한국과 미국의 정부 관리 수백명의 지메일(G메일·구글 메일) 계정이 해킹을 당한 것으로 드러났다. 해킹의 진원지는 중국으로 추정된다. 인터넷 검색엔진 구글은 1일(현지시간) 한·미 정부 관리와 중국 인권운동가 등의 지메일 계정을 대상으로 한 해킹 사실을 적발했다고 밝혔다. 구글은 공식 블로그를 통해 이번 해킹 공격은 중국 산둥(山東)성 지난(濟南) 지역에서 시작된 것으로 보이며, 해커들이 지메일 계정 수백개에 침입해 메일을 모니터하려다 적발됐다고 설명했다. ●구글 “해킹 진원지는 中” 영국 일간 가디언은 “해커들이 중국 정부에 고용됐다는 직접적인 증거는 없지만, 공격 기술이 정교하고 직접적인 금전 이득을 노린 해킹이 아니라는 점에서 해커들이 중국 정부의 후원을 받았을 가능성을 구글은 배제하지 않고 있다.”고 보도했다. 신문은 미국 정부가 최근 사이버 공격을 전쟁행위로 규정했다는 점을 지적하고 “이번 해킹으로 인해 사이버 전쟁에 대한 미국과 중국 간의 긴장감이 심각한 수준으로 고조될 수 있다.”고 전했다. 구글은 해커들이 피해자들의 메일 계정에 접속해 메일 전달(포워딩) 기능 설정을 변경하고, 이를 통해 피해자들의 이메일을 지속적으로 다른 사람에게 전달한 것으로 보고 있다. ●한국 공무원 계정 가장 많아 구글은 “피해자 가운데는 미국 정부 고위 관료, 중국 인권운동가와 언론인, 군 관계자, 아시아 국가 관리들이 포함돼 있다.”면서 “해킹 사실을 감지하고 이를 저지했으며, 메일 사용자들에게 이를 통지했다.”고 밝혔다. 해킹을 당한 아시아 국가 관리들의 대부분은 한국 공무원들인 것으로 전해졌다. 한편 행정안전부 관계자는 “디도스 공격과 해킹 등 외부 사이버 공격에 대비해 정부 조직 내 인터넷망을 분리해 운영하고 있다.”면서 “업무용으로 쓰이는 전산망은 엄격히 관리하고 있지만 개인이 사적으로 사용하는 외부 메일 계정 등에 대해서는 규제할 근거가 없다.”고 말했다. 박찬구·박성국기자 ckpark@seoul.co.kr

2008년 미래에셋 그룹 홈페이지와 증권사이트에 분산서비스거부(디도스·DDos) 공격을 하고 거액을 요구했던 주범이 도피 3년 만에 검거됐다. 이 사건은 금융회사 사이트가 디도스 공격으로 마비된 첫 사례였다. 경찰청 사이버테러대응센터는 지난 20일 인천공항을 통해 귀국하던 양모(34)씨를 붙잡아 정보통신기반보호법 위반 등의 혐의로 구속했다고 29일 밝혔다. 경찰은 ‘대포통장’ 조달을 담당한 양씨의 형(37)도 붙잡아 입건했다. 양씨는 9인조 조직을 만들어 2008년 3월 미래에셋 그룹 홈페이지와 증권사이트에 접속 장애를 일으킨 뒤 “2억원을 송금하면 공격을 멈추겠다.”며 전화와 인터넷 메신저를 통해 회사를 협박한 혐의를 받고 있다. 경찰 조사 결과 필리핀에서 범행을 주도한 양씨는 악성코드를 심은 좀비PC 1만여대 가운데 270여대를 미국에 있는 공격명령 서버를 통해 조종, 그룹 홈페이지를 4시간 동안 접속불능 상태에 빠뜨린 것으로 드러났다. 