미국과 이란의 사이버 전쟁, 위협으로만 끝나지 않을 수 있다
상태바
미국과 이란의 사이버 전쟁, 위협으로만 끝나지 않을 수 있다
  • 바실레이오스 카라지안노플로스 칼럼니스트, 사이버 범죄와 보안 전문가
  • 승인 2020.01.20 15:31
  • 댓글 0
이 기사를 공유합니다

(사진: Aleksandar Malivuk / Shutterstock)
(사진: Aleksandar Malivuk / Shutterstock)

올해 1월 초 미국이 무인기 공격으로 바그다드 공항 외곽에서 가셈 솔레이마니 이란군 혁명수비대 사령관이 숨을 거뒀다는 소식이 퍼지자 전 세계는 충격에 빠졌다. 미국 국방부는 해외 미국 인사들의 신변을 보호하기 위해 도널드 트럼프 대통령의 지시에 따라 공격을 감행했다고 설명했다.
 
그러자 아야톨라 세예드 알리 하메네이 이란 최고지도자는 솔레이마니 사령관의 죽음에 대한 강력한 보복을 다짐했고, 이란은 곧바로 이라크 주둔 미군 기지를 향해 미사일을 발사했다.
 
이러한 일련의 사건으로 미국과 이란 사이의 충돌이 격화될 수 있다는 우려가 광범위하게 확산됐다. 그리고 특히 우리의 일상생활에서 정보망과 사이버 공간이 갖는 중요성을 고려해봤을 때 이러한 충돌이 현실 세계에서뿐만 아니라 사이버 공간에서도 사이버 공격 형태로 표출될 수 있다는 우려도 커졌다. 그런데 이란이 지난 10년 동안 사이버 공격력을 향상시켜 왔다는 점에서 그러한 공격은 예상보다 심각한 결과를 초래할 가능성도 배제할 수 없다.
 
미국과 이란의 사이버 공격 능력

이란과 미국 사이에 일어났던 가장 기억에 남는 사이버 공격은 2010년 이란의 우라늄 농축시설을 감염시키고 원심분리기 오작동을 일으킨 스턱스넷(Stuxnet) 바이러스 공격이었다. 비록 어떤 나라도 자신들이 저지른 공격이라고 주장하지 않았지만, 미국과 이스라엘 전문가들의 소행으로 여겨졌다.
 
현재 미국의 사이버 전쟁 능력은 다면적·조직적이고 수준도 아주 높다. 2019년 10월, 미국 관리들은 로이터 통신과의 인터뷰에서 이란이 사우디아라비아 석유 시설을 겨냥해 드론과 미사일 공격을 단행했다는 주장이 제기된 후 이란의 선전 시설에 대해 비밀 사이버 작전을 개시했다고 털어놓았다.
 
반면에 이란 정부를 위해 일하고 있다는 의혹을 받는 이란 해커들이 뉴욕시 북쪽에 있는 소형 댐의 컴퓨터 제어장치에 침입해 들어간 사실이 2013년 밝혀졌다. 이 같은 해커들은 수십 곳의 대형 금융기관에도 사이버 공격을 가했고 고객들이 온라인에서 계좌에 접속하지 못하게 막았다.
 
지금과 같은 상황에서 이란은 솔레이마니 사령관의 살해에 대한 보복으로 미국을 겨냥해 사이버 공격을 하는 방안을 고려할 수 있겠다. 미국 국토안보부는 이란과 관련된 세력들의 사이버 공격 가능성을 인정하면서, 미국 기업들에게 그러한 공격이 그들 사업에 미칠 수 있는 영향을 검토하고 평가해보라고 경고했다.
 
이런 우려와는 달리, 일부 사이버 전문가들은 상당수 미국인에게 영향을 미칠 수 있는 이란의 주요 사이버 공격 능력을 평가절하해왔다. 심지어 사이버 공격이 이란에 충분히 공격적인 보복 수단이 되지 않을 수 있다고 주장하는 전문가들도 있다.
 
솔레이마니 사령관의 죽음 후 늘어난 것으로 알려진 정치적·민족주의적인 동기를 가진 해커들의 사이버 공격 가능성을 제기하는 것과 사이버 전쟁이라고 말할 수 있을 정도로 강력하고 엄청난 파급력을 가진 행위가 저질러질 가능성에 대해 말하는 건 완전히 다른 문제다.
 
당연히 후자의 영향력이 훨씬 더 강력하다. 군사 목표물을 무력화시키거나 공공부문에 심각한 피해를 주기 위해 중요한 기반시설을 장악하는 수준에 이를 수 있기 때문이다. 전쟁은 국가 간 충돌이기 때문에 정부나 군대가 개입한다.
 
그렇지만 사이버 공격을 특정 정부 탓으로 돌리기 어려울 때가 종종 있다. 원거리에서 정부가 공개적으로 동원 사실을 밝히지 않는 해커 집단이 특정 사이버 공격을 가할 수도 있기 때문이다.
 
국제법에 따르면, 국가들에겐 무력 공격을 받았을 때 스스로를 방어할 수 있는 합법적인 권리를 갖고 있는데, 심각한 사이버 공격을 받았을 때도 예외가 아니다. 미국은 사이버 공격에 군사력으로 대응할 권리를 명시적으로 밝혀왔다. 그러나 공격받은 국가가 사이버 공격의 배후로 지목한 국가가 공격 진행 사실을 확실히 알고 있었는지가 불분명하다면, 반격의 정당성은 약해질 수 있다.
 
사이버 대 물리적 공격

사이버 공격이 성공하지 못하더라도 물리적 보복을 낳을 수 있다. 이스라엘 방위군이 이스라엘 목표물을 공격했다는 이유로 2019년 5월 하마스 해커들을 상대로 가한 미사일 공격에 대한 기억은 아직도 생생하다.
 
미국이 만일 이란이 자국의 중요한 기반시설에 대해 사이버 공격을 가하려고 한다고 믿는다면 국제법에 따라 이란의 목표물에 대한 선제적·물리적 공격을 가할 수 있는 합법적 정당성을 확보할 수 있을 것이다. 그러나 사이버 공간에서 공격이 임박했을 때를 판단하기는 결코 쉽지 않다. 중대한 사이버 공격은 사전에 잘 계획되거나 아주 신속하게 실행될 수 있어서다.
 
아직 어떤 정부도 전쟁 행위로 간주할 수 있을 만큼 강력한 사이버 공격을 감행했다는 사실을 인정한 적이 없지만 그러한 전쟁의 발발 가능성은 상존한다. 실제로 그런 능력을 발휘하지 않더라도 그럴 수 있다는 위협만으로도 공격 대상국에게 파괴적인 결과를 초래하는 물리적 반격을 가하게 만들 명분을 제공해줄 수 있다.
 
* 본 칼럼 내용은 Asia Times의 편집 방향과 일치하지 않을 수 있습니다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사
이슈포토