북한이 정찰총국 연구소를 중심으로 사이버사령부를 창설하고 국방위원회 및 노동당 산하에 7개 해킹 조직을 만들어 해커 1700여명을 활동시키고 있는 것으로 전해졌다. 국가정보원의 설명대로라면 그 중심에는 “사이버전은 만능의 보검”이라고 판단하는 김정은 국방위원회 제1위원장이 있다. 4일 국정원이 밝힌 내용에 따르면 북한은 외화벌이 수단으로 소프트웨어를 개발하고 인력을 확충했다. 연구소 등에서 4200여명이 소프트웨어 개발을 하는 것으로 전해졌다. 이들은 평시에는 외화벌이를 위한 소프트웨어를 개발하지만 유사시에는 사이버 공격에 동원되며 이를 위한 지원 계획과 조직까지 짜 놓은 것으로 국정원은 보고 있다. 국정원은 이들 북한 소프트웨어 개발자들이 고난도의 사이버 공격 기술을 제공하고 있는 것으로 분석하고 있다. 국정원은 또 최근 북한의 문건을 확보해 북한의 사이버전 시도를 파악했다고 밝혔다. 문건에 따르면 북한은 ▲언론사 인물 정보를 파악해 댓글 달기, 메일 발송 ▲발전소·변전소 등 전력 공급 계통 장악 ▲내부망 컴퓨터 장악 등을 시도하고 있다. 특히 이동식 저장장치(USB)를 이용한 디도스(DDoS) 프로그램 개발도 활발한 것으로 알려졌다. 또 전국의 화학물질 취급소, 취·정수장, 발전소와 변전소 위치 정보와 철도 제어 시스템 설계도 등의 자료를 수집하고 있다고 국정원은 설명했다. 국정원이 이날 북한의 사이버전 관련 정보를 쏟아낸 데 대해서는 일종의 ‘물타기’ 의혹도 제기된다. 앞서 국정원은 지난달 정보위 전체회의에서도 영변 원자로 재가동, 미사일 엔진 연소실험, 은하수 관현악단 단원 10여명 총살 등 민감한 북한 정보를 가감 없이 공개한 바 있다. 정치권의 한 인사는 “국정원이 북한 관련 정보를 쏟아냄으로써 북한에 대한 경각심을 불러일으키고 국정원이 열심히 노력하고 있다는 걸 보여주려는 의도로 보인다”면서 “하지만 국정원의 이 같은 행동은 대북 정보 자산이 드러날 위험이 있는 것은 물론 북한을 자극한다는 측면에서 남북 관계에도 도움이 되지 않는다”고 비판했다. 김효섭 기자 newworld@seoul.co.kr

정보보안 기업 안랩은 디도스(DDoS·분산 서비스 거부) 공격을 받은 기업 웹사이트가 19개로 확인됐다고 25일 밝혔다. 이번 디도스 공격은 지난 7월 발견된 악성코드와 최근 발견된 변종 악성코드에 의해 발생한 것으로 보인다. 공격을 받은 사이트는 이날 오전 9시 기준으로 다음, 네이트, MSN, 티스토리, 한게임, 넥슨, 중앙일보, CBS 등 13개 기업의 16개 웹사이트였다. 그러나 오후 들어 정체가 확실하지 않은 웹사이트 3개가 추가돼 공격 대상 웹사이트의 수는 총 19개로 늘었다. 1만대로 확인됐던 좀비PC 수는 오후 8시 현재 2만 8000대로 증가하면서 공격 대상 웹사이트도 늘어난 것으로 분석된다. 이번에 감염된 PC는 7월 악성코드가 발견됐을 때 백신을 설치하지 않거나 갱신(업데이트)하지 않은 PC가 대부분이다. 백신 검사를 거쳐 악성코드를 삭제하고 백신 프로그램을 실시간 동작 상태로 유지하는 게 안랩이 제시한 최선의 대응책이다. 안랩은 현재 자체 보안대응센터(ASEC)와 컴퓨터침해사고대응센터(CERT)를 비롯해 전사 비상 대응 체제를 가동하고 변종 악성코드를 긴급히 엔진에 반영했다고 설명했다. 이어 “백신 V3로 해당 악성코드를 모두 진단했고 추가 분석을 통해 악성코드에 대한 정보를 지속적으로 제공할 예정”이라고 밝혔다. 강병철 기자 bckang@seoul.co.kr

인천지검 공안부(부장 박성근)는 22일 북한 대남 공작원과 짜고 디도스(DDoS·분산서비스거부) 공격용 악성코드를 심은 사행성 게임을 국내로 들여온 모 게임 개발업체 운영자 A(36)씨를 국가보안법 위반 등의 혐의로 구속 기소했다. A씨는 지난해 3월부터 지난 1월까지 북한 정찰총국 산하조직 공작원 B(28)씨에게 두 차례에 걸쳐 5500달러(약 580만원)를 주고 온라인 도박게임 프로그램을 전달받아 국내에 유통한 혐의를 받고 있다. 이 도박게임 프로그램에는 북한이 원격으로 디도스 공격을 할 수 있는 악성코드 유포 기능이 내장돼 있었다. 북한 공작원이 악성코드를 이용해 공격 대상 컴퓨터에 접근, 해당 컴퓨터를 좀비 PC로 바꾸는 방식이다. A씨는 2008년부터 북한의 해커들과 컴퓨터 통신을 했으며 B씨와는 지난해 2월부터 총 18차례에 걸쳐 연락을 주고받은 것으로 조사됐다. 지난해 8월 국가정보원의 첩보에 따라 수사에 착수한 경찰은 지난달 말 A씨를 구속해 검찰에 송치했다. 김학준 기자 kimhj@seoul.co.kr

