한·미 대통령의 통화내용이 포함된 정부의 2009년 대외비 문건이 중국 해킹에 노출됐다는 주장이 나와 논란이 되고 있다. 민주당 신학용 의원은 5일 “외교부가 2009년 4월 영국 런던에서 열린 주요20개국(G20) 정상회의를 앞두고 작성한 대외비 문서가 중국 측에 흘러갔다는 사실을 국정원의 대면보고를 받아 파악했다.”고 주장했다. 신 의원에 따르면 외교부가 작성한 ‘G20 런던 정상회의 대비안’ 문서는 2009년 1~2월 3차례에 걸쳐 수정, 보완된 것으로 G20 정상회의에 임하는 정부의 입장과 전략, 해외공관을 통해 입수한 정보 등이 포함돼 있다. 이 시기는 2008년말 글로벌 경제 위기로 인해 환율과 중국 위안화 절상 문제가 초미의 관심사였던 때다. 이 문서에는 특히 한·미 대통령의 통화내용 요지도 포함됐다고 신 의원 측은 주장했다. 이 문서는 또 정부 업무용 이메일이 아니라 해외공관에서 근무하는 공무원들이 일반 상용메일을 통해 주고 받다가 중국의 해킹망에 걸려든 것으로 알려졌다. 공무원들의 해킹 불감증이 도마에 오르는 부분이다. 이에 대해 외교통상부는 해명자료를 통해 “2009년 3월 모 부처 공무원이 상용메일을 통해 해외에 있는 동료 직원과 G20 정상회의 관련 문건을 주고 받는 과정에서 해킹 사실을 발견해 관계기관에서 조치를 취한 적은 있다.”면서 “그러나 외교부 이메일이 해킹당한 적은 없다는 것을 확인했다.”고 밝혔다. 이어 “한·미 정상 간 통화내용이 해킹됐다는 것은 사실이 아니다.”라고 설명했다. 외교부는 업무 관련해서는 외교정보 전용망을 사용하고, 자료를 인터넷 PC에 보관하는 것은 금지하고 있다고 덧붙였다. 윤설영기자 snow0@seoul.co.kr

최근 발생한 농협 전산망 마비사태가 우리에게 더욱 충격으로 다가온 것은 고도로 훈련된 해커에 의한 사이버 테러라는 점에서다. 특정 경로와 대상, 시간을 지정해 정밀타격 식으로 이뤄지는 사이버 공격은 간단한 악성코드만으로 쉽게 실행할 수 있는 디도스(DDoS·분산서비스 거부) 공격과는 차원이 다르다. ‘핵 공갈’을 능가하는 위협거리다. 엊그제 외신은 우리의 사이버 안보 우려가 언제든 현실이 될 수 있다는 섬뜩한 경고음을 전한다. 미국 폭스뉴스에 따르면 북한은 해킹 등 사이버 전쟁을 펼칠 3만명의 병력을 보유하고 있으며 그 능력은 미국 중앙정보국(CIA)에 맞먹는다고 한다. 더구나 군의 핵심 엘리트로 정예화하고 있다니, 사실이라면 우리로서는 그야말로 사이버안보 비상사태라도 선언해야 할 판이다. “현대전은 전자전이다.”라는 김정일 국방위원장의 언급 이후 북한은 해킹부대를 본격적으로 운영하는 등 사이버 전력 강화에 박차를 가하고 있다. 우리 사이버 안보 현실은 어떤가. 우리는 북한의 대남 사이버 전력이 어느 정도인지조차 정확히 가늠하지 못하고 있는 형편이다. 북한은 우수 대학생을 뽑아 해킹과 사이버전 프로그램을 개발하는 비밀학교에 보낸다는 얘기도 있다. 사이버 테러가 고도의 지능범죄임을 감안하면 사이버 보안기술의 개발과 전문인력의 육성은 아무리 강조해도 지나치지 않다. 정보기술 강국인 우리가 사이버 안보에 눈뜬 것은 2009년 7·7 사이버 대란을 겪고 나서다. 사이버 전사 10만 양병설이 힘을 얻기도 했다. 그러나 위기의 순간 반짝 긴장했을 뿐 우리의 사이버안보 현주소는 초라하기 짝이 없다. 사이버 안전을 책임지는 국가정보원의 역할을 강화하는 것이 맞다. 이미 본란을 통해 지적했지만 정보통신기반보호법 개정이 시급하다. 정략적 접근에서 탈피해 국정원이 명실상부한 사이버 대응 컨트롤타워 역할을 하도록 해야 한다. 미국 백악관은 지난주 해킹으로 개인정보가 유출됐을 경우 정부가 적절한 조치를 강제할 수 있도록 하는 ‘사이버안보법’을 의회에 제출했다. 국가안보 차원의 민·관·군 총체적 대응만이 사이버 위험사회에서 살아남을 수 있는 길이다.

북한의 사이버 공격에 세계 최고 수준의 정보기술(IT) 강국인 우리가 속수무책으로 당하고 있지만 대책 마련이 여의치 않다. 2009년 ‘대란’으로까지 불린 청와대 등 국내 주요 기관 웹사이트에 대한 디도스(DDoS·분산서비스거부) 공격은 물론 지난달 농협 전산망 마비사태 또한 북한 소행으로 드러났다. 하지만 일사불란한 총력 대응이 안 되고 있다. 북한의 사이버 테러에 이처럼 무기력한 것은 우리 사이버 안보 환경에 뭔가 심각한 구멍이 있다는 얘기다. 그런 점에서 정부가 관련 부처별 역할과 기능을 재정립하고 제도적 미비점을 보완한 사이버안보 마스터플랜을 마련하기로 한 것은 늦었지만 다행이다. 우리는 날로 빈도와 강도를 더해가는 북한의 사이버 위협에 효율적으로 대처하기 위해서는 무엇보다 국가 차원의 일원화된 상시 대응체계가 확립돼야 한다고 본다. 정보통신기반보호법(제7조 3항)에 따르면 국정원은 금융 정보통신기반시설 등 개인정보 저장시설에 대해서는 기술적 지원을 할 수 없다. 그런 만큼 정부와 공공기관 외에 민간부문의 사이버 안전에 대해 최고의 정보기관인 국정원은 손을 놓고 있을 수밖에 없다. 국정원이 개인정보가 저장된 정보통신기반시설에 무시로 접근하게 되면 개인정보 유출로 사생활 침해를 부를 수도 있다. 그러나 북한의 사이버 공격이 민·관(民官)을 가리지 않고 이뤄지는 현실을 감안하면 국가 사이버 안전 업무를 총괄하는 국정원을 절름발이 상태로 놓아둘 수만은 없다. 북한은 1980년대부터 해킹부대를 운용하는 등 사이버 도발 태세를 한층 강화하고 있다. 사이버 안보의 강화는 국정원의 역할 차원을 넘어 국가의 존망이 걸린 일대사다. 제2, 제3의 농협사태를 막기 위해서라도 정보통신기반보호법의 개정은 불가피하다. 국정원의 민간 사이버 안전활동은 허용하되 사생활 침해는 막는 감시·감독 장치를 촘촘히 마련하는 데 좀 더 지혜를 모아야 한다.

