사이버 무기의 판도라 상자

미국과 이란의 사이버 전쟁 다룬 알렉스 지브니 감독의 다큐 스릴러 ‘제로 데이스’, 전쟁의 패러다임 바꾼 스턱스넷 바이러스를 추적한다

1
알렉스 지브니 감독은 사이버 무기를 둘러싼 비밀주의가 그 파괴적인 힘과 관련해 반드시 필요한 논의를 방해한다고 주장한다.

2012년 8월 15일 정체불명의 자기복제 컴퓨터 바이러스가 세계 최대의 석유 회사 사우디 아람코를 공격했다. 이 사이버 공격으로 3만 대의 컴퓨터에 들어 있던 모든 소프트웨어와 어마어마한 분량의 정보가 지워졌다. 4개월 후 또 다른 정체불명의 바이러스가 뱅크 오브 아메리카와 웰스 파고 등 10여 개의 미국 주요 은행을 공격해 온라인 서비스가 수 차례 중단됐다. 전문가들은 이 두 공격의 기술적 복잡성으로 미루어 볼 때 외국 정부의 소행일 가능성이 높다고 말했다. 하지만 확실한 증거를 찾지 못했기 때문에 버락 오바마 미국 대통령은 대외적으론 어떤 대응도 하지 않고 민간 부문에 피해 처리를 맡겼다.

하지만 오바마 대통령과 그의 최고 보좌관들은 그 공격이 누구의 소행인지, 또 이유가 무엇인지 알고 있었다. 그보다 얼마 앞서 미국과 이스라엘은 스턱스넷(Stuxnet) 바이러스를 이용해 이란 핵 프로그램의 핵심이었던 나탄즈의 원심분리기 1000여 대를 파괴했다. 미국 측은 미국 주요 은행에 대한 사이버 공격이 그에 대한 보복으로 이란 정부가 저지른 일이라고 결론 내렸다. 리처드 클라크 당시 백악관 사이버 보안 특별 고문은 이렇게 말했다. “백악관 관리들은 이 공격이 ‘스턱스넷으로 나탄즈를 공격했던 것과 같이 사이버 공간에서 우리를 공격하는 행위를 멈추라’는 이란의 메시지였다는 걸 알았다. 이란 측이 ‘우리도 할 수 있다’는 걸 보여준 것이다.”

알렉스 지브니 감독의 다큐 스릴러 ‘제로 데이스(Zero Days)’는 이 전례 없는 사이버 전쟁을 중심으로 펼쳐진다. 한 국가(혹은 일단의 국가)가 사이버 무기를 공격 목적으로 사용한 첫 번째 사례다. 지브니 감독은 가톨릭 교회의 성학대, 미 중앙정보국(CIA)의 고문, 사이언톨로지 교회 등에 대한 다큐멘터리를 제작했으며 에미상과 아카데미상을 수상했다.

이번엔 그가 완전히 새로운 부류의 대량파괴 무기인 사이버 무기 개발에 초점을 맞췄다. 이 영화의 제목 ‘제로 데이스’는 잘 알려지지 않은 소프트웨어의 취약점을 나타내는 컴퓨터 용어에서 따왔다. 제로데이 취약점은 문제의 존재를 널리 알리거나 해결책을 마련할 겨를도 없이 해커의 공격 대상이 될 수 있는 보안상의 취약점을 말한다. 지브니는 이 강력한 사이버 무기가 어떻게 한 나라의 전력망이나 수도 공급, 항공 교통 관제, 금융기관, 민간 및 군사 커뮤니케이션을 신속하게 파괴할 수 있는지를 보여준다. 공격자의 신분과 관련된 어떤 흔적도 남기지 않고 말이다.

그는 또 미국을 비롯한 여러 나라에서 사이버 무기를 둘러싼 비밀주의가 그 파괴적인 힘과 관련해 반드시 필요한 논의를 방해한다고 주장한다. 그런 논의의 부재가 사이버 무기 사용 제한을 위한 효과적인 대책 마련에 걸림돌이 된다는 설명이다.

‘제로 데이스’는 2010년에 일어난 한 사건을 극화한 장면으로 시작한다. 이란의 수도 테헤란 시내에서 오토바이를 탄 두 남자(얼굴은 헬멧으로 가려졌다)가 달리는 자동차 옆으로 바짝 다가간다. 차 안에는 이란의 핵 과학자 두 명이 타고 있다. 오토바이를 탄 남자들은 차 문에 시한폭탄을 붙이고 달아나고 몇 초 후 폭탄이 터져 과학자들이 죽는다.