국방부 조사본부가 국군사이버사령부 압수수색에 나섰다. 국방부는 22일 정치적 성향의 글을 올린 의혹을 받아 조사를 받고 있는 국군사이버사령부와 그 지휘계선에 대해 압수수색에 착수했다고 밝혔다. 조사본부는 사이버사령부 심리전단 요원과 간부들의 PC와 사무실, 개인서류, 국방부 등으로부터 받은 공문 등을 압수해 일각에서 제기하는 ‘조직적 정치 개입’ 의혹을 규명할 계획이다. 국방부는 이날 사이버사령부 ‘정치글’ 의혹 관련 합동조사 중간발표를 통해 “사이버사 소속 4명이 (문제의 정치글은) 자신의 생각을 표현한 것이고 별도의 지시는 받지 않았다고 진술했다”고 밝혔다. 국방부는 “일각에서 제기되는 부대 차원의 조직적 개입 여부와 여타 기관과의 연관성 등을 밝히도록 수사로 전환했다”고 설명했다. 국방부는 “언론에 보도된 4건의 SNS 계정이 사이버사 소속 군무원 3명, 현역 부사관 1명의 것으로 확인했다”며 “본인들도 자신들의 계정이 맞다고 인정했다”고 전했다. 국방부는 그러나 정치권 등에서 제기되는 나머지 대부분의 의혹에 대해서는 부인했다. 국방부는 이종명 국정원 전 3차장과 사이버사령부 1처장·530단장 등이 같은 시기에 합참에 근무했다면서 일각에서 연계설을 제기하는 것과 관련해 “3명이 합참 민군심리전부에 같은 시기에 근무한 사실이 없다”고 밝혔다. 이 전 국정원 3차장은 2011년 2월 22일부터 4월 5일까지 합참 민군심리전부장으로 근무한 반면 현 사이버사령부의 1처장과 530 단장은 같은 시기에 근무한 사실이 없다는 것이다. 또 국정원이 예산으로 사이버사령부를 통제했다는 주장에 대해서도 “국정원으로부터 지원받는 예산은 없으며 정보 관련 예산은 국방부에 편성되는 국방비”라고 반박했다. 이와 함께 사이버사령부의 댓글 활동 성과로 대대적 포상을 받았다는 의혹과 관련, “대선 직후(2012년 12월 19~31일) 사이버심리전단에 대한 정부 포상 및 장관 표창은 없었다”면서 “사령관 연말 정기 표창으로 6명을 수여했다”고 말했다. 수상자별 포상 공적 내용은 성과분석 2명, 계획발전 1명, 예산운영 1명, 근무유공 1명, 교육훈련 1명 등이라고 국방부는 설명했다. 특히 지난 2월 대통령 표창을 받은 4급 1명은 국정과제인 핵 안보 정상회담 개최와 관련한 유공자로 인정됐다면서 정치글 작성과의 연계 의혹을 부인했다. 이밖에 사이버사령부가 대선 전 대규모 군무원을 선발해 활용했다는 주장에 대해서는 “대선 전 대규모 선발이 아니고 2010년 1월 창설 때부터 연도별 점증적으로 증편하고 있다”고 밝혔다. 국방부는 “2010년에 북한의 천안함 폭침과 연평도 포격 도발, 2011년에는 3·4 디도스(DDoS) 공격, 농협 금융전산망 공격 등 사이버심리전이 집중됐다. 2012년에도 북한의 대규모 사이버 공격이 예상돼 군무원 79명(530단 47명 포함)을 채용했다”면서 인원 선발과 대선과의 연계 의혹을 일축했다. 국방부는 “국민에게 한 점 의혹이 없도록 철저하고 투명하게 수사해 결과를 발표할 예정”이라고 강조했다. 온라인뉴스부 iseoul@seoul.co.kr

인천경찰청은 29일 중국에서 활동하는 북한 공작원과 접촉해 악성코드가 삽입된 도박 프로그램을 국내에 반입한 혐의(국가보안법 위반)로 최모(36)씨를 구속했다. 경찰에 따르면 최씨는 북한 정찰총국 산하 공작원인 강모(29)씨와 중국에서 직접 만나거나 이메일을 주고받으면서 불법 사행성 프로그램 제작을 의뢰하고 개발비 명목으로 수백만 원을 제공한 혐의를 받고 있다. 또 프로그램을 국내에 반입하는 과정에서 강씨의 요구에 따라 자신의 주민등록증·여권·은행통장 등 인적사항을 도용할 수 있도록 편의를 제공한 혐의로 받고 있다. 경찰은 최근 인터넷을 이용한 도박 프로그램이 유행한다는 점을 악용해 이 같은 범행이 이뤄진 것으로 보고 있다. 경찰 관계자는 “북한에서 제작 반입된 도박 프로그램은 해킹을 목적으로 하는 악성코드가 삽입된 것으로 확인됐다”면서 “이 같은 악성코드에 감염된 PC는 디도스 공격 등 북한의 각종 사이버 테러에 활용될 위험이 있다”고 말했다. 한상봉 기자 hsb@seoul.co.kr