앞으로 해외로부터의 사이버 공격에 대해서는 외교 안보 문제로 격상시켜 국제기구를 통해 대응하게 된다. 또 사이버 위협에 대해 범정부적으로 총괄 대응할 수 있는 일원화된 체계를 구현하는 등의 ‘사이버 안보 마스터플랜’이 수립된다. 정부는 11일 원세훈 국가정보원장 주관으로 기획재정부, 외교통상부, 국방부, 행정안전부, 방송통신위원회 등 14개 부처 차관이 참여한 국가사이버안전 전략회의를 열고 사이버 안보 마스터플랜을 수립하기로 했다. 국가사이버안전 전략회의는 2009년 ‘7·7 디도스(DDoS·분산 서비스 거부) 공격’ 후 열렸다가 2년 만에 다시 개최됐다. 정부가 마스터플랜을 추진하는 데는 7·7 디도스 공격과 올해 ‘3·4 디도스 사태’에 이어 농협 전산망 해킹 등 사회 혼란을 일으키는 사이버 공격이 지속적으로 고조되고 있다는 점이 배경으로 작용했다. 특히 농협 전산 장애 등 금융권에 대한 공격이 추가로 발생할 수 있다는 판단에 따라 금융 보안을 대폭 강화하고 외주 용역 보안관리 실태를 조사해 대책을 마련키로 했다. 또 해외를 경유한 사이버 공격에 대해 발생 초기에서부터 국제기구를 통해 외교 안보적으로 대응한다는 전략을 세웠다. 정부는 주요 기반 시설 등 경제·산업 전반의 사이버 보안 강화에 나서기 위한 전문 조직과 인력, 예산도 확충한다. 국민에게는 사이버 보안의식을 제고할 방침이다. 국정원은 14개 부처 공동으로 태스크포스(TF)를 구성하기로 했다. 부처별로는 세부 추진 방안을 마련해 7월 중 이명박 대통령에게 보고한 후 시행할 방침이다. 방통위 관계자는 “사이버 공격에 대해 매우 심각한 우려가 제기되고 있어 2년 만에 범정부적으로 전략회의를 열게 됐다.”며 “각 부처의 실무자급에서 구체적인 액션 플랜을 마련해 국가적 차원에서 보안을 재점검하고 강화하는 대책이 마련될 것”이라고 말했다. 안동환기자 ipsofacto@seoul.co.kr

농협 전산망 마비 사태를 3주 동안 수사한 검찰은 이 사건을 ‘북한 정찰총국이 주체가 돼 치밀하게 준비한 사이버 테러’라고 결론지었다. 과거 7·7 디도스(DDoS·분산 서비스 거부), 3·4 디도스 공격 대란 때와 같은 결론이다. 검찰은 국가정보원이 축적한 자료를 바탕으로 이와 같이 판단했다. 하지만 여기에는 농협의 허술한 보안도 한몫한 것으로 드러났다. 3일 검찰 등에 따르면 농협 사태를 북한 소행으로 보는 가장 주요한 근거는 농협 서버 삭제 명령이 내려진 한국IBM 직원 노트북의 ‘맥 주소’(MAC Address·랜카드 고유 번호)가 북한 측에서 관리하는 ‘좀비PC’ 맥 주소 목록에 포함돼 있다는 사실이다. 국정원은 지난해 9월쯤 북한이 국내에 대대적으로 악성코드를 유포하고, 여기에 감염된 좀비PC들의 맥 주소를 목록으로 정리·관리해 왔다는 사실을 포착했다. 국정원은 해당 목록을 입수해 보관해 왔는데, 이번 사건에 활용된 노트북 맥 주소가 이 목록에 포함돼 있었던 것이다. 또 동일 집단이 아니고서는 불가능할 정도로 비슷한 수법으로 같은 프로그램이 활용됐다는 것도 중요한 정황 증거다. 검찰 관계자는 이를 두고 “수법이 같다는 건 사람의 필적이 같은 것과 비슷한 이치”라고 표현했다. 우선 악성코드를 ‘A로 시작하는 45자의 암호키’를 사용해 숨겨둔 수법이 이전과 똑같았고, 공격에 활용한 인터넷 프로토콜(IP) 주소 1개는 3·4 디도스 때와 완전히 일치하는 것으로 조사됐다. 여기다 일부 악성코드는 3·4 디도스 때와 이름이 같았고, 삭제 명령 대상이 된 30여 개 파일 확장자도 7·7 디도스 때와는 93%, 3·4 디도스 때와는 100% 일치했다. 이번 공격이 상당한 규모의 인적·물적 지원 없이는 불가능한 범죄라는 점도 검찰이 북한의 소행이라고 추정하는 간접적인 이유다. 그러나 검찰은 이번 사건을 북한이 주도했다는 ‘확실한 증거’는 제시하지 못했다. 검찰은 한국IBM 직원의 노트북에서 27개 해외 IP를 발견했으나, 어느 IP를 통해 삭제 명령이 내려졌는지는 특정하지 못했다. 또 7·7 디도스, 3·4 디도스 사건 당시 “북한 개입으로 추정한다.”는 결론을 내리고서는 이번에 다시 그 사건들과의 공통점을 근거로 북한 소행으로 결론내리는 것에 대해 논리성이 떨어진다는 비판을 피할 수 없을 것으로 보인다. 또 국정원이 해당 악성코드 유포 사실을 지난해 9월 확인해 치료 작업에 들어갔는데도 주요 금융기관인 농협의 서버 관리 컴퓨터가 반년 넘게 치료되지 않았다는 점도 의문이다. 검찰은 향후 추가 범죄가 발생할 가능성도 있다고 보고 있다. 검찰은 이와 함께 이번 사건에서는 농협의 허술한 보안 정책도 한 원인이 됐다고 밝혔다. 농협 직원의 컴퓨터라면 반드시 깔려 있어야 하는 보안 프로그램이 한국IBM 직원의 노트북에는 깔려 있지 않았고, 해당 직원은 서버 관리용 노트북으로 자유롭게 인터넷 서핑이나 웹하드 자료 다운로드를 즐겼다. 강병철기자 bckang@seoul.co.kr

