약 김정일이 살아 있다면 그런 평가가 옳았을지도 모른다.
2011년에 김정은이 자신의 아버지 자리를 물려받아 북한의 1인자가 됐을 때, 별다른 정치 경험도 없는 스물일곱의 풋내기 나르시시스트가 북한 군부와 엘리트 집단을 장악할 수 있으리라고 예상한 사람은 별로 없었다. 그는 자신이 첫 번째로 할 일이 실질적인 핵 능력을 갖추는 것임을 알았다. 두 번째로 할 일은 잠재적인 경쟁자들을 제거하는 일이었다. 이를 위해 그는 대공포까지 사용했다. 세 번째는 사이버 무력을 강화하는 일이었다. 김정은은 이것을 매우 시급한 일이라고 생각했다.
김정은이 권좌에 올랐을 무렵, 사이버 공격 부대인 121국은 이미 10년 이상 운영 중이었는데, 김정은은 자신의 아버지, 할아버지와는 달리 한 분야를 집중적으로 개발하는 데 탁월한 기량을 보였다. 김정은의 지시 하에 북한은 6,000명 이상의 인원으로 구성된 해커 군단을 양성했다. 그들 대부분은 해외에 머물며 활동했는데, 처음에는 중국을 거점으로 삼았다가 점점 필리핀, 말레이시아, 태국 등 해변 리조트로 유명한 나라들로 반경을 넓혀갔다. 북한은 사이버 공격력을 전시에 사용할 잠재적인 무기로만 보지 않았다. 그 이상의 것으로 만드는 것이 북한의 목표였다. 러시아처럼 김정은 역시 사이버 무기가 절도, 괴롭힘, 정치적 보복 행위에 사용될 수 있음을 알았다.
2012년 무렵 김정은은 해킹 팀을 해외 곳곳에 파견하기 시작했다. 첫 번째 기착지는 중국이었다. 인터넷 기반시설을 갖춘 중국은 공격 활동을 하면서도 자신들의 책임을 손쉽게 부인할 수 있는 거점이었기 때문이다. 그러나 시간이 지나면서 해커들은 인도, 말레이시아, 네팔, 케냐, 폴란드, 모잠비크, 인도네시아 같은 주로 북한 노동자들을 받아준 나라들로 퍼져나갔다. 뉴질랜드 같은 나라는 해킹의 중간 경로로만 이용되어온 반면, 인도 같은 나라는 평양발 사이버 공격의 5분의 1가량이 이루어지는 곳으로 해커들이 직접 그곳에 상주하고 있다. 사이버 공격은 성공하기가 쉽고 비용도 매우 적게 든다.
사실 북한의 사이버 공격 프로그램은 어느 정도 이란에게서 전수받은 것이었다. 이란은 미사일 기술만이 아니라 문제의 근원이 미국이라는 믿음을 북한과 오랫동안 공유해온 나라다. 그런 이란이 사이버 영역에서의 핵심, 즉 적국의 은행, 무역 시스템, 석유 및 수도 시설, 댐, 병원, 도시가 모두 인터넷으로 연결되어 있다면 적국에 타격을 가할 기회는 무궁무진하다는 사실을 북한에 가르쳐준 것이다.
북한의 첫 번째 대규모 공격은 2013년 3월에 이루어졌다. 한ㆍ미 합동군사훈련 기간에 중국을 거점으로 삼은 북한 해커들은 한국의 은행 세 곳과 방송국 두 곳을 대상으로 이란과 매우 유사한 사이버 공격을 감행했다. 이란의 사우디 공격과 마찬가지로 북한의 공격 역시 (이 작전은 곧장 ‘다크 서울’이라는 이름으로 불렸다) 악성코드를 이용하여 데이터를 파괴하고 금융 거래 및 방송 서비스 기능을 마비시켰다. 이란의 사이버 작전을 모방한 것이었을지도 모르지만 뭔가 심상치 않아 보였다.