이 때문에 이 증권사 사이트는 30분간이나 마비됐다. 미래에셋 측의 신고를 받은 경찰은 같은 해 7월 국내에 머물던 악성코드 제작자 2명과 유포자 2명, 대포통장 조달자 1명 등 5명을 검거해 이 가운데 2명을 구속했다. 하지만 양씨는 필리핀에서 불법 체류자로 3년간 도피 생활을 해 왔다. 그는 최근 생활고가 겹친 데다 한국에 있는 부모의 병환 때문에 귀국을 결심한 것으로 알려졌다. 양씨는 미래에셋을 공격하기 전 소규모 사이트 11곳을 공격해 7곳의 운영자들에게 공격을 중단하는 대가로 550만원을 챙겼다. 이후 협박 대상을 대형 사이트로 확대했으나 정작 미래에셋 측으로부터는 한 푼도 뜯어내지 못했다고 경찰은 전했다. 경찰은 필리핀에 남아 있는 주범 노모(35)씨와 한모(33)씨 등 2명의 행방을 쫓고 있다. 백민경기자 white@seoul.co.kr

최근 발생한 농협 전산망 마비사태가 우리에게 더욱 충격으로 다가온 것은 고도로 훈련된 해커에 의한 사이버 테러라는 점에서다. 특정 경로와 대상, 시간을 지정해 정밀타격 식으로 이뤄지는 사이버 공격은 간단한 악성코드만으로 쉽게 실행할 수 있는 디도스(DDoS·분산서비스 거부) 공격과는 차원이 다르다. ‘핵 공갈’을 능가하는 위협거리다. 엊그제 외신은 우리의 사이버 안보 우려가 언제든 현실이 될 수 있다는 섬뜩한 경고음을 전한다. 미국 폭스뉴스에 따르면 북한은 해킹 등 사이버 전쟁을 펼칠 3만명의 병력을 보유하고 있으며 그 능력은 미국 중앙정보국(CIA)에 맞먹는다고 한다. 더구나 군의 핵심 엘리트로 정예화하고 있다니, 사실이라면 우리로서는 그야말로 사이버안보 비상사태라도 선언해야 할 판이다. “현대전은 전자전이다.”라는 김정일 국방위원장의 언급 이후 북한은 해킹부대를 본격적으로 운영하는 등 사이버 전력 강화에 박차를 가하고 있다. 우리 사이버 안보 현실은 어떤가. 우리는 북한의 대남 사이버 전력이 어느 정도인지조차 정확히 가늠하지 못하고 있는 형편이다. 북한은 우수 대학생을 뽑아 해킹과 사이버전 프로그램을 개발하는 비밀학교에 보낸다는 얘기도 있다. 사이버 테러가 고도의 지능범죄임을 감안하면 사이버 보안기술의 개발과 전문인력의 육성은 아무리 강조해도 지나치지 않다. 정보기술 강국인 우리가 사이버 안보에 눈뜬 것은 2009년 7·7 사이버 대란을 겪고 나서다. 사이버 전사 10만 양병설이 힘을 얻기도 했다. 그러나 위기의 순간 반짝 긴장했을 뿐 우리의 사이버안보 현주소는 초라하기 짝이 없다. 사이버 안전을 책임지는 국가정보원의 역할을 강화하는 것이 맞다. 이미 본란을 통해 지적했지만 정보통신기반보호법 개정이 시급하다. 정략적 접근에서 탈피해 국정원이 명실상부한 사이버 대응 컨트롤타워 역할을 하도록 해야 한다. 미국 백악관은 지난주 해킹으로 개인정보가 유출됐을 경우 정부가 적절한 조치를 강제할 수 있도록 하는 ‘사이버안보법’을 의회에 제출했다. 국가안보 차원의 민·관·군 총체적 대응만이 사이버 위험사회에서 살아남을 수 있는 길이다.