서울 강남경찰서는 악성코드가 담긴 글을 인터넷 게시판에 올린 혐의(정보통신망법 위반)로 김모(20)씨를 구속했다고 2일 밝혔다. 경찰에 따르면 김씨는 지난해 11월 15일 인터넷 사이트 ‘오늘의 유머’ 게시판에 ‘19’라는 제목의 악성코드가 깔린 글 3500개를 게시한 혐의를 받고 있다. 김씨가 올린 글에는 디도스(DDoS·분산서비스거부) 공격을 할 수 있는 스크립트 명령이 담겨 있어 클릭만 해도 바로 감염돼 컴퓨터 작동이 멈춘 것으로 조사됐다. 게다가 클릭과 동시에 똑같은 제목의 글이 자동 생성되게 해 해당 게시물의 조회 수가 순식간에 불어난 것으로 나타났다. 경찰은 당시 이 글을 열어 봤다가 악성코드에 감염된 피해자가 사흘간 10만명에 이른 것으로 추정했다. 김씨는 그동안 인터넷 프로토콜(IP) 추적을 피하려고 외국에 있는 ‘프락시’(컴퓨터 시스템의 일부 기능을 다른 것이 임시로 대행) 서버를 통해 글을 올린 것으로 드러났다. 홍콩에서 숨어 지내던 김씨는 지난달 23일 입국하다 인천공항에서 붙잡혔다. 김씨는 경찰 조사에서 범행 사실을 시인하면서도 이른바 ‘좀비 PC’로 디도스 공격을 몇 차례 했는지, 공범이 누구인지 등에 대해서는 진술을 거부한 것으로 전해졌다. 경찰은 김씨의 은행 계좌에서 수천만원이 입금된 정황을 발견해 계좌 추적 등을 통해 배후 인물을 추적하고 있다. 윤샘이나 기자 sam@seoul.co.kr

지난달 25일 청와대를 비롯해 정부기관, 언론사 등 69곳에서 동시에 발생한 ‘6·25사이버테러’의 주체가 북한인 것으로 결론났다. 2011년 3·4디도스 공격, 농협 금융망 해킹, 올해 3·20사이버테러 등에 이어 또다시 북한 공격에 뚫린 셈이다. 6·25사이버테러 사건의 분석을 맡은 민·관·군 합동대응팀은 16일 미래창조과학부에서 설명회를 열고 “이번 공격 수법이 기존 북한의 해킹 수법과 일치한다”고 밝혔다. 대응팀은 공격 피해 장비와 공격 경유지 등에서 수집한 악성코드 82종, PC 접속기록(로그), 인터넷주소(IP) 등을 과거 북한의 대남 해킹 자료와 비교·분석해 이 같은 결론을 내렸다고 설명했다. 공격은 최소 5개월 전부터 준비됐던 것으로 분석됐다. 북한은 국내 파일 공유 사이트, 웹하드 서비스 등을 사전에 해킹해 공격 거점으로 삼았다. 특히 다수 기관을 일시에 공격하고, 해외로부터의 서비스 응답으로 공격을 위장하거나 IP를 숨기는 등 진화된 공격 수법을 사용했다. 북한의 IP는 2개가 발견됐다. 해커는 로그를 삭제하고 하드디스크를 파괴했으나 복구 과정을 통해 이를 확인했다. 전길수 한국인터넷진흥원 침해사고대응단장은 “정보기관에서 보유하고 있던 북한 IP 대역과 일치하는 주소”라며 “어떤 목적으로 사용됐는지, 북한 IP 외에 총 몇개 IP가 발견됐는지는 보안 문제 때문에 밝히기 어렵다”고 말했다. 공격에 사용된 IP 주소는 북한 외 다른 국가의 것도 상당수 있는 것으로 알려졌다. 서버를 다운시키기 위해 시스템 부팅영역(MBR)을 파괴, 시스템 파일 삭제, 공격 상황 모니터링을 한 수법, 사용한 악성코드 문자열의 특징도 3·20사이버테러와 같았다. 분산서비스거부(DDos) 공격에 사용한 악성코드도 3·20 때 발견된 악성코드의 변종 형태인 것으로 분석됐다. 대응팀은 그러나 개인정보 유출의 경우는 언제 일어난 것인지 파악하지 못했다. 전 단장은 “개인정보는 공격 때 유출된 것인지, 사전 준비 과정에서 유출된 것인지 확실치 않다”고 말했다. 이번 공격이 또 북한 소행이라는 결론이 나옴에 따라 정부의 향후 대응에 관심이 쏠리고 있다. 오승곤 미래부 정보보호정책과장은 “대응팀의 역할은 사고를 분석하고 그 결과를 밝히는 것뿐”이라며 “이를 바탕으로 정부가 어떻게 대응할지는 정확히 단정할 수 없다”고 못 박았다. 한편 대응팀에는 미래부, 국방부, 검찰, 국가정보원 등 18개 기관의 전문가들이 참여했다. 강병철 기자 bckang@seoul.co.kr

국제 해킹 집단인 어나니머스를 꿈꿀 정도로 해킹 실력이 뛰어난 중학생과 이 학생을 통해 해킹 프로그램을 테스트하며 금융 해킹 범죄를 시도하려던 40대 캐나다 교포가 붙잡혔다. 서울지방경찰청 사이버수사대는 블로그를 통해 악성 프로그램을 유포·판매한 한국계 캐나다인 허모(48)씨를 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 구속하고, 중학생 배모(14)군을 같은 혐의로 불구속 입건했다고 4일 밝혔다. 배군은 올해 1월부터 4월까지 해킹 프로그램과 좀비 PC를 판매한다는 광고 글을 자신의 블로그에 올린 뒤 이를 보고 찾아온 누리꾼에게 건당 1만∼15만원씩 모두 100여만원을 받고 허씨가 제공한 해킹 프로그램 19개를 판매한 혐의를 받고 있다. 허씨는 중국 웹하드 사이트인 ‘화중제국’ 등에서 내려받은 2500여개의 해킹 프로그램 중 테스트를 거치지 않은 프로그램 19개를 배군에게 무료로 제공해 실제 해킹이 가능한 프로그램인지 테스트하도록 했다. 배군은 이 프로그램들을 누리꾼에게 판매하는 한편 음란 동영상으로 위장한 악성코드를 유포해 PC 사용자 모르게 원격으로 해당 PC를 조정할 수 있는 ‘좀비 PC’ 600여대도 확보했다. 배군은 자신의 블로그에 디도스 공격 대행 광고를 올린 뒤, 이 좀비 PC를 활용해 불법 성매매 사이트를 공격·협박하고 수십만원의 돈을 뜯어내기도 했다. 배군은 허씨를 3년 전 온라인 채팅방에서 만나 알게 됐으며, 30살이 넘는 나이 차이에도 둘 다 해킹에 관심이 있어서 가깝게 지냈다. 이들은 중국에서 개발한 메신저나 인터넷 전화만을 사용하고, 인터넷에 접속할 때도 해킹한 기업의 서버를 거치도록 해 혹시 있을지 모를 인터넷 프로토콜(IP) 주소 추적에 대비하는 치밀함을 보였다. 20여년 전 캐나다로 이민했다가 2005년 귀국한 허씨는 귀국 이후 주식 투자로 거액을 날리면서 선물·옵션사이트 해킹에 관심을 가졌다. 배군은 중학교에 입학하면서 컴퓨터 게임을 즐기다 해킹에 관심을 갖기 시작했으며 장래 꿈이 어나니머스라고 말할 만큼 해킹 실력이 상당한 수준인 것으로 전해졌다. 명희진 기자 mhj46@seoul.co.kr