다행히 북한의 시스템에는 빈틈이 있었다. 국가안보국과 사이버사령부가 나란히 위치한 포트미드에서는 올림픽 게임 작전을 만들어냈던 때처럼 열성적으로 북한의 취약점을 공격하기 위한 작전 개발을 진행했다. 목표는 미국 본토에 도달할 수 있는 핵무기의 개발을 방해하는 것이었다. 그러나 북한의 경우는 미국의 특수접근작전실이나 초창기 미 사이버사령부가 이란에서 마주했던 상황보다 문제가 훨씬 더 복잡했다. 2013년 중반 무렵에는 오바마 정부가 북한의 핵무기 제조를 막기에는 시기가 너무 늦어버렸다는 사실이 분명해졌다. 이란이 겨우 우라늄 생산을 위해 원심분리기를 돌리느라 애를 쓰고 있는 동안 북한은 실제로 원자폭탄을 만들어내고 있었다. 정보 당국마다 추산은 조금씩 다르지만 북한은 이미 열두 개 이상의 핵무기를 보유한 상태였고, 그 생산 속도는 나날이 빨라지고 있었다.
윌리엄 페리 전 국방장관이 말했듯이, 미국 사이버사령부의 초점은 북한이 미국 본토까지 도달할 수 있는 미사일을 개발할 수 있느냐에 있었다. 그것이 북한에게 남은 유일한 과제였기 때문이다. 그런데 김정은에게 핵탄두를 미국 본토까지 쏘아 보낼 수 있는 능력은 생존의 문제이기도 했지만 미래 권력의 문제이기도 했다. 따라서 그는 이 미사일 개발을 북한식 맨해튼 프로젝트로 만들어 전력을 다했다. 이는 핵무기를 태평양 반대편에 도달하게 만드는 미사일 프로그램 개발에 핵개발 못지않은 노력을 기울인다는 뜻이었다. 그리하여 2013년에는 처음으로 미사일 프로그램이 진짜 위협으로 다가오기 시작했다. 오바마 전 대통령의 보좌관 중 한 사람은 이후에 다음과 같이 회고했다. “기회만 있었다면 아무 거리낌 없이 김정은 집단을 제거해 버렸을 것이며 그렇다고 해서 전쟁이 일어나거나 하지는 않았을 거라고 오바마 대통령이 말하는 걸 여러 번 들었다.” 물론 이런 사실을 입증해줄 만한 사람은 아무도 없다. 오바마 전 대통령은 한마디 말도 매우 신중하게 하는 사람이기 때문에 그를 보좌했던 이들 중에는 그가 그런 도발적인 말을 했다는 것을 믿지 않는 사람들도 있다. 그러나 만약 북한의 핵 프로그램을 늦출 수만 있다면 그는 분명 어떤 일이라도 기꺼이 했을 것이다.
올림픽 게임 작전을 통해서 미국이 개발한 최신 무기의 힘을 본 대통령은, 총을 한 발도 쏘지 않고 북한의 미사일 개발을 저지할 방법을 찾으라고 요구하기 시작했고, 2014년 초에 오바마 대통령은 수차례 회의를 열어 여러 가지 선택지를 두고 고민했다. 그는 펜타곤과 미 정보 당국으로 하여금 김정은의 미사일에 대해 일련의 사이버ㆍ전자 공격을 준비하도록 지시를 내렸다. 그 첫 번째 대상은 무수단이라는 이름의 중거리 미사일이었다. 미사일이 발사되기 전에 발사를 무력화시키거나 아니면 발사 뒤 예정 경로를 이탈하게 만드는 것이 목표였다. 이란 공격 때처럼 북한도 자신들의 실수라고 착각하도록 만든다면 금상첨화일 것이었다. 프로그램의 작동 여부를 확인하는 데 1, 2년가량 걸릴 것이라고 전문가들은 말했다. 아무튼 지금 생각해보면, 2014년에 오바마 대통령과 김정은 양측은 사이버 무기를 사용하여 상대방을 공격하고 있었던 것이다. 오바마 대통령의 표적은 북한 미사일이었고 김정은의 표적은 자신에게 굴욕감을 주려 한 영화사였다. 결국 서로의 계략은 상대에게 발각되기 시작했다.