전 세계가 충격에 빠지다…세상을 뒤바꾼 이스라엘의 "삐삐 폭탄" [스프]

* 브루스 슈나이어는 보안 기술 전문가로 하버드대학교 케네디스쿨에 출강한다.
이스라엘은 레바논 무장 정파 헤즈볼라를 향해 대담한 공격을 감행했다. 수백, 수천 대의 호출기, 양방향 라디오 등 무선 기기를 동시에 폭발시켜 37명을 죽였다. 사이버 보안 전문가들이 누차 경고했던 일이 일어났고, 이 끔찍한 장면은 생생한 화면으로 세상에 알려졌다. 전문가들은 현재 컴퓨터 장비의 국제적인 공급망 때문에 누구나 위협에 노출될 수 있다고 오랫동안 경고해 왔다. 우리에게 스스로 방어할 마땅한 수단이 없다는 것도 큰 문제다.

이번 공격은 많은 사람을 충격에 빠뜨린 점에서는 성공일지 모르지만, 사실 공격에 쓰인 기술이나 도구 가운데 특별히 새로운 건 없다. 이스라엘은 공식적으로 이번 공격이 자신의 소행이라고 확인하지도, 부인하지도 않고 있다. 그러나 공급망의 취약한 부분을 장악해 헤즈볼라 등 적군이 사용하는 장비나 기기에 소형 폭발물을 심어놓는 전략은 이스라엘이 오래전부터 쓰던 방식이었다. 이번 공격이 새로웠던 건 한 나라 전체를 공포에 몰아넣을 만한 양의 폭발을 동시다발적으로 일으킨 점이다. 이번 공격으로 평시, 전시는 물론 전쟁과 평화 중간쯤의 애매한 상황에서 강대국들 사이의 갈등과 경쟁이 앞으로 어떻게 펼쳐질지 모두가 두 눈으로 똑똑히 지켜봤다.

이번 공격을 그저 대테러 작전 정도로 이해하고 넘어가서는 안 된다. 우리의 컴퓨터가 갈수록 다양한 공격에 취약해지고 있으며, 공격의 표적이 될 수 있는 컴퓨터 칩이나 기기가 이미 우리 생활 깊숙이 들어와 있다는 사실이 중요하다. 자동차, 냉장고, 가정용 온도조절기를 비롯해 우리 생활을 편리하게 해주는 수많은 장치에 컴퓨터 칩이 들어 있다. 그 모든 칩이 공격의 표적이 될 수 있다.

삐삐와 무선 기기에 소형 폭발물을 심어놓은 것이 이번 작전의 핵심인데, 이는 이른바 "신발 폭탄 테러범"으로 알려진 리처드 리드가 2001년 비행기 안에서 폭탄을 터뜨리려 한 이후 고전적인 수법의 하나였다. 이후 공항마다 설치된 보안검색대는 모두 이런 소형 폭발물을 감지하도록 설계됐다. 승객의 몸과 화물칸에 부치는 짐을 검색하는 기기도 마찬가지다. 비행기에서는 극히 적은 양의 폭발로도 심각한 피해를 줄 수 있기 때문이다.

개인용 장비나 기기에 몰래 심은 폭탄을 터뜨려 암살하는 것도 고전적인 수법이다. 이스라엘은 1996년에 하마스의 폭탄 기술자를, 2000년에는 파타의 활동가를 이런 방법으로 살해했다. 두 명 모두 (이스라엘이) 휴대전화에 심어둔 폭탄이 원격 조종으로 폭발하면서 숨졌다.

이번 작전의 마지막 퍼즐이자 어쩌면 가장 복잡했을 과제가 바로 국제적인 공급망의 취약 지점을 공략해 전자장비를 대규모로 손상하고 거기에 일일이 폭탄을 심는 일이었을 거다. 다만 이는 미국도 전에 해본 적이 있는 일이다. (목적은 좀 달랐다.) 미국 국가안보국(NSA)은 운송 중이던 통신 장비를 가로채 거기에 폭발물 대신 도청 장치를 달아놓은 적이 있다. 국가안보국이 시리아 통신회사로 수출되던 시스코(Cisco)의 통신 장비에 도청 장치를 달았다는 사실은 에드워드 스노든의 내부 고발로 세상에 알려졌다. 알려진 사례는 이것뿐이지만, 국가안보국이 비슷한 작전을 여러 번 수행했을 거라고 얼마든지 추정해 볼 수 있다.

작전 대상을 속이려고 유령 회사를 만드는 일도 아주 빤한 수법이다. 보도에 따르면, 이스라엘 정보 당국은 헤즈볼라에 폭탄을 부착한 삐삐를 팔려고 이름뿐인 회사를 만들어 자신들의 정체를 숨겼다. 2019년, 미국 연방수사국(FBI)은 범죄자들에게 이른바 '대포폰'을 팔았다. 휴대전화에 도청 장치를 심어 범죄 조직을 일망타진하기 위한 작전이었다.

결국, 핵심은 우리의 공급망이 취약하다는 사실이다. 이는 곧 우리 중 누구도 안전을 보장할 수 없다는 뜻이다. 첨단 기술을 장착한 장비나 기기의 공급망에 어떤 식으로든 연관이 있는 자는 개인이든 국가, 단체든 마음만 먹으면 공급망에 개입해 장비나 기기를 바꿔놓을 수 있다. 아무도 모르게 도청 장치가 달릴 수도 있고, 중요한 순간에 작동하지 않게 먹통을 만들어놓을 수도 있다. 분명 더 어렵고 복잡한 일이겠지만, 누군가를 암살하기 위해 장치를 변경할 수도 있다.

인터넷에 연결된 개인용 기기를 거의 모든 사람이 한 번에 여러 개씩 사용하는 미국 같은 나라는 특히 위험하다. 2007년 아이다호 국립연구소는 사이버 공격을 통해 고전압 발전기를 시연 삼아 폭파했다. 2010년에 이란 핵시설의 원심분리기가 파괴됐는데, 미국과 이스라엘이 개발해 유포한 컴퓨터 바이러스가 원인으로 지목됐다. 2017년 위키리크스가 공개한 중앙정보국(CIA) 기밀문서 중에는 자동차를 해킹해 원격에서 폭발을 일으키는 방법에 관한 문서가 있었다. 위키리크스는 이런 공격이 실제로 감행된다면 "쥐도 새도 모르게 누군가를 암살"할 수 있을 거라고 주장했다. 해킹은 실제로도 가능했다. 2015년 와이어드의 기자가 해커들에게 자기 차를 운전 중에 원격으로 조종해 보라고 한 뒤 그 경험을 기사로 썼다. 해커들은 고속도로를 주행 중인 차량의 엔진을 꺼버렸다.

(남은 이야기는 스프에서)