지난 25일 발생한 청와대 홈페이지 해킹으로 약 10만명의 회원 개인정보가 유출된 것으로 확인됐다. 청와대 홈페이지 회원의 개인정보가 해킹으로 대량 유출된 것은 처음이다. 지난 2009년 7·7 분산서비스거부(디도스) 공격 때도 개인정보 유출 피해는 없었다. 청와대 관계자는 30일 “청와대 홈페이지 회원은 20만명가량인데 이번 해킹으로 회원정보가 유출된 회원은 10만명가량으로 확인됐다”고 말했다. 이들 10만명의 개인정보 중 이름, 생년월일, 아이디(ID), 주소, IP 등 총 5개 개인정보가 유출된 것으로 알려졌다. 다만 비밀번호와 주민번호는 암호화돼 유출되지 않았다. 이와 관련, 청와대는 지난 28일 ‘청와대 개인정보 유출에 대한 사과 공지’를 통해 “지난 6월 25일 발생된 청와대 홈페이지에 대한 사이버공격으로 회원님의 소중한 개인정보가 일부 유출되었음을 알려드리게 된 점, 진심으로 사과의 말씀을 드린다”고 밝혔다. 장세훈 기자 shjang@seoul.co.kr

지난 25일 청와대를 비롯한 국가 기관, 언론사 등을 대상으로 자행된 사이버 공격에 관한 정보가 별도 서버에 백업된 로그(Log) 파일에 모두 기록돼 있는 것으로 파악됐다. 또 이번 공격이 악성 스크립트를 이용한 신유형 해킹이라는 분석도 나왔다. 전문가들은 보안투자법안 등 민관 합동의 신속한 대책 마련을 주문했다. 26일 미래창조과학부 등에 따르면 전날 청와대 등에 사이버 공격을 했던 해커들은 홈페이지를 해킹한 뒤 서버 접속 및 작업 내역이 기록되는 로그 파일도 조작한 것으로 알려졌다. 이는 자신이 침입한 경로와 작업 내역 등을 지우기 위해 해커들이 흔히 쓰는 수법이다. 하지만 청와대 등 주요 기관은 로그 조작에 대비해 실시간으로 이를 별도 서버에 백업하는데 이번 공격 기록도 별도 서버에 있는 로그 파일에 남아 있는 것으로 전해졌다. 미래부는 이를 분석하면 이번 공격의 주체가 누구인지, 침투 경로는 무엇인지 파악할 수 있을 것으로 보고 있다. 미래부 관계자는 “여러 기관 자료를 비교해 침입 경로, 발생 경위 등을 중점적으로 분석하고 있다”며 “이번 공격에 방어하는 백신을 오늘 새벽 적용한 이후 추가 공격이나 피해는 없다”고 전했다. 특히 이번 공격에는 해커가 악성 스크립트를 설치해 놓은 웹사이트에 방문하면 미리 설정된 특정 사이트로 공격 트래픽을 발생시키는 새로운 유형의 해킹 방식이 사용됐다. 보안업체 안랩에 따르면 해커들은 악성 스크립트 방식과 기존의 좀비 컴퓨터를 이용한 디도스(DDoS·분산 서비스 거부) 공격을 함께 사용했다. 또 보안업체 잉카인터넷은 이번 공격에 극우 성향 인터넷 커뮤니티 일간베스트가 이용됐다는 분석도 내놨다. 미래부 관계자는 “확인되지는 않았으나 기술적으로 가능한 얘기”라고 가능성을 내비쳤다. 전문가들은 반복되는 사이버 테러를 막기 위해서는 다방면의 보안 수준을 높이는 게 중요하다고 지적한다. 조규곤 파수닷컴 대표는 “3·20 테러나 이번 사태에서도 보듯이 보안은 한쪽이 완벽해도 다른 쪽이 문제를 일으키면 소용이 없다”며 “공공기관뿐 아니라 민간이 함께 보안 투자를 늘려야 한다”며 “사고 후 일시적으로 투자하는 것이 아닌 지속적인 투자가 가능하도록 법안 제정 등이 필요하다”고 조언했다. 한편 안랩은 일반 사용자들을 위한 ‘좀비PC 예방 십계명’을 내놨다. 사용자 수가 적은 웹사이트 접속을 자제할 것, 소셜네트워크서비스(SNS) 사용 시 모르는 사람의 페이지에서 단축 경로를 클릭하지 말 것, 신뢰할 수 없는 프로그램에 대한 경고가 나오면 ‘예’ ‘아니요’ 어느 것도 선택하지 말 것 등이다. 강병철 기자 bckang@seoul.co.kr

