[단독/국가정보원 50년]<上>국가사이버안전센터를 가다

국가사이버안전센터 첫 언론 공개…
오후 3시, 14만건의 정부 공격이 시작됐다

총성없는 戰場 동아일보는 지난달 31일 언론사 최초로 국가정보원 국가사이버안전센터 상황실을 직접 들여다봤다. 24시간 가동되는 상황실의 보안관제시스템 화면에선 한국 정부에 대한 사이버 공격 현황이 실시간으로 업데이트되고 있었다. 작은 사진은 센터 입구. 국정원 측은 사진 촬영은 허용하지 않았으며 국정원 요원들이 드러나지 않게 사진을 찍어 본보에 제공했다. 국가정보원 제공

추적추적 비가 내리던 지난달 31일 오후. 뉴스는 북한 해커가 유포한 것으로 보이는 악성프로그램이 일선 장교에게 e메일을 통해 확산됐다는 소식을 전하고 있었다. 국가정보원 요원이 국가사이버안전센터(NCSC)로 기자를 안내했다. 국정원 직원들도 허가 없이는 출입이 금지된 보안구역이었다.

정면의 가로 약 10m, 세로 3m의 반투명 벽에서 형광불빛만 새어 나왔다. 한 요원이 10여 분간 센터 현황을 설명했다. 현황 브리핑만으로 끝내려는 것이었다.

취재 전 센터 상황실을 취재하고 싶다고 수차례 요청한 터였다. 긴장감이 흘렀다. 보안 문제로 이견이 있는 듯 요원들이 귓속말로 논의하기 시작했다. 마침내 책임자가 지시했다. “관제시스템을 열어.”

한 요원이 버튼을 눌렀다. 갑자기 반투명 벽의 하얀 불빛이 사라졌다. 유리벽 너머로 상황실이 한눈에 들어왔다. 국가사이버안전센터 상황실이 최초로 언론에 공개되는 순간이었다.

상황실 정면에 한국 정부기관을 위협하는 국내외 사이버공격 상황을 한눈에 볼 수 있는 초대형 화면이 있었다. 요원들은 자리를 지키며 컴퓨터 모니터와 초대형 화면에서 눈을 떼지 않았다. 요원들은 화면을 보안관제시스템이라고 불렀다.

보안관제시스템은 전 세계 사이버공격 진원지의 인터넷주소(IP), 유형, 수, 경유지, 공격 대상 한국 정부기관을 실시간으로 업데이트했다. 정보 탈취를 위한 최신 기법의 해킹부터 단순 해킹인 웜바이러스(컴퓨터 시스템을 파괴, 방해하는 악성프로그램)까지 한국 정부를 공격하는 모든 유형이 빙글빙글 돌아가는 3차원(3D) 화면으로 나타났다.

화면 속 상황은 충격적이었다. 예상보다 공격 횟수가 훨씬 많았다. 오후 3시. 그 시간대에만 국내에서 12만2853건의 사이버 공격이 정부의 컴퓨터를 노렸다. 같은 시간 미국과 중국에서 각각 1만3619건, 1706건의 공격이 한국 정부 시스템망에 침투했다. 인근 국가, 유럽, 동남아, 중동 국가들의 공격을 모두 포함해 약 14만 건이 한국 정부를 공격했다. 한국 지도에는 서울, 대구, 대전을 비롯해 정부기관이 있는 지역 18곳에서 공격 위험을 알리는 신호가 깜박였다.

세계 지도에는 미국과 중국이 붉은색으로 표시됐다. 공격의 위험 수준이 가장 높다는 뜻이다. 미국에서 발생한 공격은 위험 정도는 덜하지만 양이 워낙 많았다. 중국에서 발생한 공격은 미국보다는 적지만 정부 PC의 자료 탈취를 노리는 해킹 공격이 대부분이다.
▼ “1초도 놓치지 마라”… 24시간 잠들지 않는 ‘사이버 전쟁터’ ▼

센터는 위험도에 따라 정상(녹색)-관심(파란색)-주의(노란색)-경계(주황색)-심각(적색)으로 공격을 분류했다.

공격 진원지에 북한은 표시돼 있지 않았다. 북한 해커는 대부분 중국의 IP를 이용하기 때문에 중국이 진원지로 표시된 IP 중 상당수가 북한의 공격 진원지로 파악된다. 그 시간에도 1000건이 넘는 북한 해커들의 공격이 침투를 시도하고 있다는 추정이 가능했다.