이스라엘이 이런 공작과 공습 위협을 통해 이란의 핵 프로그램을 중단시키려 한다는 소문이 널리 믿어지던 시절의 이야기다. ‘제로 데이스’는 이 싸움의 감춰진 이면을 조명한다. 미국과 이스라엘 공작원들이 폭탄급 핵 연료를 생산하는 이란 시설을 파괴할 바이러스를 어떻게 투입했는지 보여준다. 그들은 사실상 사이버 전쟁의 새 시대를 열었다.

뉴욕타임스의 데이비드 생거 기자는 2012년 저서 ‘직면과 은닉(Confront and Conceal)’에서 ‘올림픽 게임’이라는 암호명으로 불리던 미국과 이스라엘의 합동 작전을 폭로했다. 스턱스넷 바이러스는 2008년과 2009년을 전후해 2년 이상 이란의 나탄즈 핵농축 시설에 있는 원심분리기의 속도를 교란시켜 결국 폭발하게 만들었다. 스턱스넷 바이러스가 세상에 알려진 건 2010년 이 바이러스의 좀 더 공격적인 버전을 실험할 때 프로그래밍 상의 실수로 바이러스가 세계 곳곳의 인터넷으로 확산됐기 때문이다.

지브니가 이 이야기를 다큐멘터리로 만들려고 나섰을 때 미국이나 이스라엘 관리들로부터 스턱스넷에 관한 정보를 얻을 수 없었다. 여전히 기밀사항으로 분류돼 있었기 때문이다. 러시아와 독일의 사이버 보안 전문가들도 협조를 거절했다. 그래서 지브니는 다른 사이버 보안 전문가들에게 이 바이러스의 작동 방식에 관한 설명을 요청했다. 그들은 나탄즈에 침투한 스파이가 썸드라이브(컴퓨터의 USB 포트에 꽂아 사용할 수 있는 휴대용 데이터 저장 기기)를 이용해 인터넷에 연결되지 않은 컴퓨터 네트워크에 바이러스를 투입했을 것으로 추측했다. 그리고 일단 바이러스가 원심분리기를 교란시키기 시작한 이후엔 정상 신호가 담긴 기록을 재생시켜 운영팀에게 발각되지 않도록 했을 것이라고 말했다. 원심분리기가 폭발했을 때 이란 기술자들은 그 이유를 모른 채 자신들이 뭔가 잘못했기 때문이라고 여겼다.

지브니의 조사에 따르면 스턱스넷의 개발은 조지 W 부시 정부 말년에 시작됐다. 그 작업에 참여했던 사람들은 CIA와 미 국가안보국(NSA), 사이버 사령부가 개입된 대규모 작전이었다고 말했다. 이스라엘 측에서는 모사드(비밀 정보 기관)와 해외정보국, 8200 부대(통신정보 부대)가 관여했고 영국 정보통신본부도 협조했다. 스턱스넷 바이러스의 코드가 완성되자 미국과 이스라엘은 이란에서 사용하는 것과 똑 같은 원심분리기를 이용해 시험에 들어갔다. CIA 관리들이 부시 대통령에게 스턱스넷이 파괴한 원심분리기의 파편을 보여주자 부시는 그것을 이란에 대해 사용할 것을 승인했다. 이렇게 해서 사이버 전쟁의 시대가 공식적으로 시작됐다.

이 작전에 참여했던 사람들은 미국과 이스라엘이 스턱스넷을 공동으로 개발했다는 사실을 인정하면서 카메라에 얼굴을 공개하지 않을 것과 이름을 밝히지 말 것을 요구했다. 기밀 정보 누설 금지 규칙에 위배될 것을 우려해서다. 그래서 지브니는 한 여배우(극적인 효과를 내기 위해 얼굴을 모자이크 처리했다)를 등장시켜 그 사람들이 한 이야기를 전달하게 했다. “스턱스넷은 훨씬 더 큰 대이란 작전 중 일부에 지나지 않았다”고 그 캐릭터는 말한다.