최근 누군가 외국 대통령 특사단 숙소에 잠입한 사건이 언론에 공개되면서 나라 안팎이 소란스럽다. 옛 소련과 동유럽권의 붕괴로 체제 경쟁은 막을 내렸지만 국경 없는 세계화가 가속화되면서 ‘영원한 적도 친구도 없는’ 첨예한 정보전쟁 시대가 도래했다. 작은 정보 하나가 국가의 이익과 미래를 좌우하는 시대가 되면서 안보 개념은 기술정보, 문화, 인적자원 등 총체적 국익수호 차원으로 확대됐다. 세계적으로 연계된 범죄·테러 조직이나 마약으로부터 국민을 보호하는 것뿐 아니라 국가 산업기술의 유출방지, 국가 간 협상이나 경쟁 및 투자에 필요한 정보 수집과 지원도 국가안보 차원에서 다뤄지고 있다. 국가 간 ‘정보전쟁’이 치열해지면서 각국이 가진 정보는 국가의 생존과 번영을 좌우하는 원동력이 되었고, 정부가 올바른 방향을 선택하고 효율적인 정책을 구현해 나가도록 도움을 주는 핵심 요소가 됐다. 바야흐로 정보력이 곧 국력이 됐다. 무역협상 무대도 전쟁터와 마찬가지다. 뛰어난 정보와 첩보 역량을 갖춘 쪽이 이기게 된다. 첩보원 한 명이 수집한 정보가 협상의 전세를 완전히 바꿀 수 있고 수천억~수조원의 국가 이익을 가져올 수 있다. 이런 현실을 살피면 새로운 분야에서 첩보활동이 강해지고 있는 분위기는 그리 놀랄 일은 아니다. 실제로 미국, 유럽, 일본 등의 선진 정보기관들은 무역회담에 임하는 외교통상 분야 관리들을 지원한다. 상대국과의 자유무역협정(FTA) 협상이나 주요 상품의 수입·수출을 둘러싼 갈등의 해결 과정에서 협상 대표들은 정보기관의 보고서를 공공연하게 사용한다. 협상에서 더 많은 국익을 가져오려고 감청, 해킹, 잠입 등 영화에 등장하는 온갖 방법이 실제 사용되리라고 예측하는 것은 그리 어렵지 않다. 지난 16일 한국을 방문 중이던 인도네시아 대통령 특사단의 숙소에 국정원 직원이 잠입했다는 내용이 언론에 보도됐다. 이것이 정녕 사실이라면 국정원의 아마추어적 실수는 비난받아 마땅하다. 그러나 더욱 놀라운 사실은 피해 당사자인 인도네시아 정부 쪽이 아닌 가해자인 한국의 언론에서 이를 보도했다는 것이다. “회담이 성공적이었다.”고 했던 인도네시아 측은 한국 언론의 보도로 말미암아 공식적으로 문제 삼기 시작했다. 양 정부 차원에서 이루어졌을 상호이해적 거래는 언론보도 때문에 어쩔 수 없이 깨지고, 한국과 인도네시아 사이의 신뢰에는 금이 가기 시작한 것이다. 언론의 역할은 사실을 알리는 데에만 있는 것인가라고 묻지 않을 수 없다. 국익과 사실 사이에서 균형미를 이끌어 내는 성숙한 언론이 되었으면 좋겠다. 정치권은 이 사건을 자신들의 정치적 목적이나 개인적 이익을 위해 사용하지 않았으면 좋겠다. 국익 앞에서는 이념과 당략을 떠나 한목소리를 내는 타 선진국의 모습을 우리 자신에게서도 보고 싶다. 국가의 이익을 위해 목숨을 내놓고 음지에서 일하는 정보기관 요원들을 보호하고 격려해야 하는 것은 결국 우리 정부와 국민임을 잊어서는 안 될 것이다. 이번 정보기관에 대한 언론과 정치권의 비난 탓에 한국 자신보다 인도네시아를 비롯한 외국이 더 착잡한 시선으로 우리를 바라보지 않을까 심히 걱정된다.

국정원 등 정보당국이 다음 달 11일 서울에서 개최되는 G20 정상회의를 앞두고 북한 인민무력부 정찰총국 산하 사이버 부대가 G20 준비위원회 홈페이지에 대한 해킹을 수차례 시도한 정황을 포착한 것으로 나타났다. 28일 서울 서초구 내곡동 국가정보원 청사내에서 비공개로 진행된 국정원 국정감사에서 원세훈 국정원장은 “수천명에 달하는 해커조직을 갖춘 북한 인민무력부 정찰총국산하 사이버테러부대가 G20 정상회의 준비위원회 홈페이지는 물론 국내 국회의원 보좌관 PC까지 수차례 해킹을 시도한 것으로 나타났다.”고 보고했다고 참석 의원들이 전했다. 또한 국정원 측은 북한의 천안함 사건이 화폐개혁 실패 만회 때문이라는 일부 언론 보도와 관련해 “신빙성이 낮다.”고 밝혔다. 김정은기자 kimje@seoul.co.kr

지난달 중국에서 사이버 대란이 일어났다. 피해는 무려 컴퓨터 600만대와 산업시설 1000여곳. 스턱스 넷(Stuxnet) 웜이란 컴퓨터 바이러스에 공격당했다. 그 일주일 전 이란 핵시설에 침투한 것과 같은 종류다. 웜 바이러스가 무기화된 사례로 꼽힌다. 이른바 사이버전(戰)이다. 걸프전 때 미군 전투기들은 전자파를 쏘았다. 공격 대상은 이라크 공군의 컴퓨터. 이라크군은 전자파 교란으로 미 전투기를 찾기 어려웠다. 전자전(戰)이다. 사이버전은 인터넷 등 사이버 공간을 이용한다. 트로이 목마, 논리폭탄(logic bomb) 등은 사이버무기다. 전자는 상대 정보망에 침입해 정보를 빼내거나 파괴시킨다. 후자는 일정한 환경이 조성되면 데이터를 파괴하거나 장애를 발생시킨다. 전자전은 전자파를 이용한다. 전자기 펄스(EMP) 폭탄이 대표적인 무기다. 강력한 전자기 펄스가 전자회로를 녹여버린다. 인명 손상은 없다. 전자기 펄스는 핵 폭발 때 발생하는 것이다. 고출력 마이크로 웨이브총(herp gun)도 있다. 높은 에너지의 전파로 전자장비를 마비시킨다. 사이버전·전자전 경쟁이 뜨겁다. 미국 오바마 행정부는 이달부터 사이버 사령부를 운영한다고 밝힌 바 있다. 중국은 250개 사이버 부대에 사이버 전사가 5만여명에 이른다. 북한군은 대규모의 사이버 테러부대를 운영하고 있다. 전자전 부대는 총참모부 예하에 1개 연대와 전방 4개 군단에 각각 1개 대대 규모라고 한다. 물론 이것도 2005년 국방부 자료다. 이후 늘렸을 가능성도 있다. 지난해 국가 주요 기관들의 인터넷 사이트가 마비됐다. 북한의 해킹 전담 110호 연구소가 배후라는 게 국정원의 분석이다. 북측의 사이버 도발은 여러 형태로 전개돼 왔다. 전자전 도발이 공개된 건 최근이다. 지난 5월 한 선교단체가 공개한 ‘2005년 북한 인민군 전자전 참고자료’를 통해서다. 석달 뒤 첫 도발 사례가 나왔다. 서해안 지역에서 발생한 위성위치확인 시스템(GPS) 전파수신 장애가 바로 그것이다. 북한이 GPS 재머(jammer)라는 전파방해 장치를 사용한 것으로 군 당국은 보고 있다. GPS 재머는 전자기 펄스 폭탄을 만드는 핵심 기술 중 하나다. 최근 북한군의 전자전 비밀교범이 공개됐다. 김정일 국방위원장의 말이 명시돼 있다. “현대전은 전자전이다.” 북한군이 종합적인 전자전 수행 능력을 보유하고 있는지 미지수다. 하지만 최소한 국지 도발은 가능하다는 게 드러났다. 방심하면 또 당한다. 박대출 논설위원 dcpark@seoul.co.kr