요원들은 얼핏 평범한 젊은이들처럼 보였지만 눈빛이 날카로웠다. 24시간 돌아가는 관제시스템 화면의 작은 정보 하나도, 1분 1초도 놓쳐선 안 된다고 했다. 그 작은 하나가 국가 인터넷 통신망을 마비시킨 2009년 7·7디도스(DDoS·분산서비스거부) 공격 같은 사태로 이어질 수 있다. 119전화처럼 사건 발생 사실을 신고 받는 게 아니기 때문에 공격이 일어난 그 시간에 공격정보를 눈으로 확인하지 못할 경우 치명적이라고 한 요원이 말했다.

날로 첨단화되는 사이버 공격의 패턴을 따라잡기 위해 요원들은 다른 요원과 교대한 시간에도 최신 공격 기법을 연구하고 실제로 유통되는지 확인한다고 했다.

위험한 공격이 발견되는 즉시 해당 정부기관에 알려 자료가 유출되기 전에 감염 컴퓨터를 차단하는 게 임무 성공의 관건이다. 감염 현장에 출동해 시스템을 복구하는 한편 해킹 근원지를 추적하고 원인을 규명하는 일까지 거의 실시간으로 이뤄진다고 했다.

해킹 공격의 경유지로 사용되는 ‘좀비 PC’는 대부분 보안에 취약한 일반 컴퓨터다. 요원들은 국가안보를 위협한 공격일 때는 좀비 PC 사용자를 찾아 조사 협조를 요청한다. 국가안보와 관련됐더라도 민간 컴퓨터에 대한 조사 권한이 없어 “당신이 국정원 요원인지 어떻게 믿느냐”며 문전박대를 당할 때도 많다.

7·7디도스 공격은 제대로 막지 못했다. 그게 약이 됐다. 올해 3·4디도스 공격은 하루 전인 3월 3일에 감지했다. 공격 정도는 7·7공격 때와 비슷했지만 정부 시스템의 피해가 거의 없었다는 평가를 받았다. 몇 차례 부탁한 끝에 9년차 중견 요원 이모 씨(35)가 긴박했던 당시 센터 상황을 전했다.

3일 새벽, 청와대와 국방부 시스템에 원인 모르게 트래픽(정보전송량)이 과도하게 유입되는 상황이 관제시스템 화면에 포착됐다. 그날 오전, 공격에 사용된 악성코드를 당장 확보하라는 지시가 현장 조사반에 내려졌다. 그날 오후, 공격 진원지에서 악성코드를 확보했다. 몇 시간 뒤 7·7공격 때처럼 개인 간 파일공유(P2P) 사이트를 통해 악성코드가 유포된 사실이 확인됐다. 요원들은 공격 목표가 된 정부기관에 이 사실을 알렸다.

그날 저녁, 관제시스템 화면에 또 다른 대규모 공격 징후가 나타났다. 디도스 공격용 악성코드가 다른 P2P 사이트에서 다시 유포되고 있었다. 이번엔 육군본부와 공군본부도 공격 목표가 됐다.

그날 밤, 공격 지령을 받은 국내 좀비 PC들이 청와대와 행정안전부를 공격했다. 요원들은 긴급 문자를 기관에 보내 공격자 IP 차단을 지시했다. 센터의 분석 결과를 토대로 안철수연구소를 비롯한 백신업체에서 백신 개발을 완료했다는 통보를 받았다.

4일 새벽, 분석팀이 변종 악성코드를 분석한 결과를 브리핑했다. 본격적인 디도스 공격이 4일 2차례로 예정돼 있음이 확인됐다. 공격 대상은 청와대와 국민은행 등이었다. 감염 이후 7일이 지나면 해당 PC의 하드디스크가 자동 파괴된다는 사실이 확인됐다.

요원들은 그날 아침 국내외 언론을 검토했다. 한 관계자는 “백신이 완성된 뒤 보도돼야 혼란이 덜하다”고 말했다. 다행히 별다른 내용이 보도되지 않았다. 요원들은 변종 악성코드의 분석 정보를 백신업체로 보냈다. 그날 오전 정부기관 회의가 소집돼 3·4 디도스 대란을 막기 위한 대책을 논의했다. 사이버위기경보단계가 ‘정상’에서 ‘주의’로 격상됐다. 그날 오후, 요원들의 분석대로 관제시스템에 대규모 공격이 시작됐다는 경고가 울렸지만 유비무환(有備無患)이었다.

요원들은 테러리스트들이 국가 기반 통신망을 장악하는 내용의 할리우드 영화 ‘다이하드 4.0’(2007년)이 영화 속 일만은 아니라고 말했다. 한 요원은 “국가사이버안전센터는 ‘보이지 않는 전쟁’을 수행하고 있다”고 말했다.

윤완준 기자 zeitung@donga.com