25일 발생한 해킹은 한국전쟁이 발발한 6·25에 맞춰 청와대 및 정부 부처, 정당, 언론사 등 16개 기관을 대상으로 광범위하게 이뤄졌다는 점이 특징이다. 안랩은 이번 디도스(DDoS) 공격을 유발한 악성코드가 25일 0시부터 배포됐으며 오전 10시에 디도스 공격을 수행하도록 서버로부터 명령을 받은 것으로 확인했다고 밝혔다. 프로그래밍대로 공격은 오전 10~11시에 집중됐다. 안전행정부, 미래창조과학부, 통일부 홈페이지가 줄줄이 문제를 일으켰고 오후 2시 40분쯤 보건복지부 홈페이지에도 접속 장애가 발생했다. 안랩은 또 지난 2011년의 3·4 디도스 공격 때와 마찬가지로 웹하드를 통해 악성코드가 배포된 것으로 분석했다. 이번 해킹 피해는 단순 홈페이지 위·변조나 접속 장애 외에 개인 정보 유출로까지 이어진 것으로 보인다. 해킹을 당한 새누리당 일부 시·도당에서는 당원 명부가 유출됐다는 의혹이 나오고 있다. 박재문 미래부 정보화전략국장도 이날 브리핑에서 “유출된 개인정보를 유포하는 사이트 3곳을 발견해 차단했다”면서 “유출된 정보의 진위 여부와 유출 기관 등을 파악 중”이라고 설명했다. 정부는 이번 해킹을 ‘한 단체의 소행’으로 의심하고 있지만 어떤 단체인지, 목적이 무엇인지를 특정하지 못하고 있다. 해킹된 홈페이지에는 국제 해커그룹으로 알려진 어나니머스(Anonymous)의 이름이 쓰여 있으나 정부는 단정하기는 이르다는 입장이다. 이번 해킹은 북한 소행이라는 주장도 나온다. 6월 25일에 맞춰 대대적인 해킹 공격이 이뤄졌다는 점, 공격수법이 2009년과 2011년 북한이 벌인 디도스 공격과 유사하다는 점 등이 근거다. 그러나 박 국장은 “아직 단정할 단계가 아니다”라면서 “해킹의 경로나 방법, 로그 기록 등을 분석해서 유사성이 발견돼야 하는데 아직 조사하고 있다”고 말했다. 이런 가운데 방송사·금융사 정보전산망이 공격받은 3·20 사이버 테러 이후 석 달 만에 청와대 등의 보안망이 뚫리면서 그간 대책 마련이 소홀했던 게 아니냐는 지적도 나온다. 한편 어나니머스 소속 일부 해커들은 이날 낮 12시를 기해 북한 관련 사이트 46곳을 디도스 공격하겠다고 밝혔다. 일부 사이트는 접속 장애 등을 일으킨 것으로 전해졌다. 어나니머스 측은 이날 북한 웹사이트의 해킹을 통해 확보한 명단을 공개했다. 어나니머스는 이를 “북한 군 고위간부”라고 주장했다. 이 명단에는 곽종구, 권덕기, 김석일, 리철석 등 13명의 이름과 생년월일, 전화번호, 주소 등이 적혀 있다. 하지만 명단 속 주소지가 대부분 북한이 아닌 중국인 데다 일부 인사들은 1982년, 1989년생 등으로 표기돼, ‘고위 간부’란 주장은 무리라는 지적이 나온다. 강병철 기자 bckang@seoul.co.kr

방송사와 금융기관 등의 전산망을 마비시킨 ‘3·20 사이버테러’가 발생한 지 석 달여 만에 청와대와 국무조정실이 뚫리는 대형 해킹사고가 발생했다. 2009년 7·7 디도스 공격 이후 4년 만에 청와대 홈페이지가 마비되자 정부는 사이버 위기 ‘주의’ 경보를 발령했다. 6·25전쟁 발발 63주년인 25일 오전 9시 30분쯤 청와대 홈페이지(president.go.kr)에는 ‘위대한 김정은 수령’ 등의 붉은 글자가 화면을 가득 채웠다. 오전 10시쯤에는 박근혜 대통령의 사진과 함께 “통일 대통령 김정은 장군님 만세! 우리의 요구 조건이 실현될 때까지 공격은 계속될 것이다. 우리를 기다리라”라는 한글과 영문 메시지가 떴다. 오후 4시쯤 홈페이지는 복구됐지만 일부 기능은 여전히 제한적이다. 비슷한 시간에 국무조정실 홈페이지도 2분가량 접속이 중단됐고, 새누리당 서울·경기·인천 등 8개 시·도당 홈페이지와 미래창조과학부·통일부 홈페이지, 일부 언론사 등 모두 16개 기관 홈페이지가 피해를 당했다. 보수성향의 인터넷 커뮤니티인 ‘일간베스트’도 해킹 공격을 받았다. 이와 관련, 정부는 오전 10시 45분 사이버 위기 관심 경보를 발령했다가 오후에 주의 경보로 올렸다. 이날 미래부, 국방부, 국가정보원 등 10개 부처 담당관이 참석해 ‘사이버 위기 평가회의’를 열고 이같이 결정했다. 정부는 합동조사팀을 꾸려 원인 조사에 나섰다. 유영규 기자 whoami@seoul.co.kr