국가정보원이 스마트폰이 보안에 취약하다면서 공무원에게 스마트폰으로 전자결재를 하는 것을 금지한 것으로 확인됐다. 경찰청은 11일 “국정원이 지난 4월 스마트폰으로 전자결재를 하거나 내부 전자우편을 열람하는 행위를 제한하라는 공문을 보내왔다.”고 밝혔다. 국정원은 스마트폰을 쓸 때 해킹을 당해 내부 자료가 유출되는 것을 막기 위해 각 부처에 이 같은 조치를 취한 것으로 알려졌다. 경찰 관계자는 “모든 국가기관이나 공공기관에 공문이 내려갔고 보완책을 마련할 때까지 제한하는 것으로 알고 있다.”면서 “다만 업무용 컴퓨터와 연결해 사용하는 것만 차단하고 있다.”고 전했다. 지난달 말 현재 국내 스마트폰 가입자 수는 286만명에 이르고 있으나 보안에 취약하다는 지적이 나오면서 독일 정부는 아이폰과 블랙베리폰을 이용한 사이버 공격에 대비, 공무원들에게 해당 기기 사용을 금지시키기도 했다. 김효섭기자 newworld@seoul.co.kr

경기도 파주시 2025 도시기본계획 수정과정에서 일부 군사기밀이 포함된 대외비 내용이 외부로 유출돼 국정원이 조사에 나섰다. 23일 파주시와 국정원에 따르면 국정원은 지난 18일 파주시의 용역을 받아 2025 도시기본계획 수정 작업을 하던 D업체의 컴퓨터 본체를 압수하는 등 자료 유출 경위를 조사하고 있다. 앞서 국정원은 해킹을 통해 해외로 정부기관이나 기업의 자료가 해외로 빠져나가는 상황을 주시하던 가운데 파주시 2025 도시기본계획 수정 자료의 일부가 인터넷상에 유포되고 있는 것을 확인했다. 도시기본계획 수정 자료에는 군부대 이전 계획 등 일부 군사기밀이 포함돼 있다. 윤상돈기자 yoonsang@seoul.co.kr

정부가 5월 중 스마트폰에 기반한 모바일 전자정부 시스템을 시범 도입한다. 하지만 보안 문제를 우려한 국가정보원의 제동으로 당초 계획됐던 전자결재는 일단 제외시킨 채 업무보고용으로 사용하게 됐다. 행정안전부 정보화전략실은 9일 “스마트폰에 장착할 전자정부 프로그램 시행사 입찰공고를 이달 안에 낼 계획이다.”고 밝혔다. 모바일 전자정부 시스템은 먼저 행안부 실·국장급과 실시간 보고, 현장업무가 많은 일부 부서를 대상으로 시범실시된다. 주요 프로그램은 문서·지침 시달과 업무의견 실시간 교환, 간이 보고 등이다. 대상자들에겐 전자정부 프로그램이 탑재된 스마트폰이 지급된다. 부처 외부나 지방 출장지에서도 모바일로 실시간 업무처리가 가능해지게 된다. 소요예산은 1억원가량이다. 행안부 관계자는 “일반 업체에서 기사용 중인 프로그램을 기반으로 활용할 예정이어서 예산 규모는 크지 않다.”고 설명했다. 시범 서비스 결과를 평가해 향후 적용 부처의 확대 여부를 결정하고, 모바일 G4C서비스 구축까지 검토할 계획이다. 당초 정부는 지난해 말부터 스마트폰 바람이 불자 전자결재 업무까지 휴대폰에 장착하는 것을 목표로 연초부터 국정원과 내부협의를 벌여왔다. 그러나 양쪽에서 기대하는 보안 수준이 달라 난항을 겪어왔다. 국정원은 ‘미국 행정부 수장(대통령)급’에게 적용되는 최고 수준의 보안을 요구했던 것으로 전해졌다. 특히 국정원 관계자는 ‘버락 오바마 미 대통령이 백악관에 입성할 때 기존에 사용하던 블랙베리폰 보안 프로그램을 모두 새로 짰다.’는 예를 들며 “행안부도 이 정도는 충족시켜야 하지 않겠느냐.”고 말했다는 후문이다. 앞서 국정원은 지난해 말 정부부처와 한국은행 등 공기업·기관에 스마트폰 관련 보안관리 강화를 요청하는 문건을 보내며 ‘보안령’을 내리기도 했다. 턱없이 높은 국정원의 요구에 행안부는 난색을 표시했다. 신속한 의사결정을 토대로 일처리 속도를 높이려면 ‘보안’ 걸림돌에 걸려 마냥 기다릴 수만은 없다는 판단에 따른 것이다. 결국 행안부는 일단 결재 프로그램은 제외한 채 문서전달, 보고용으로 스마트폰을 ‘선도입’하기로 결정했다. 행안부 관계자는 “스마트폰을 업무에 활용하는 강점이 충분히 크기 때문에 보안문제는 계속 협의해나가겠다.”고 밝혔다. 모바일 전자정부의 ‘핵심’은 실시간 결재라는 점을 감안, 보안 솔루션을 더 찾아보겠다는 계획이다. 휴대폰이 해킹 위험이 높은 만큼 각종 비밀문건, 전화번호 유출을 막기 위한 방화벽을 강구해야 한다. 행안부는 “자택 전자결재의 경우 가상사설망(VPN)을 통해 행정업무시스템 ‘하모니’에 접속하면 가능하다.”면서 “대상 업무를 더 확대해나갈 것”이라고 밝혔다. 이재연기자 oscal@seoul.co.kr