이 캐릭터는 또 이스라엘이 이란을 공격하거나 이란 핵협상이 실패할 경우를 위해 미국이 계획했던 또 다른 사이버 전쟁 프로그램[암호명 ‘나이트로 제우스(Nitro Zeus)’]이 있었다고 말한다. “나이트로 제우스는 이란의 전략통신과 방공, 전력망, 민간통신, 교통, 금융 시스템을 마비시킬 능력이 있었다”고 그 캐릭터는 말한다. “우리는 이란 컴퓨터 시스템 안에서 대기 중이었다. 언제라도 사이버 공격을 개시해 그 시스템들을 교란시키고 파괴할 준비가 돼 있었다. 그에 비하면 스턱스넷은 소규모의 은밀한 작전이었다. 나이트로 제우스는 전면적인 사이버 전쟁을 위한 계획이었다.”

미국과 이스라엘, 영국 정부는 스턱스넷을 개발했다고 인정한 적이 없다. 하지만 ‘제로 데이스’는 스턱스넷을 비롯한 컴퓨터 바이러스들이 전쟁의 패러다임 변화를 초래했다고 주장한다. NSA와 CIA 국장을 지낸 마이클 헤이든은 지브니에게 “마치 1945년 8월과 같은 분위기가 느껴진다”고 말했다. 원자폭탄이 최초로 사용됐던 때를 의미한다. “누군가 새로운 무기를 사용하면 그것을 다시 상자 안으로 집어넣을 수가 없다.”

맞는 말이다. 스턱스넷 이후 심각한 피해를 초래한 사이버 공격이 2번 있었다. 2014년엔 독일 강철 공장이, 2015년엔 우크라이나 전력망이 공격을 받았다. 사이버 보안 전문가들은 양쪽 다 러시아 해커들의 소행으로 여긴다.

핵무기의 확산은 공적인 논의를 촉발해 무기제한을 위한 수많은 조약의 체결을 부른다. 하지만 사이버 무기나 그것을 제한하기 위한 조약을 논하는 사람은 거의 없다. 오바마 대통령의 사이버 보안 고문을 지낸 클라크는 지브니에게 “사이버 전쟁이나 사이버 무기와 관련된 모든 사항이 비밀이기 때문에 그런 논의가 불가능하다”고 말했다.

미국 사이버 무기를 둘러싼 비밀주의는 제도적으로 유지된다. NSA에서 무기를 개발하면 대통령의 직접 지시를 받아 사이버 사령부에서 사용 개시 명령을 내린다. 무기의 관리는 CIA가 맡는다. 전문가들은 어느 정도의 비밀 유지는 필요하지만 너무 지나치면 해롭다고 말한다. “출처와 제조방식을 보호하기 위해서 비밀을 유지하는 건 정당화될 수 있다”고 롤프 모와트-라슨 전 CIA 관리가 영화에서 말했다. “하지만 미국인들이 꼭 알아야 할 사항까지 비밀에 부쳐서는 안 된다.”

일각에서는 사이버 공간을 규제하는 국제 규범이 없다는 영화의 주장에 이의를 제기한다. 미국 워싱턴에 있는 국제전략문제연구소(CSIS)의 사이버 전문가 제임스 루이스는 뉴스위크에 이렇게 말했다. “아직 초기 단계인 사이버 보안 시스템은 전략무기 체계처럼 탄탄하진 않다. 하지만 지금까지 이뤄진 일도 많다.” 미국과 러시아, 미국과 중국 사이에 체결된 사이버 보안 협정과 사이버 공간에서 전쟁법을 준수할 것을 각국에 촉구한 유엔 총회 결의안 등을 말한다.

이에 대해 지브니는 뉴스위크에 “미국은 사이버 무기 제한과 관련해 어떤 행동도 취하지 않았다”고 말했다. 사이버 무기 제한은 매우 복잡한 문제라는 게 한 가지 이유다. 일례로 어떤 나라가 사이버 전쟁 조약을 준수하고 있는지 어떻게 증명하겠는가? 랩톱 컴퓨터 수백만 대의 코드를 확인해서? 또 사이버 공간에서 ‘무력의 사용’을 어떻게 정의해야 할까? “강대국 간에는 사이버 공격이 물리적 피해나 사상자를 발생시켰을 경우를 의미한다는 암묵적 이해가 존재한다”고 루이스가 말했다. “하지만 정치적 융통성을 잃을 것을 우려해 누구도 그것을 성문화하려 하지 않는다”고 재빨리 덧붙였다.

그 말이 ‘제로 데이스’의 요점을 증명해주는 듯하다. 미국 사이버 사령부의 변호사를 지낸 게리 브라운 대령이 지브니에게 말한 것처럼 “현재로선 ‘무사히 넘어 갈 수만 있다면 무슨 짓이든 한다’는 게 사이버 공간의 규범이다.”

– 조너선 브로더 기자