25일 청와대 홈페이지 해킹 사건으로 알려진 정부기관 디도스(DDoS·분산서비스거부) 공격이 보수 성향의 인터넷 커뮤니티로 알려진 ‘일간베스트 저장소’(일베)를 통해 이뤄졌다는 분석이 나왔다. 보안업체 잉카인터넷은 “일베를 통해서 청와대와 국정원, 새누리당 등의 홈페이지를 공격하는 코드가 삽입된 것으로 확인됐다”고 26일 밝혔다. 잉카인터넷과 안랩 등 보안업체의 설명에 따르면 이번 공격에는 다수의 일반 PC를 미리 좀비PC로 만들어 디도스 공격을 하는 기존 방식과 ‘악성스크립트’를 이용한 새로운 방식이 사용됐다. 악성스크립트 방식 디도스 공격은 해당 스크립트를 설치해놓은 웹사이트를 사용자들이 방문하기만 하면 미리 설정해둔 웹사이트로 공격 트래픽(전송량)을 발생시켜 사이트를 다운시키는 방식이다. 해커는 극우 성향 누리꾼들이 주로 찾는 일베 등에 이 악성스크립트를 심어 디도스 공격을 유도한 것으로 알려졌다. 일베 이용자들이 일베를 방문하는 습관적인 행동이 주요 정부기관에 대한 공격으로 이어진 셈이다. 사실상 청와대 홈페이지 해킹이 아닌 디도스 공격으로 인한 일시적 마비 현상으로 보인다. 온라인뉴스부 iseoul@seoul.co.kr

청와대 홈페이지가 어제 또다시 해킹을 당했다. 국무조정실 등 일부 부처와 언론사, 새누리당 8개 시도당의 홈피에서도 해킹 또는 접속 지연 등 해킹 의심사례가 발생했다. 다행히 피해가 크지 않은 것으로 알려졌지만, 최근 들어 청와대만 해도 2011년 3월에 이어 두번째 해킹을 당했다. 아직 공격의 주체가 확인되지 않고 있지만 잇단 사이버 공격으로 인해 국민들은 불안하기 짝이 없는 노릇이다. 북한을 비롯한 특정 세력의 사이버 공격은 어제오늘의 일이 아니다. 2009년 디도스(DDoS·분산 서비스 거부) 공격에 이어 2011~2012년, 지난 3월 농협·언론사의 전산망 마비사태는 엄청난 사회적 혼란과 피해를 낳았다. 이처럼 최근의 사이버 공격 대상은 정부기관은 물론 금융기관 등으로 전방위적이며 지속화 하는 양상으로 바뀌고 있다. 오죽하면 미국·중국 등 국가들도 사이버 공격 대응이 곧 국가 안보를 지키는 것이란 인식 아래 예산을 집중 투입하겠는가. 북한과 대치 중인 우리로서는 하시라도 사이버 경계 태세를 늦춰서는 안 되는 게 작금의 현실이다. 하지만 이번 청와대 홈피 해킹 사태를 보면, 불과 두 달 전 정부가 발표한 사이버 공격 종합 대책이 무색할 지경이다. 정부는 청와대 홈피가 해킹을 당한 뒤 피해 확산을 막는다며 보안 강화를 당부했지만, 사전 홍보 등 기본적인 매뉴얼이 가동됐는지 의심스럽기조차 하다. 이번 해킹은 국제해커집단인 어나니머스가 6·25에 맞춰 북한 사이트에 대한 디도스 공격을 하겠다고 밝힌 터여서 관련 기관은 만반의 대비책을 세웠어야만 했다. 또한 어나니머스가 청와대 홈피 공격은 자신들의 소행이 아니라고 밝혔지만, 해킹의 주체가 이들이든 북한이든 허술한 대비가 문제이긴 매한가지다. 정부기관을 대상으로 한 사이버 공격은 주요 정보가 유출될 우려가 크기에 사전 대비가 철저해야 한다. 우리는 그동안 대규모 해킹 사태가 발생할 때마다 철저한 선제 대응만이 차후의 공격을 막고 피해를 최소화할 수 있다고 주문했다. 사이버 공격을 원천적으로 막는다는 것은 쉽지 않은 게 현실이다. 하지만 정부가 공언한 사이버 민방위훈련은 이번에 가동되지 않았다. 사이버 공격 관련 법률안이 만들어지지 않았기 때문이란 것은 변명일 뿐이다.

‘어나니머스’라고 자칭한 해커들에 의해 청와대 등 정부기관과 일부 국내 언론사 사이트 및 북한의 여러 사이트들이 사이버 공격을 당한 가운데 이들의 정체에 대한 관심이 모아지고 있다. 25일 국제 해커그룹 어나니머스 소속이라고 주장하는 한 해커는 청와대, 국무조정실, 일부 언론사 홈페이지를 해킹한 것이 자신의 소행이라고 주장했다. 트위터 아이디 @hacktivist_kor는 이날 자신의 트위터에 “인터넷 규제 철폐하라. 국가정보원 불법 대선개입 사죄하라. 국정원 해체하라. 국회는 국민에게 사죄하라”면서 자신이 해킹했다는 정부기관과 언론사, 새누리당 일부 시·도당 목록을 나열했다. 그러나 어나니머스라고 자칭한 다른 해커가 예고한 대로 북한 사이트 수십 곳 역시 이날 디도스 공격을 받아 일부 사이트의 접속이 원활하지 않은 것으로 알려졌다. 북한 사이트를 공격한 해커는 청와대 등을 해킹한 주체는 자신들이 아니라고 주장했다. 이들은 “청와대 등의 공격은 우리가 한 일이 아니다”라면서 “북한 소행으로 추정된다”고 밝혔다. 이렇게 어나니머스의 정체를 놓고 진실 공방이 이어지고 일관되지 않은 공격 행위가 나타난 것은 어나니머스의 본질을 드러냈다는 지적이다. 어나니머스는 국제 해커그룹이라고 자칭하지만 일사불란하게 하나로 움직이는 조직이 아니다. 누군가의 지시를 받지 않으며 심지어 어나니머스라 자칭하는 이들끼리의 협의나 승인 과정이 있는지조차 불분명하다. 극단적으로 단순화하면 어떤 이념이나 신념에 따라 특정 사이트를 공격한 뒤 공격 사실과 내용을 밝히고 자신을 어나니머스라고 소개하면 곧 어나니머스가 되는 것도 불가능하지 않다. 게다가 이름 그대로 익명이기 때문에 개인은 물론 특정 단체, 심지어 정부기관이 해킹에 나선 뒤 스스로 어나니머스라고 칭하면 어나니머스가 될 수 있는 것이다. 이 때문에 이날 청와대 등을 해킹한 주체가 어나니머스를 자칭한 북한일 수도 있고 그렇지 않을 수도 있다. 마찬가지로 북한 사이트를 공격한 주체 역시 개인 또는 몇 명의 그룹일 수도 있지만 국내 정부기관일 가능성도 배제할 수 없다. 누구나 익명성 뒤에서 어나니머스가 될 수 있다는 점 때문에 그 누구도 자신만이 진짜라고 할 수 없는 함정에 빠진 셈이다. 온라인뉴스부 iseoul@seoul.co.kr