국가정보원은 최근 공공기관을 대상으로 유포되고 있는 해외발 해킹 메일과 관련, 25일 오후 5시부터 사이버 위협 경보단계를 ‘정상’에서 ‘관심’으로 상향 조정했다. 사이버 위협 경보단계는 위협수준에 따라 정상-관심-주의-경계-심각 등 5단계로 구분된다. 국정원 국가사이버안전센터는 “지난 19일부터 신원을 알 수 없는 해외의 해킹 조직이 우리 정부기관을 대상으로 1000여통의 해킹메일을 유포하고 있다.”면서 “의심되는 메일은 열람하지 말아야 한다.”고 당부했다. 이번 해킹 메일의 발신자는 주로 익명이다. 수신함에서 메일 제목을 클릭하면 마치 로그아웃 된 것처럼 다시 로그인 화면이 뜨는 것이 특징으로 알려졌다. 김정은기자 kimje@seoul.co.kr

‘7·7 디도스 대란’의 진원지가 영국이라는 주장이 나왔다. 방송통신위원회와 한국정보보호진흥원(KISA)은 14일 아시아태평양침해사고대응팀협의체(APCERT)에 소속된 베트남 컴퓨터 보안업체 브키스(Bkis)로부터 이번 디도스 공격을 일으키는 ‘마스터 서버’가 영국에 위치해 있다는 분석결과를 전달받았다고 밝혔다. 방통위는 이 같은 사실을 국가정보원과 경찰청에 통보했다. 브키스는 좀비PC에 설치된 악성코드와 교신하는 경유지 서버 8곳을 확보해 2곳의 서버 로그인 정보를 분석한 결과 윈도2003서버의 운영체제(OS)를 가진 영국 소재의 마스터 서버와 연결돼 있었다고 밝혔다. 앞서 국정원은 19개국 92개 인터넷주소(IP)를 통해 디도스 공격이 진행됐다고 밝혔다. 하지만 방통위는 영국이 이번 공격의 진원지라고 단정할 수는 없다는 입장이다. 황철증 방통위 네트워크정책국장은 “디도스 공격 명령을 내리는 마스터가 추가로 나올 수 있다.”면서 “영국 서버가 해킹당했을 가능성도 배제하기 어렵다.”고 말했다. 김효섭기자 newworld@seoul.co.kr