북한의 사이버 공격에 세계 최고 수준의 정보기술(IT) 강국인 우리가 속수무책으로 당하고 있지만 대책 마련이 여의치 않다. 2009년 ‘대란’으로까지 불린 청와대 등 국내 주요 기관 웹사이트에 대한 디도스(DDoS·분산서비스거부) 공격은 물론 지난달 농협 전산망 마비사태 또한 북한 소행으로 드러났다. 하지만 일사불란한 총력 대응이 안 되고 있다. 북한의 사이버 테러에 이처럼 무기력한 것은 우리 사이버 안보 환경에 뭔가 심각한 구멍이 있다는 얘기다. 그런 점에서 정부가 관련 부처별 역할과 기능을 재정립하고 제도적 미비점을 보완한 사이버안보 마스터플랜을 마련하기로 한 것은 늦었지만 다행이다. 우리는 날로 빈도와 강도를 더해가는 북한의 사이버 위협에 효율적으로 대처하기 위해서는 무엇보다 국가 차원의 일원화된 상시 대응체계가 확립돼야 한다고 본다. 정보통신기반보호법(제7조 3항)에 따르면 국정원은 금융 정보통신기반시설 등 개인정보 저장시설에 대해서는 기술적 지원을 할 수 없다. 그런 만큼 정부와 공공기관 외에 민간부문의 사이버 안전에 대해 최고의 정보기관인 국정원은 손을 놓고 있을 수밖에 없다. 국정원이 개인정보가 저장된 정보통신기반시설에 무시로 접근하게 되면 개인정보 유출로 사생활 침해를 부를 수도 있다. 그러나 북한의 사이버 공격이 민·관(民官)을 가리지 않고 이뤄지는 현실을 감안하면 국가 사이버 안전 업무를 총괄하는 국정원을 절름발이 상태로 놓아둘 수만은 없다. 북한은 1980년대부터 해킹부대를 운용하는 등 사이버 도발 태세를 한층 강화하고 있다. 사이버 안보의 강화는 국정원의 역할 차원을 넘어 국가의 존망이 걸린 일대사다. 제2, 제3의 농협사태를 막기 위해서라도 정보통신기반보호법의 개정은 불가피하다. 국정원의 민간 사이버 안전활동은 허용하되 사생활 침해는 막는 감시·감독 장치를 촘촘히 마련하는 데 좀 더 지혜를 모아야 한다.

앞으로 해외로부터의 사이버 공격에 대해서는 외교 안보 문제로 격상시켜 국제기구를 통해 대응하게 된다. 또 사이버 위협에 대해 범정부적으로 총괄 대응할 수 있는 일원화된 체계를 구현하는 등의 ‘사이버 안보 마스터플랜’이 수립된다. 정부는 11일 원세훈 국가정보원장 주관으로 기획재정부, 외교통상부, 국방부, 행정안전부, 방송통신위원회 등 14개 부처 차관이 참여한 국가사이버안전 전략회의를 열고 사이버 안보 마스터플랜을 수립하기로 했다. 국가사이버안전 전략회의는 2009년 ‘7·7 디도스(DDoS·분산 서비스 거부) 공격’ 후 열렸다가 2년 만에 다시 개최됐다. 정부가 마스터플랜을 추진하는 데는 7·7 디도스 공격과 올해 ‘3·4 디도스 사태’에 이어 농협 전산망 해킹 등 사회 혼란을 일으키는 사이버 공격이 지속적으로 고조되고 있다는 점이 배경으로 작용했다. 특히 농협 전산 장애 등 금융권에 대한 공격이 추가로 발생할 수 있다는 판단에 따라 금융 보안을 대폭 강화하고 외주 용역 보안관리 실태를 조사해 대책을 마련키로 했다. 또 해외를 경유한 사이버 공격에 대해 발생 초기에서부터 국제기구를 통해 외교 안보적으로 대응한다는 전략을 세웠다. 