국가정보원의 대선·정치 개입 의혹 등을 수사 중인 검찰이 ‘댓글 사건 축소·외압 의혹’과 관련해 서울지방경찰청을 전격 압수수색했다. 검찰이 경찰 핵심 기관을 압수수색한 것은 2007년 ‘한화그룹 회장 보복 폭행 사건’과 2009년 1월 용산참사 수사, 지난해 ‘선관위 디도스(DDoS·분산서비스거부) 공격 사건’에 이어 네 번째다. 경찰이 같은 수사기관인 검찰에 의해 또다시 압수수색을 당하는 수난을 겪은 것이다. 서울중앙지검 특별수사팀(팀장 윤석열)은 20일 오전 9시 검사 4명과 수사관 23명을 사이버범죄수사대와 수사2계 등에 보내 수사라인이 주고받은 각종 문건과 전산 자료, 이메일 내역 등을 확보했다. 압수수색은 대선을 앞두고 서울경찰청이 국정원 여직원의 댓글 사건을 수사하던 수서경찰서에 수사 축소 은폐 압력을 행사했다는 의혹을 규명할 증거 자료를 확보하기 위한 것이다. 압수품에는 서울청장실과 수사과장·부장실, 홍보담당관실의 하드디스크도 포함됐다. 검찰은 지난 8일 권은희 전 수서서 수사과장을 시작으로 중간 수사결과를 발표했던 이광석 전 수서서장 등 경찰 간부들을 불러 수뇌부로부터 사건 은폐·축소 지시를 받았는지 조사해 왔다. 검찰은 조만간 김용판 전 서울청장 등을 피고발인 신분으로 소환할 예정이다. 최지숙 기자 truth173@seoul.co.kr

인기 온라인 커뮤니티 사이트인 디시인사이드가 18일 접속 장애를 겪고 있다. 한국인터넷진흥원(KISA)은 이날 디시인사이드가 사이버 공격이 원인으로 의심되는 서비스 장애를 겪고 있다는 사실을 파악해 디시인사이드 측에 통보했다고 밝혔다. 실제 디시인사이드 갤러리는 이날 오후 4시 30분 현재 간헐적으로 접속이 되는 상황이 반복되고 있다. 디시인사이드 측은 디시뉴스를 통해 “서비스 장애의 원인은 디도스 공격으로 추정된다”며 “현재 디도스 공격을 우회해 서비스를 재개했으며 KISA 등을 통해 공격 배후를 찾는 데 주력하고 있다”고 말했다. 온라인뉴스부 iseoul@seoul.co.kr

지난달 20일 발생한 방송사·금융기관에 대한 대규모 해킹은 그동안의 사이버 공격과 마찬가지로 북한의 소행으로 결론났다. 정부가 그제 발표한 ‘3·20 해킹’ 내용에 따르면, 북한은 8개월 전부터 우회접속 경로를 통해 이들 기관의 전산망에 악성코드를 심은 뒤 공격을 감행했다. 이전보다 더 치밀하게 대비해야 한다는 경각심을 갖기에 충분하다. 무엇보다 미사일 발사 징후, 개성공단 폐쇄 등 북한의 잇단 위협과 맞물려 사이버 도발이 이뤄졌다는 점에서 그 심각성을 더하고 있다. ‘3·20 해킹’ 합동대응팀이 공격 주체로 지목한 북한의 정찰총국 산하에는 1만 2000여명의 해커가 있고, 이 중 1000여명은 중국 등 해외에서 암약하고 있다고 한다. 이들은 그간 4만 8000여건의 국내 사이트를 공격했다. 국내 전산망을 풀방구리에 쥐 드나들듯 자유자재로 유린한 셈이다. 이처럼 어느 나라보다 촘촘히 연결된 우리의 인터넷망은 사이버 공격에 매우 취약하다. 북한은 심각한 경제적 궁핍 속에서도 2000년대 중반부터 돈은 덜 들고 공격 효과가 큰 사이버 인력 양성에 주력해 왔다. 이른바 ‘사이버 전사들’이다. 이들은 군사적인 목적 외에도 기업체 해킹을 통한 외화벌이에도 투입된다고 한다. 2009년 디도스 공격과 2011~12년 농협 및 언론사 전산망 마비 사태에서도 우리는 북한의 지능화한 사이버 공격 수법을 여실히 보았다. 이번 사태는 총체적인 사이버 안전망이 하루속히 구축돼야 한다는 점을 보여주었다. 특히 악성코드에 대한 보안대책으로 마련한 기업의 배포 서버가 해킹의 도구로 악용돼 민·관·군의 합동 대응만이 피해를 줄일 수 있다는 것을 입증했다. 서버들이 전산망을 마비시키는 ‘숙주 역할’을 했다는 점에서다. 또한 해외 서버를 활용한 공격 경유지도 다양해져 만일 주요 사회간접자본에 대한 동시다발적 사이버 공격이 이뤄진다면 사회적 대혼란을 겪을 수 있음을 확인케 했다. 사이버 방어는 휴전선 철책을 지키는 일 못지않게 중요해졌다. 숭숭 뚫린 사이버망을 방치했다간 제2의 사이버 테러는 언제든지 발생한다. 우리는 사이버 공격이 발생할 때마다 실효성 있는 대책을 세우라고 주문한 바 있다. 정부는 미국과 중국이 사이버 공격을 새로운 유형의 전쟁으로 간주하고 예산 증액에 잇따라 나서고 있는 사례를 본보기로 삼아야 할 것이다. 국민들도 일상 생활에서 사이버 안보의식을 가져야 대형 참사를 막을 수 있다.