　지난 7일 시작된 ‘디도스(DDoS) 공습’이 1주일간의 혼란 끝에 마무리 단계에 접어들었다.정부는 14일 이번 인터넷 침해사고의 ‘주의’ 경보를 ‘관심’ 등급으로 한단계 낮췄다.이번 DDoS 사태는 ‘대란’이란 단어를 사용하기 부끄러울 정도로 이미 알려진 고전적인 인터넷 공격 수법이었다.1차 피해는 어쩔 수 없다하더라도 PC 사용자들이 백신을 패치해 두고 곧바로 치료했더라면 피해를 많이 줄였을 것이란 지적이다. 　누가 잘하고 잘못한 것일까.언론은 연일 국가기관이 허둥댔다고 하지만 이곳을 탓할 일이 아니다.공격시기와 대상을 정확하게 예측했다는 민간 보안업체들만의 공치사도 아니다.보안업체들은 언제나 치료약인 백신을 연구·개발하고 파는 기업이다.정부와 기업은 대처하는 방식이 엄연히 다르다.이번 사태의 중심에 섰던 한국정보보호진흥원(KISA) 직원들을 통해 ‘디도스 공격 3일의 순간’을 점검해 본다. 　 ●발생 첫날 　DDoS 공습이 처음 시작된 시간은 지난 7일 오후 6시44분. 　KISA의 인터넷침해사고 대응지원센터 상황실에 유해 트래픽을 수반하는 ‘분산서비스 거부공격(DDoS)’이 시작된 정황이 포착됐다.곧바로 청와대 등 국내 주요 사이트에는 인터넷 접속이 지연되거나 접속이 되지 않았다. 　KISA가 지난 해 20억원을 들여 시범적으로 구축한 DDoS 대응체계 시스템이 이를 먼저 탐지했다.불행 중 다행이었다.KISA내의 다른 시스템은 ‘1·25 대란’ 직후인 2003년 구축돼 다소 낙후됐지만 이 시스템 덕분에 보다 일찍 DDoS 공격의 감지가 가능했다. 　보안요원들은 곧바로 악성코드에 감염된 중간PC인 ‘좀비 PC’를 확보하기 위해 KT 등 인터넷서비스사업자(ISP)들과의 교신을 시작했다.DDoS 공격은 특정 웹 사이트의 접속만을 어렵게 한다는 점에서 인터넷 접속 자체를 불가능하게 했던 ‘1·25 대란’과는 확연히 다른 것이다.그렇지만 보안요원들이 직감한 전개 상황은 심상치 않았다. 그동안 이와 비슷한 DDoS 공격이 수십차례 있었지만 이번만은 그 강도가 예사롭지 않았기 때문이다. 　KISA는 곧바로 인터넷 침해사고 대응인력 40여명 전원을 긴급 소집했다. “오랜만에 일찍 퇴근해 9시쯤 집에 도착할 즈음이었습니다.상황실로 나오라는 전화를 받은 뒤 지금까지 집에 못들어 갔어요.” 박성우 연구원의 말이다.그는 1주일간 사무실에서 쪽잠을 자며 해킹과 싸워왔다. 　이어 2시간여가 지난 오후 9시쯤,보안요원들은 ‘좀비PC’를 통해 원격으로 악성 행위와 연관된 파일을 확보, 백신업체에 전달하고 또다른 분석에 들어갔다.DDoS 공격의 추이와 변화를 살폈고, 악성코드를 분석해 이후 움직임을 주시하고 백신업체들과 공조 체제를 유지해 나갔다.하지만 시간이 흐를수록 피해가 커져 긴장감은 더했다. 수년전 ‘1·25 대란’을 겪은 베테랑들도 대책 마련에 고심을 거듭했다.인터넷 홈페이지를 기반으로 하는 기업들이 이로 인해 매출에 직격탄을 받게 되면 비난의 화살은 정부 기관으로 올 게 뻔하기 때문이다. 　 ●발생 이틀째 　8일 오전 2시40분,상황은 더 나빠지고 있었다. 공격을 받은 국내 12개 사이트 중 일부 민간 사이트는 트래픽 분산에 성공해 홈페이지 접속이 가능했지만, 공공기관 사이트는 트래픽이 점차 증가해 홈페이지 접속이 어려웠다.DDoS에 대한 모니터링은 물론 대응을 해오던 KISA는 방송통신위원회와 협의 후 ‘주의’ 경보를 발령했다. 정보보호 알림이서비스 문자와 ‘네이트온’ 팝업 창에 주의 사항을 공지했다. 　하지만 하루종일 주요 인터넷의 마비사태는 지속됐다.청와대·국가정보원 사이트,언론사 홈페이지에서도 상황은 호전되지 않았다.이날은 피말리는 사투를 치렀다. 　저녁 무렵.전날 저녁에 시작된 주요 정부기관, 언론사 등에서 발생한 1차 DDoS 공격은 하루를 넘기면서 끝나는 듯했다. 해당 사이트의 트래픽이 현저히 감소된 것도 확인됐다. 피해 사이트도 대부분 복구됐다. 　그러나 안심하는 순간,또다른 ‘변종 악성코드’를 통한 움직임이 포착됐다.모니터를 바라보던 보안요원들의 얼굴엔 또다시 긴장감이 엄습했다.DDoS 공격 형태가 계속 바뀌고 악성코드는 새로 생겨나고···. 막는 것보단 상황에 따라 조치를 취하는 수밖에 없었다. 　저녁 6시쯤 드디어 알려진대로 16개 사이트를 대상으로 한 2차 공격이 감행됐다. KISA는 곧바로 이 사실을 고지했다.도시락을 먹으며 이어진 밤샘 작업 이틀째. 9일 새벽을 지나 아침까지 눈코 뜰새 없는 숨막힌 대응 체계의 가동은 계속됐다. 　 ●발생 3일째 　9일 오전 10시쯤. 방통위와 KISA는 KT 등 ISP들의 대응조치 강화를 추진한다고 발표했다. ISP 등에서 파악하고 있는 DDoS 공격 유발 PC가 인터넷에 접속하려는 경우 먼저 DDoS 백신을 실행한 이후에 인터넷 접속이 가능하도록 ISP가 제공토록 요청했다. 오후 2시 30분에는 ‘주요 ISP 임원급 회의’도 가졌다. 　이날 저녁, 3차 공격에 대한 예상이 있었지만 트래픽의 큰 이상 징후는 없이 지나갔다. 　이 분위기도 잠시. 밤 11시40분쯤 KISA는 ‘좀비 PC’가 스스로 하드디스크를 삭제할 가능성이 있다며 PC사용자들이 주의해야 한다는 내용을 긴급 발표했다. 상황은 더 긴박해졌다. 대응센터의 상황실내 TV 화면에 ‘좀비 PC속 시한폭탄’ 속보가 계속 뜨는 가운데, 이 날 자정을 지나 0시 20분 첫 신고가 들어왔다. “PC 작업하다가 먹통, 마우스 및 키보드 작동 불능=>재부팅 하였으나 부팅 안됨”. 　이같은 내용은 10일 새벽 1시까지 3건 접수됐다. 다행히 아침 9시까지 시간대별 접수 건수는 낮았다. PC이용자가 사무실에 출근해 PC를 켜는 오전 9시부터 신고는 증가했지만 우려할 만한 상황은 피해갔다. 　 ●‘공습’은 끝났건만···. 　1주일간의 대응 기간에 KISA로선 아쉬운 대목이 많다.지난 5일 미국 사이트에 대한 한국 인터넷주소(IP)의 DDoS 공격을 차단한 미국의 웹 호스팅 업체에 국내 공격자 PC의 접속 기록을 요청했으나 해당 업체가 협조를 안하는 바람에 초기 대응시기를 놓쳤다. 　KISA는 DDoS 공격이 시작된 7일 오후 9시쯤에야 ‘좀비 PC’로부터 샘플을 채취해 보안업체들에 전달했다.미국측의 협조가 있었다면 1∼2일 빨리 대응해 이번 사태를 막을 수 있었을 것이란 짐작이다. 6개 백신업체는 8일 낮 12시쯤 백신 업데이트를 끝냈지만 사태는 커진 뒤였다. 　이번 사태를 직접 겪은 KISA의 보안요원들은 “DDoS 공습처럼 전문 기관만으로는 인터넷 공격 피해를 줄이기 힘든 만큼 이 기회에 예산이 듬뿍 확보되고,개인이든 중소기업이든 보안의식이 높았으면 한다.”고 이구동성으로 주문했다.보안 선진국의 경우 정부 IT 예산의 5∼12%를 보안분야에 쓰지만 우리는 1%도 안되는 것이 현실이다. 　보안직원들은 민간의 대응이 빨랐다는 지적에는 서운한 감을 가졌다.정부기관과 업체는 기본적으로 대응 전략이 많이 다르다고 했다. 또한 KISA나 국가정보원, 검·경찰은 큰 그림을 컨트롤 하고,이 단계에서 관련 업체도 참여해 의견을 나누면서 대응 방안을 내놓았다. 안철수연구소측도 13일 “악성코드 분석때 키워드를 찾기 어려웠는데, KISA·국정원의 도움으로 몇 가지 키워드를 잡았고, 샘플도 몇 개 받았다.”면서 “하드 손상파일 분석도 시간적인 분석에 대한 검증이 어려웠는데, 국정원에서 0시에 작동하는 것 같다고 해 확신을 가졌다.”고 밝혔다. 인터넷서울신문 최영훈기자 taiji@seoul.co.kr

민주당이 어제 국회에 등원하기로 결정한 것은 늦었지만 다행스러운 일이다. 야당이 고(故) 노무현 전 대통령 서거 이후 장외를 전전하면서 시급한 현안들이 처리되지 못했다. 특히 비정규직법이 그대로 시행됨으로써 선의의 피해자가 계속해서 나오고 있다. 민주당은 등원을 결정하면서 투쟁의 장소를 원외에서 원내로 옮기겠다는 뜻을 밝혔다. 야당으로서 견제할 일은 해야겠지만 본질적 논의는 외면한 채 반대를 위한 반대에 몰두해서는 안 된다. 여야는 곧 원내대표단 접촉을 갖고 임시국회 의사일정과 주요 법안 처리에 관한 협의에 착수할 예정이다. 우선 손질해야 할 법안은 비정규직법이며, 당리당략을 떠나 합리적인 절충안을 모색하기 바란다. 첨예하게 대립하고 있는 미디어 관련법에 대해서도 민주당이 대안을 내놓은 만큼 내용을 놓고 심도있게 논의하는 모습을 보여야 할 것이다. 이와 함께 민주당은 ‘사이버 북풍(北風)’을 거론하는 정치공세를 자제해야 한다. 주요 기관의 인터넷 사이트를 대상으로 한 무차별 디도스(DDoS) 테러의 주체가 최종 확인되지는 않았다고 국정원은 밝혔다. 하지만 사이버 테러의 배후가 북한이라는 여러 증거를 가지고 정밀 추적 중이라고 했다. 정보 당국은 북한이 인민군 정찰국 산하 조직인 110호 연구소에 해킹 프로그램을 개발해 남한의 통신망을 파괴하라는 지시를 내린 정황을 포착한 것으로 알려지고 있다. 국정원의 정보가 국회를 통해 정제되지 않은 채 알려져 혼선을 빚긴 했지만 북한이 배후일 가능성이 있다면 정밀 추적하는 게 당연하다. 이를 사이버 북풍이라고 몰아치면서 정쟁으로 만드는 것은 바람직하지 않다. 국회가 정상화되면 정치권은 법·제도적인 측면에서 사이버 테러를 방지하기 위한 방안 마련에 머리를 맞대야 한다.