정부는 주요 기반 시설 등 경제·산업 전반의 사이버 보안 강화에 나서기 위한 전문 조직과 인력, 예산도 확충한다. 국민에게는 사이버 보안의식을 제고할 방침이다. 국정원은 14개 부처 공동으로 태스크포스(TF)를 구성하기로 했다. 부처별로는 세부 추진 방안을 마련해 7월 중 이명박 대통령에게 보고한 후 시행할 방침이다. 방통위 관계자는 “사이버 공격에 대해 매우 심각한 우려가 제기되고 있어 2년 만에 범정부적으로 전략회의를 열게 됐다.”며 “각 부처의 실무자급에서 구체적인 액션 플랜을 마련해 국가적 차원에서 보안을 재점검하고 강화하는 대책이 마련될 것”이라고 말했다. 안동환기자 ipsofacto@seoul.co.kr

농협 해킹이 북한 소행이라는 검찰 수사결과에 북한이 “천안호 사건과 같은 날조극”이라며 맹비난했다. 서울중앙지검이 지난 3일 농협 해킹의 주범으로 북한 정찰총국을 지목하는 수사결과를 발표한 뒤 일주일 만에 북한이 내놓은 반응이다. 북한은 그동안 디도스(DDos·분산서비스거부) 공격이나 각종 해킹사건과 관련해 우리 관계당국이 ‘북 소행’이라는 조사결과를 발표해도 공식적인 반응이나 입장을 내놓지 않았다. 10일 조선중앙통신에 따르면 북한 국방위원회 인민무력부는 ‘남을 걸고드는 악습을 버려야 한다’는 제목의 대변인 담화를 통해 “‘북의 소행설’은 황당무계한 근거와 그에 바탕을 둔 허황한 주장이며 천안호 침몰사건과 같은 날조극”이라고 주장했다. 윤설영기자 snow0@seoul.co.kr

지난 2일 사람들은 TV 속보에서 눈을 떼지 못했다. 알카에다 수장 오사마 빈라덴이 사살됐다는 소식이었다. 그 뒤로도 후속 보도가 쏟아지며 단숨에 검색어 1위에 올랐다. 가짜로 판명 난 빈라덴 시신 사진은 5위에 따로 올랐을 정도다. 버락 오바마 미국 대통령은 유전자(DNA) 검사 결과까지 언급하면서 “빈라덴을 미군이 사살했다는 것은 의심의 여지가 없다.”고 단언했지만 비무장 상태에서의 사살 정당성 등 논란이 수그러들지 않고 있다. ●추신수, 음주운전에 굴욕 동영상까지 지난달 12일 발생한 농협 전산망 마비 사태에 대해 검찰이 북한 소행이라고 ‘잠정 결론’을 내린 발표(2위)도 네티즌들의 지대한 관심을 끌었다. 검찰은 2009년 디도스 대란 당시 발견된 악성 프로그램 구조와 이번에 농협을 공격한 프로그램이 유사하다는 점 등을 근거로 제시했으나 ‘범인 못 잡으면 모두 북한 탓’이라는 네티즌들의 냉소를 받기도 했다. 지난 1일 경북 문경 둔덕산에서 발견된 ‘십자가 시신’은 3위에 올랐다. 전대미문의 사건을 놓고 경찰은 자살 쪽으로 무게중심을 옮겨가고 있지만 타살 가능성을 펴는 반대주장도 만만치 않다. 미국 프로야구 선수 추신수는 음주운전을 하다가 경찰에 붙잡혀 팬들에게 큰 실망감을 안겨줬다. 혈중 알코올 농도는 0.201%. 경찰관에게 구차하게 사정하는 ‘굴욕 동영상’까지 공개돼 더욱 뭇매를 맞았다. 4위. ●한예슬 뺑소니 두고 네티즌도 와글 와글 국내·외 연예인들의 신상과 관련된 소식도 순위가 밀리기는 했지만 빠질 리 없었다. 