지난달 20일 KBS·MBC·YTN 등 방송사와 농협·신한·제주은행·NH생명보험·NH손해보험 등 금융기관의 내부 전산망 마비 사태를 일으킨 ‘3·20 사이버테러’는 북한의 소행이라는 공식 조사결과가 나왔다. 정부는 이번 공격이 북한 정찰총국의 소행일 가능성이 큰 것으로 보고 있다. 민·관·군 사이버위협 합동대응팀은 10일 과천 미래창조과학부 브리핑실에서 “피해기관의 감염장비 및 국내 공격 경유지 등에서 수집한 악성코드 76종과 수년간 국가정보원과 군에서 축적한 북한의 대남 해킹 조사결과를 종합적으로 반영해 이렇게 추정했다”고 밝혔다. 합동대응팀에 따르면 공격자는 최소한 9개월 이전부터 목표 기관 내부의 PC나 서버를 장악해 자료를 절취하고 전산망의 취약점을 파악하는 등 지속적인 침투를 해왔다. 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포하거나 서버 저장장치 삭제 명령을 실행한 것으로 드러났다. 실제로 지난해 6월 28일부터 최소한 6대의 북한 내부 PC가 1590회의 접속을 통해 금융기관에 악성코드를 유포하고 PC에 저장된 자료를 절취한 것으로 확인됐다. 또 올해 2월 22일 북한 내부 인터넷프로토콜(IP)주소(175.45.178.XXX)에서 감염 PC를 원격으로 조작하는 등 국내 경유지에 시험 목적으로 처음 접속한 흔적도 발견됐다. 이는 2009년 7·7 디도스(DDoS·분산서비스 거부), 2011년 3·4 디도스, 농협(2011년), 중앙일보 전산망 파괴(2012년) 등 북한의 이전 해킹수법과 일치한다. 또 사이버테러의 공격 경로를 추적한 결과 북한 내부의 인터넷 주소가 나왔고 접속 흔적을 제거하려고 시도한 사실도 발견됐다. 한편 정부는 11일 국가정보원장 주재로 미래부, 금융위원회 등 15개 정부기관 관계자가 참석하는 ‘국가사이버안전전략회의’를 열어 재발 방지 대책을 논의키로 했다. 홍혜정 기자 jukebox@seoul.co.kr

우리나라 사업자들이 중국에서 활동 중인 북한 해커에게 디도스(DDos, 분산서비스 거부) 공격용 악성코드 파일과 해킹장비를 받아 사업을 하고 북한의 외화벌이까지 도운 사실이 드러났다. 검찰에 따르면 최모(28)씨 등 3명은 북한 해커에게서 받은 해킹 프로그램으로 선물거래(HTS)와 인터넷 게임, 도박사이트 등을 운영해 해커와 수익금을 나눠 가졌다는 것이다. 이들은 북한 해커가 ‘능라도정보센터’ 요원인 줄 알면서 거래를 했고, 이 과정에서 우리 국민의 개인정보 1억 4000만건이 북한에 넘겨졌을 가능성이 높다고 한다. 북한이 이를 이용해 사이버상에서 또 무슨 일을 저지를지를 생각하면 아찔하기만 하다. 북한은 지금 대남 군사적 위협과 동시에 사이버 테러 카드를 만지작거리고 있다. 이런 시기에 사업자 몇 명이 돈에 눈이 멀어 국민의 정보를 북한에 넘겨 국가 안보까지 위태로운 지경으로 내몰고 있으니 통탄할 일이다. 최씨는 백화점·주유소·쇼핑몰 등을 해킹해 고객의 아이디와 비밀번호, 이메일 주소, 주민등록번호 등 개인정보를 확보했다고 한다. 1억 4000만건이면 웬만한 국민의 정보는 다 들어 있을 것 아닌가. 북한이 이를 도용해 우리 사회의 혼란을 야기시키고 인터넷 어느 구석에 악성 코드라도 심어 놓으면 사이버 대란은 불을 보듯 뻔할 것이다. 피의자를 관련법 위반으로 단순하게 처벌하고 넘어갈 사안이 아닌 것이다. 검찰은 철저히 수사해서 전모를 더 밝혀내야 한다. 북한은 이미 1990년대 초부터 해마다 1000명의 ‘사이버 전사’를 양성해 왔다. 당시 김정일 국방위원장은 “인터넷은 총이다. 남한 전산망을 손금 보듯이 파악하라”고 교시까지 내렸다. 김정은 노동당 제1비서도 최근 “용맹한 (사이버)전사만 있으면 어떤 제재도 뚫고 강성국가 건설도 문제없다”고 큰소리를 쳤다. 지난 몇 년 동안 북한의 소행으로 확인·추정되는 사이버 공격이 어디 한두 건인가. 이번 사건은 바로 그런 북한의 전사와 결탁해 사이버 공격 통로를 닦아준 꼴이다. 사이버 공간은 육·해·공·우주에 이어 제5의 전쟁터라고 한다. 국민이 힘을 합쳐 지켜야 할 또 다른 대한민국의 영토인 셈이다. 정보기술(IT) 강국인 대한민국의 국민답게 이제 개인들도 사이버 공간에 대한 경각심으로 무장해야 한다. 이는 총을 들고 우리의 땅과 바다, 하늘을 지켜내는 것 못지않게 중요한 안보 태세이기도 하다.