국가정보원은 10일 국회 정보위원회에서 한·미 주요 기관 인터넷에 대한 디도스(DDoS·분산서비스거부) 공격과 관련, 북한을 배후로 보는 이유를 보다 구체적으로 설명했다. ●北이 즐겨쓰는 해킹방식 국정원은 북한의 사이버 전쟁 전담 부대인 ‘110호 연구소’를 확실하게 지목하지는 않았지만 “6월 초 평양에서 (사이버) 공격 지시가 내려 왔다는 첩보를 입수했다.”면서 그 가능성을 에둘러 제기했다. 국정원은 이날 “그간 지속적으로 북한의 인터넷 해킹을 차단해 왔다. 이번 공격도 IP 추적 등을 통해 과거 공격과의 연관성을 분석하고 있다.”고 보고했다. 지난 3월에도 북한의 해커가 10여차례 해킹을 시도했으며 6월말에는 한국기계연구원 등을 대상으로 예행 연습도 했다고 보고했다. 국정원은 지난달 16일 국군기무사가 주최한 ‘국방정보보호 콘퍼런스’에서 우리 정부가 사이버 스톰 참여를 추진하고 있다고 밝힌 것이 북한에 공격 명분이 됐을 것으로 보고 있다. 국정원은 공격 대상 목록을 담은 파일(uregvs.nls)을 악성코드에서 자체 생성하는 것을 북한이 즐겨 쓰는 해킹 방식으로 소개했다. 또한 디도스 공격에 동원된 이른바 ‘좀비 컴퓨터’ 가운데 비주얼 스튜디오 등 전문가용 고급 프로그램을 쓰는 26대의 컴퓨터가 이용된 것으로 나타났다고 보고했다. 정보위 한나라당 간사인 정진섭 의원은 “고급 프로그램을 쓰는 몇 대의 컴퓨터를 특정해 (주요 기관 사이트의) 다운을 유도했는데 IP 역추적을 방어하기 위한 목적으로 이해된다.”고 말했다. ●민주당 “정황일뿐… 단정못해” 그러나 이날 국회 정보위의 비공개 간담회에서도 사이버 테러 배후 논란은 정리되지 않았다. 민주당 간사인 박영선 의원은 간담회 직후 기자들과 만나 “북한이 배후라는 것은 어디까지나 정황일 뿐”이라면서 “한·미 두 나라의 발표 내용에 차이가 있다. 국정원이 정황 증거만 갖고 얘기하는 것은 정보기관의 신뢰성에 회의를 갖게 한다.”고 꼬집었다. 이지운 허백윤기자 jj@seoul.co.kr

국가정보원은 10일 인터넷 대란을 일으키고 있는 분산서비스 거부(DDoS·디도스)에 의한 사이버 테러를 북한 인민군 산하의 사이버 전쟁 전담 부대가 주도했을 가능성이 있는 것으로 국회에 보고했다. 국정원은 이날 국회 정보위원회에서 중국 선양(瀋陽)에서 활동 중인 110호 연구소 산하 사이버 요원들이 지난 6월말 한국기계연구원 등을 대상으로 디도스로 공격하는 사전 모의 훈련을 실시했다고 보고했다. 이와 관련, 선양의 한 소식통은 “현지 전문가들 사이에 문제의 ‘좀비 컴퓨터(악성코드에 감염된 컴퓨터)’가 선양을 통해 한국으로 들어간 것이 있다는 인식이 공유되고 있다.”고 전했다. 110호 연구소는 총참모부 정찰국 소속의 사이버 전쟁 전담 부대이다. 사이버심리전 부대 등을 포함해 모두 500여명이 활동하고 있다. 해외에 기업을 가장한 해커부대도 운영하고 있는 것으로 알려졌다. 국정원은 110호 연구소가 ‘남한의 통신망을 순식간에 파괴하는 것’을 목표로 삼고 있으며 중국과 동유럽 등지에 업체를 가장한 해커부대를 운영하고 있다고 덧붙였다. 아울러 국정원은 한국과 미국·중국·일본·과테말라 등 19개국의 92개 주소(IP·인터넷 프로토콜)를 통해 공격이 이뤄진 것으로 파악했다고 밝혔다. 그러나 정보위원회 민주당 간사인 박영선 의원은 “국정원은 특정해커의 수법 등을 들어 북한 또는 추종세력을 (배후로) 의심하고 있지만 ‘수사가 끝나지 않아 단정하기에는 이르다.’는 입장을 밝혔다.”면서 “110호 연구소도 북한 해커부대의 사례로 든 것이지 지목한 것은 아니었다.”고 말했다. 이지운 허백윤기자 jj@seoul.co.kr ■용어클릭 ●110호 연구소 북한 인민군 총참모부 정찰국에 속해 있다. 기존에 알려진 ’기술정찰국‘을 일컫는 것으로 알려졌다. 1990년대 초부터 평양 고사포사령부의 컴퓨터 명령체계와 적군 전파교란 등을 연구하던 인민무력부 정찰국 121소를 1998년부터 해킹과 사이버전 전담부대로 확대 개편한 조직이다.

‘얼굴 없는 테러에 대비하라.’ 분산서비스거부(DDoS) 공격이 연일 이어지면서 대기업들도 바짝 긴장하고 있다. 삼성그룹은 계열사 서버를 관리하는 과천·대덕·구미·서초 등 4곳의 데이터센터에 통신망 트래픽이 갑자기 늘어나는지 등을 지속적으로 체크하고 있다. 현재까지는 이상징후는 나타나지 않았다. 삼성전자는 부서별로 개인 컴퓨터(PC)의 바이러스 감염 여부를 확인하고, 의심스러운 메일은 열어보지 말고 바로 삭제하도록 지시하고 있다. 삼성물산은 모든 임직원이 PC의 날짜를 7월10일 이전으로 맞추도록 했다. DDoS 공격 악성코드에 감염된 PC(좀비 PC)에 생성된 악성코드가 7월10일 0시를 기점으로 하드디스크를 파괴하는 기능을 갖고 있기 때문이다. 현대중공업은 정보보안팀내에 전담팀을 구성해 대응하고 있다. 특히 서버에서 회사 차원의 업무 영역과 개인 인터넷망을 완전히 분리함으로써 ‘좀비 PC’ 발생에 의한 업무 피해를 원천적으로 차단하고 있다. 현대중공업은 하이닉스와 함께 국정원 사이버 안전센터·한국정보보호진흥원이 운영하는 ‘고도해킹 탐지시스템’을 도입해 해킹에 대비하고 있다. 현대·기아차는 직원 15명의 PC에서 좀비 바이러스가 발견됐지만 백신을 통해 긴급 치료했다. 포스코는 정보보호그룹 IT보안파트에서 전담팀을 가동해 피해 발생에 대비하고 있다. 기존 보안프로그램인 ‘바이러스 체이서’ 외에 V3 백신을 추가로 설치했다. LG전자도 방화벽을 새로 점검하고 바이러스 차단 프로그램을 업데이트한 뒤 상황을 주시하고 있다. 온라인몰은 수많은 고객이 전자거래를 이용하기 때문에 특히 긴장하고 있다. 롯데백화점은 DDoS치료 백신을 전사적으로 배포하고 사용방법을 공지하고 있다. GS홈쇼핑은 사내 PC 및 네트워크의 검사를 강화하고 있다. CJ오쇼핑은 유사시에는 우회 도메인을 사용하는 등의 방법으로 피해를 막을 수 있도록 준비하고 있다. 김성수 이영표기자 sskim@seoul.co.kr

