"악성코드가 우습나? 기상청만의 문제 아냐, 정보 주고받는 안보기관까지 위험"

기상청이 사용하는 중국산 기상장비에서 악성코드가 발견돼 파장이 일고 있다. 이번 사태를 두고 전문가들은 "국가 관측장비에 악성코드를 은닉했다는 것은 해킹으로 안보를 무력화하기 위한 교두보 확보 목적으로 해석될 수 있다"고 입을 모았다.

국회 환경노동위원회 소속 임이자 국민의힘 의원이 기상청으로부터 받은 자료를 10일 본지가 입수해 분석한 결과, 기상청이 2017년부터 도입한 중국산 연직바람관측장비 총 5대에서 데이터 및 프로그램 등을 훼손·변경·위조할 수 있는 악성코드가 발견됐다.

문제의 A사 장비는 국내 통관 이전에 이미 악성코드가 설치돼 들어온 것으로 드러났다. 지난해 11월 들여온 중국의 B사 장비 2대에 설치된 악성코드는 비교적 조기에 발견돼 조치됐다. 그러나 기상청은 현재까지 정확한 감염 경로를 파악하지 못하고 있다.

올해 6월 악성코드가 발견된 파주시에 위치한 A사 장비는 2017년 2월에 설치됐다. 6년 동안 중국발 악성코드에 감염된 채 장비가 가동됐다는 것이다.

군산·서귀포에 위치한 A사 장비도 각각 2018년, 2021년에 설치됐는데 모두 올해 6월이 돼서야 악성코드의 존재를 확인했다.

더욱 심각한 것은 기상청의 대응이다. 현재까지 기상청은 악성코드가 설치된 장비의 제조사에 관련 의견조차 전달하지 않은 상태인 것으로 나타났다.

"기상청과 관련 정보 주고받는 기관으로 악성코드 퍼질 가능성"

데이터 관리 체계를 겨냥한 중국의 사이버 공격은 날로 급증하고 있다. 특히 중국 정부와 연계된 해킹조직들은 시스템을 우회하는 복잡한 해킹기법을 동원하고 있는 것으로 전해졌다.

국정원에 따르면 지난 4월 중국과 연계된 해킹조직은 한국 정부 산하 기관의 민간 용역업체를 해킹했다. 한국과 일본을 주무대로 우주항공, 군, 방위산업, 중공업, 전자, 통신, 정부기관, 외교분야 등을 공격하는 것으로 알려진 해킹조직 '틱'이 지난 3월 국내 데이터손실방지(DLP) 솔루션 업체를 공격한 정황도 포착됐다.

정찬권 국가안보재난연구원장은 "기상청의 주요 장비에 악성코드가 심어지면 기상청과 관련 정보를 주고받는 기관으로 악성코드가 전파될 가능성이 있다"며 "그중에는 주요 안보 기관도 있을 것이라 생각한다"고 우려했다.

이어 "최근 중국은 풍선을 띄워서 정찰 활동을 많이 한다"며 "해킹한 우리나라 기상 장비로 정찰 계획을 수립한다거나 혹은 우리나라의 방첩활동을 교란시킬 수 있다"고 설명했다.

그러면서 "우리 국민들은 최근 새로운 위협으로 대두되고 있는 사이버 안보에는 둔감한 것 같다"며 "사생활 침해 등의 이유로 정부의 사이버 방첩활동에 제약이 많은 것이 현 실정"이라고 했다.

정 원장은 "국가 울타리가 제대로 서 있는 상태에서 개인 사생활도 있는 것"이라며 "사이버 안보 기본법과 같은 사이버 방첩활동을 법제화할 수 있는 제도적 장치 마련이 시급하다"고 강조했다.

권헌영 한국사이버안보학회 부회장은 "문제의 악성코드가 어떤 속성인지 분석해서 그 의도를 파악하고 보안 대책을 수립하는 것이 옳다"며 "사이버 안보 위협이 가중되고 있는 현 상황에서 국민들은 정부의 대응 태세에 잘 따라주는 게 중요하다"고 목소리를 높였다.

기창성 기상레이더센터 레이더운영 담당자는 뉴데일리와의 통화에서 "(악성코드가 발견된 문제의) 장비는 정부 조달 계약에 따라서 국가계약법에 의거해 채택했다"고 설명했다.

이어 "기술평가 및 가격평가를 통해 높은 점수를 받은 업체의 장비가 채택되는 방식으로 기술평가 90%, 가격평가 10%를 통해 점수를 산정한다"고 했다. 또한 "기술·가격평가 점수는 경쟁에 참여하는 다른 업체들 대부분이 대동소이하다"며 "미묘한 점수 차이로 해당 업체를 채택했다"고 말했다.

'6월부터 악성코드를 확인했는데 장비를 판매한 중국 업체에 항의를 하거나 대응 조치를 요구한 적이 있느냐'는 취재진의 질문에 이 담당자는 "공식적으로 얘기한 적은 없다. 현재 관계 기관에서 조사 중인 상태이기 때문에 결과가 나오고 관련 방침을 수립할 예정"이라고 답했다.

이 사태를 조사하고 있는 국정원 측은 "문제의 장비가 중국에서 수입되긴 했지만 누가 직접 악성코드를 심었는지는 조사 중에 있다"며 "구체적인 조치 방안은 조사 결과가 나와야 알 수 있을 것"이라고 전했다.

기상청이 추가로 도입하는 신형 모델… 악성코드 발견 더욱 어렵다

심지어 기상청은 악성코드가 발견된 중국의 A사 장비 2대를 올해 말까지 추가로 도입할 계획이다.

악성코드가 설치된 중국의 A사 장비 3대는 경기 파주, 전북 군산, 제주 서귀포에 배치됐다. 중국의 B사 장비 2대는 강원 철원, 경북 울진에서 가동 중이다.

문제의 장비들은 최대 3억9613만원에 달한다. 올해 연말 영광 안마도에 도입될 A사의 장비는 신형 모델로 계약 금액이 무려 7억9999만원이다.

신형 모델의 신호 처리부는 컴퓨터식 운영체제가 아닌 '임베디드 시스템'이 적용됐다. 기존 컴퓨터식 운영체제를 기반으로 한 장비의 악성코드는 국내 보안 검사를 통해 식별되고 제거될 수 있으나, 임베디드 시스템의 경우 장비 제조 시점에 악성코드 설치를 계획한다면 악성 기능의 존재와 피해를 파악하는 것 자체가 어려울 수 있다.

이번에 악성코드가 발견된 중국산 연직바람관측장비는 지상에서 약 5km 고도까지 바람의 속도와 방향을 측정하는 데 쓰인다. 악성코드는 모두 컴퓨터 운영체제(OS)를 기반으로 하는 '신호 처리부'에서 발견됐다. 신호 처리부는 연직바람관측장비의 부대장치로 수신부의 아날로그 신호를 디지털 신호로 변경하는 장치다.

임 의원은 "최근 사이버 위협은 지능적·목표지향적으로 고도화되고 있다"며 "국가 안보와 직결되는 국토와 기상 관측 장비에 대해서는 안전한 장비를 선별적으로 도입하고 각종 장비의 보안 매뉴얼을 대폭 강화할 필요가 있다"고 강조했다.

이어 "중국발 악성코드 문제는 우습게 볼 수 없는 지경에 이르렀다"며 "기상청만의 문제가 아닌 기상청과 정보를 주고받는 안보 기관까지 위험에 빠뜨릴 수 있다"고 경고했다.