매일 경제

(서울=연합뉴스) 이상서 기자 = 미국에 이은 전 세계 2위.

미국 하버드대 케네디스쿨 벨퍼센터가 30개 국가의 사이버 분야 능력을 평가한 2022년 국가 사이버 역량 지수(NCPI)에서 중국이 차지한 순위다.

감시·방어·정보수집·상업·규범·금융·정보통제·파괴(공격) 등 8가지 항목으로 구성된 NCPI에서 중국은 특히 감시와 상업 부문에서 미국을 제치고 1위에 올랐다.

정보통제와 파괴 부문에선 미국과 러시아에 이어 3위였다.

한국은 7위에 그쳤으며, 방어 부문에선 22위로 하위권에 머물렀다.

북한의 전체 순위는 중위권인 13위였지만, 금융 부문에선 1위에 올랐다.

전 국민을 충격에 빠뜨린 SK텔레콤(SKT) 해킹 사태의 중심에 중국이나 북한의 해커 집단이 존재한다는 분석에 힘이 실리고 있다.

해외 사이버 공격에 대비한 범정부 차원의 제도 마련이 시급하다는 지적이 나온다.

제2의 SKT 사태를 차단하기 위해서라도 기업은 보안 부문 투자를 늘리고, 정부는 보안 인증 체계에 대한 실효성을 높여 국가적 역량을 강화해야 한다는 목소리도 잇따른다.


◇ "세계 최고수준 中 해킹 대응에 한계…北, 외화벌이 위해 해킹 일삼아" 22일 정보기술(IT) 업계와 정부에 따르면 최근 SKT 침해사고 민관합동조사단은 2차 조사결과 중간발표에서 BPF도어와 파생 악성코드 공격으로 가입자 식별키 기준 약 2천700만건의 유심 정보가 유출됐다고 밝혔다.

BPF도어는 백도어 악성코드 방식의 사이버 공격으로, 중국 기반의 해킹 집단이 이런 수법을 주로 사용해 온 것으로 알려졌다.

임종인 고려대 정보보호대학원 교수는 "중국 해커 조직들이 BPF도어 수법으로 수년간 다른 국가의 기간 산업에 침투해 셧다운하는 방식을 이어왔다"며 "이들의 해킹 기술은 미국과 더불어 세계 최고 수준이라 국내 기업이나 우리 정부만의 역량으론 대응하긴 사실상 불가능하다"고 설명했다.

올해 초 세계적인 관심을 받았던 생성형 인공지능(AI) 딥시크를 비롯해 중국이 '첨단산업 굴기'에 속도를 내고 있지만 한국의 성장은 이를 따라가지 못하고 있다.

임 교수는 "한국은 미국과 동맹국이라는 점과 중국과 가깝다는 지정학적 위치 때문에 중국 해킹 조직의 주요 공격 대상에 포함된다"고 말했다.




실제로 중국의 해킹 공격이 미국과 우호 관계를 맺거나, 중국에 부정적 태도를 보이는 국가를 중심으로 이뤄진다는 분석도 있다.

작년 말 국가정보연구에 실린 '중국의 사이버 공격 양상 변화와 사이버안보에의 함의' 보고서에 따르면 2013년 한국 외교부에 대한 중국발 사이버 공격은 1천890건이었지만, 국내 사드 배치가 언급되던 2015년엔 3천649건으로 급증했다.

사드 배치가 완료된 2017년에는 6천941건을 기록했고, 관련 이슈의 관심이 꺾인 이후에는 중국발 해킹 시도가 급감한 것으로 조사됐다.


앞서 빗썸과 업비트 등 국내 가상자산 거래소를 비롯해 게임업체 액시 인피니티 등에 대해 사이버 공격을 이어왔던 북한도 SKT 사태의 주요 해킹 국가로 지목된다.

국회입법조사처의 '북한 사이버 공격의 현황과 쟁점' 보고서에 따르면 북한은 2016년 국제사회의 대북 제재로 야기된 외화 부족 상황을 해결하고자 각국의 금융기관 등에 대한 해킹 공격을 이어가고 있다.


◇ 기업 안일한 보안 의식 여전…"차기 정부서 사이버안보법 등 마련해야" 전문가들은 해외발 사이버 공격이 거세지고 있지만 우리 기업과 정부의 인식은 안일한 수준이라고 입을 모은다.

김명주 AI안전연구소장은 "보안 예산과 인력을 강화하는 것을 투자 개념이라 봐야 하는데, 국내 기업이 너무 인색하다"며 "유출 사고가 터지면 사주가 아닌 정보보호최고책임자(CISO)나 개인정보보호책임자(CPO)가 책임을 지는 등 문제를 회피하는 모습도 보인다"고 지적했다.

SKT가 ISMS(정보보호 관리체계 인증) 2개와 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 1개 등 모두 3개의 정부 정보보호 인증을 받고도 유출 사고를 낸 점을 근거로 제도의 실효성을 높여야 한다고 주문했다.

김 소장은 "ISMS 인증이 형식적으로 그치는 경우가 많은데 심사 과정에서 사이버 공격에 대비한 시뮬레이션 훈련 등을 추가해 제도를 손봐야 한다고 강조했다.


6·3 대선으로 탄생할 차기 정부에서 사이버안보법을 제정해 국가 차원의 해킹 대응 역량을 높여야 한다는 의견도 있다.

임종인 교수는 "차기 정부가 들어서면 관련법을 제정해 국가정보원과 과학기술정보통신부, 외교부 등 유관 부처가 협업해 국제 공조 강화와 해킹 공격에 대비할 수 있는 근거를 내놔야 한다"고 제언했다.

현재 국정원의 사이버안보 업무 수행에 필요한 사항이 담긴 '사이버안보 업무규정'은 있지만, 이와 관련된 법안은 마련되지 않은 상태라고 임 교수는 지적했다.

국회입법조사처도 "대통령 훈령인 '국가 사이버 안전 관리 규정'만으로는 북한의 사이버 공격 대응에 한계가 있다"며 "국가 사이버 안보에 대한 기본법 제정 등 민관이 통합된 사이버 안보 체계 구축에 나설 필요가 있다"고 밝혔다.

아직 조사가 완료되지 않은 만큼 이번 SKT 사태가 특정 국가의 소행으로 결론지을 순 어렵다는 조심스러운 의견 역시 없지 않다.

염흥열 순천향대 정보보호학과 교수는 "아직 중국 해커의 소행으로 단정할 순 없다"며 "모든 가능성을 열어두고 해킹 주체와 사이버 공격 목적을 조사해야 한다"고 강조했다.

BPF도어 방식이 중국 해커 조직의 주요 수법인 것은 맞지만 오픈소스 등을 활용해 다른 국가 해커 집단도 어렵지 않게 사용할 수 있는 방식이기 때문이다.

염 교수는 "지금은 SKT가 보안에서 부족한 부분이나 과실은 없었는지를 파악하는 게 먼저"라고 말했다.

shlamazel@yna.co.kr(끝)