지난 7일부터 한국과 미국의 주요 기관을 대상으로 시작된 사이버테러가 공격 대상을 무차별적으로 넓히고 있다. 온 나라가 ‘사이버 공황’ 상태다. 26개 사이트가 1차 공격을 받은 데 이어 엊그제 국가정보원과 국내 대표 보안백신업체인 안철수연구소 등 16개 사이트가 2차 공격을 받았다. 어제는 행정안전부·네이버 등 7곳이 또 테러를 당했다. 국가의 안위와 국민경제의 근간을 뒤흔드는 인터넷 재앙이다. 전문가들은 이번 사이버테러가 변종 악성코드까지 심어 스스로 공격대상을 바꾸도록 하는 등 복잡한 양상으로 전개되고 있는 점에 주목한다.이번 사태는 한국이 ‘IT강국’을 자임해 왔지만 정작 불침번 구실을 해야 할 사이버 보안에 대해서는 후진성을 면치 못하고 있음을 여실히 보여 줬다. 디도스(DDoS·분산서비스거부) 사이버테러가 ‘상시적’으로 있어 왔음에도 국가 차원의 신속한 대응은 이뤄지지 못했다. 17개 공공분야 가운데 디도스 대응 시스템이 구축된 곳은 고작 3곳에 불과한 실정이다. 정부가 어제 긴급 관계부처 차관회의를 열어 국가안보 차원의 총체적인 사이버 안보대책을 세워 나가기로 한 것은 그나마 다행이다. 이에 맞춰 여야는 9개월째 잠자고 있는 ‘국가 사이버위기 관리법안’이 조속히 통과될 수 있도록 힘을 모아야 할 것이다.사이버테러는 고도의 지능형 범죄다. 그런 만큼 범인을 원천적으로 색출하기 어렵다. 정부는 ‘사이버범죄 취약국’이란 오명을 씻기 위해서라도 테러의 배후를 철저히 밝혀내야 한다. 국정원이 북한과 종북세력을 배후라고 판단한 데 이어 미 국방부도 북한을 지목하고 있다. 그러나 이번 해킹대란의 진원지가 미국 IP라는 주장도 제기되는 등 아직 실체가 분명하게 드러나지 않은 상태다. 먼저 북한이 공격의 진원인지 아니면 단순한 해커의 소행인지 철저히 가려내고 국제사회가 이에 상응하는 대처방안을 강구하도록 해야 할 것이다.

국가정보원, 안철수연구소 등 16개 주요 기관 및 기업에 대해 2차 분산서비스거부(DDoS) 공격이 시작됐다. 8일 한국정보보호진흥원(KISA)에 따르면 국가정보원, 행정안전부, 안철수연구소, 이스트소프트, 다음, 파란, 우리은행, 하나은행, 기업은행, 국민은행 등 10개 신규 기관과 1차 공격을 받았던 6개 사이트에 대한 2차 공격이 이날 저녁부터 시작됐다. 1차 DDoS 공격을 막았던 보안업체를 공격 목표로 삼았다는 점에서 공격을 멈추지 않겠다는 의미로 분석된다. 특히 2차 공격은 1차때와 다른 좀비PC들에 심어진 악성코드가 유발한 것으로 분석됐다. 기존 1차 DDoS 공격을 받았던 25개 사이트 가운데 청와대, 네이버 메일, 조선일보, 국방부, 옥션 등 6개 사이트는 또 다른 변종 악성코드를 통한 재공격을 받았다. 2차 공격 대상은 해외 사이트가 많이 포함됐던 1차와 달리 대부분 국내 사이트라는 게 특징이다. 검찰과 경찰 등 수사당국은 청와대와 국방부, 대형 인터넷 포털, 금융기관 등의 인터넷 사이트를 마비시킨 해킹 공격에 대해 근원지 추적에 나섰지만 아직 공격자를 찾아내지 못하고 있다. 경찰은 인터넷 사이트를 마비시킨 역할을 한 수만대의 개인컴퓨터(PC) 중 한 대를 확보해 공격대상이 한국과 미국의 25개 사이트인 것을 확인했다. 1차 공격을 받은 사이트 가운데 재 공격을 받은 사이트와 미국 14개 사이트는 접속이 원활하게 이뤄지는 등 정상화 수준에 접어들었다. 이와 관련, 국가정보원은 “이번 해킹 공격이 개인 차원의 단순한 사건이 아니라 특정조직 또는 국가 차원에서 치밀하게 준비해 실행한 것으로 보인다.”고 밝혔다. 이에 따라 국정원은 해커 공격의 배후에 북한이나 종북세력이 있는 것으로 분석하고 있는 것으로 알려졌다. 미 정보당국도 북한 해커 부대의 사이버 테러 가능성에 대해 주시하고 있는 것으로 전해졌다. 검찰 관계자는 “감염된 컴퓨터의 90%는 국내에 있는 것으로 보이며 현재까지 파악된 것은 2만 3000대”라고 밝혔다. 수사전담반은 이번 해킹이 악성프로그램을 불특정 다수의 PC에 심어놓고 일정 시간에 집중적으로 사이트에 접속을 시도하는 고전적인 해킹수법인 DDoS의 일종으로 파악하고 있다. 최시중 방송통신위원장은 이날 “사이버 테러는 일종의 전쟁이다.”라면서 “정부 차원에서 완벽한 대응태세를 갖출 것”이라고 말했다. 한편 한·미 주요 사이트를 겨냥한 사이버 테러로 미국 나스닥 등 주요 기관은 한국으로부터 접속을 차단했다. 안동환 김효섭 박건형기자 ipsofacto@seoul.co.kr