지금 한국을 뒤흔들고 있는 SK텔레콤 해킹 사건은 방대한 유출 정보와 교묘한 공격 방식도 놀랍지만, 가장 충격적인 대목은 악성코드가 3년 전에 심어졌다는 점이다. 그 악성코드들은 오랫동안 국내 대표 통신기업의 서버 곳곳에 웅크려 있었다. 그런데 그 사실을 아무도 몰랐다.

이번 해킹은 악성코드를 장기간 숨겨뒀다가 특정 시점에 해커가 명령을 내려 코드를 일제히 활성화하는 이른바 ‘BPF도어’ 방식이다. 그렇게 2500만 명의 휴대폰이 털렸다. 영화 ‘킹스맨’에서 악당들이 전 세계 휴대폰 사용자들에게 무료 유심을 나눠주고 어느 날 초음파를 발생시켜 사람들을 착란에 빠뜨리는 장면을 연상시킨다. 그리 머지않은 미래에 비슷한 방식의 공격이 현실이 될 가능성을 보여준다.

이번 공격의 범인이 누군지, 왜 그랬는지는 불확실하다. 하지만 악성코드의 오랜 잠복은 적어도 이 공격을 주도한 이들이 돈이나 명성 등을 노린 게 아니라는 것을 방증한다. 그런 목적이었다면 이미 정보를 빼내 팔아치우거나 ‘사이버 인질극’을 벌였을 것이다. 많은 국내 전문가가 배후로 중국 정부를 지목하는 것은 이 때문이다. 이번 공격에 쓰인 BPF도어는 중국 해커 그룹들이 자주 쓰는 수법이다.

국내 최대 이동통신망이 뻥 뚫린 사실은 우리 생활 공간과 산업현장이 5세대 통신망과 인공지능(AI), 클라우드, 사물인터넷(IoT) 등을 활용한 초연결 사회로 진입하고 있다는 점을 생각하면 더 우려스럽다. 당장 우리 스마트폰과 스마트패드에 근거리 통신망으로 연결돼 있는 기기가 몇 개인지 보면 답이 나온다. 스마트 워치나 무선 이어폰 등 개인 기기와 TV 냉장고 등 생활가전, 자동차, 키오스크와 로봇, 항만의 크레인까지…. 현대 사이버 전쟁은 단순히 휴대폰이 먹통이 되고 끝나는 게 아니다. 국가 전체가 일순간에 멈출지 모른다. 실제로 지난해 미국 항만에 배치된 중국산 크레인에서 비밀 통신 모듈 등이 발견된 적이 있다. 이를 통해 외부에서 크레인을 조작하거나 정지시킬 수 있다는 점이 파장을 일으켰다. 중국산 크레인은 우리 항만에도 곳곳에 있다.

이번 사태에 대해 중국에 자꾸 의심의 눈길을 보내는 것은 몇 가지 오버랩되는 사안 때문이다. 이번 사태가 불거지기 전부터 중국 해커 조직 ‘레드 멘션’이 BPF도어를 활용해 아시아권 통신사와 금융사를 해킹한다는 보고가 잇따랐다. 지난해에는 또 다른 중국 해커 조직이 미국 통신사들과 연방정부 기관을 해킹한 사실이 공개되기도 했다.

중국 기업들은 이미 우리나라에서 불법과 합법을 넘나들며 데이터를 무차별로 빨아가고 있다. 생성형 AI 서비스인 딥시크와 전자상거래 플랫폼인 테무 등이 한국 국민들의 개인 정보를 무단으로 자국에 넘겨 논란을 빚었다. 중국의 자율주행 기술 기업이 얼마 전 처음으로 한국에 상륙한 것도 그 연장선에 있다. 중국 포니AI가 경기 성남시에서 시범 운행을 시작했다. 중국 기업이 우리 지도 데이터와 교통 정보를 수집할 길이 트인 것이다.

물론 중국의 모든 국내 활동에 무조건 색안경을 끼고 볼 일은 아니다. 한국의 각종 데이터를 탐내거나 해킹 시도를 하는 나라도 중국만이 아니다. 하지만 분명한 사실은 북한을 제외하고 한국이 사이버 전쟁을 벌일 개연성이 가장 높은 나라가 중국이고, 실제 그런 일이 벌어질 경우 대비책이 거의 없다는 점이다. 최소한 대비는 해야 한다.

주요국이 잇따라 사이버 국방력을 키우는 것도 그런 이유에서다. 일본은 며칠 전 ‘능동적 사이버 방어’ 법안을 통과시켰다. 해킹 공격 징후가 있으면 선제적으로 상대방 서버에 침입해 대응하겠다는 것이다.

전문가들은 중국과 대만의 갈등이 극단으로 치달아 무력 충돌이 벌어지면 한국에 대한 중국의 사이버 공격도 본격화할 것으로 경고한다. 주한 미군의 개입을 막기 위해 은밀하게 우리 안보 인프라를 무력화할 가능성이 있다는 것이다. 우리 호주머니 속 휴대폰부터 항만의 크레인까지 말이다. 문제는 그런 악성코드들이 어디에 얼마나 숨어 있는지, 어떤 은밀한 방식으로 우리를 감시하고 데이터를 캐내고 있는지 잘 모른다는 점이다. 그게 한꺼번에 모습을 드러내면 그땐 늦는다.