미국 배우 셀레나 고메스와 캐나다 팝스타 저스틴 비버의 열애 소식(6위), 박재범이 미국 시장에서 발표한 미니앨범 ‘테이크 어 디퍼 룩’이 빌보드 차트 안의 ‘월드 앨범 차트’ 3위에 올랐다는 소식(8위), 결혼한 지 얼마 안된 배우 정준호가 직접적 연관이 없는 민사소송에 등장하면서 불거진 별거설(9위), 배우 한예슬(30)의 뺑소니 정당성 논란(10위)이 인터넷을 달궜다. 특히 한예슬 사건을 두고서는 “사과 대신 돈으로 해결하려다가 제대로 걸렸다.”는 주장과 “유명인의 약점을 이용해 돈을 뜯어내려는 술수에 말려든 것”이라는 네티즌 간 설전이 뜨겁다. 박록삼기자 youngtan@seoul.co.kr

기자라는 직업을 갖고 있다 보니 주변에서 이런저런 질문을 많이 받는다. 질문의 유형은 대략 세 가지다. 하나는 ‘A양 염문설’과 같은 호사가들의 궁금증이다. 다른 하나는 유망한 주식·부동산 정보 등 재테크 목적의 질문이다. 보통 들은 대로, 아는 대로 “그건 사실과 다르대.” “대박주를 알면 내가 샀지.”라는 식으로 웃고 넘기고 만다. 하지만 어떤 사건이나 의혹의 실체적 진실이 질문의 대상이 되면 사정이 달라진다. 그냥 웃고 넘어갈 수가 없다. 정확히 모르거나 답변이 곤란하면 당혹스러워진다. ‘내가 명색이 기자인데….’하는 생각에 일종의 자책감마저 밀려온다. 최근에 그런 경험을 했다. “농협 전산망 해킹이 진짜로 북한이 한 짓이냐.”고 친구가 물어왔다. 지금은 그쪽 취재를 담당하지 않고 있어 안면 있는 보안 전문가에게 오랜만에 전화를 돌렸다. 하지만 들려오는 답은 수사당국의 얘기와 다르다. “검찰 발표만 믿고 북한으로 단정하기 어렵다.”는 것이다. 검찰이 두 차례 디도스 공격의 범인이 북한이고, 그 범인과 이번 범인이 같다고 했는데 증거도 공개하지 않은 채 그렇게 몰아가는 것은 ‘추론의 추론’일 뿐이라고 했다. 한 해커는 “IP는 DNA와 다르다.”고 했다. IP는 DNA와 달리 얼마든지 복제가 가능한 만큼 같은 IP가 발견됐다고 범인까지 같다는 논리는 성립하지 않는다고 했다. 문제는 이런 생각이 일부의 의견이 아니라 전문가들 사이에 일반화돼 있다는 것이다. 검찰로서는 억울할 수도 있다. 실제로 검찰의 말대로 보안기밀 때문에 속 시원히 공개하지 못하는 것을 외부에서 불신하고 매도하는 것일 수도 있다. 하지만 이는 그동안 권력의 의도에 따라 움직여 온 검찰의 원죄다. 검찰의 발표는 현 정권에 대한 ‘믿음의 눈’을 가진 사람들에게만 진실로 보여서는 안 된다. 국민들을 부활한 예수를 믿지 못해 상처에 손을 넣어봤던 예수의 제자 도마와 같은 사람들로 만들고 싶지 않다면 말이다. whoami@seoul.co.kr

전대미문의 농협 전산장애가 북한의 소행이라는 검찰 발표를 두고 말들이 많다. “북한이 했다고 도저히 못 믿겠다.”는 반응이 있고, “북한이 이렇게 위협적이니 걱정된다.”는 의견도 있다. 엇갈리는 반응 때문에 농협 사태를 천안함 사건에 비교하는 시선도 있다. 어쩌면 영구미제로 남을 것이라는 관측도 나온다. 검찰 수사가 여론의 도마 위에 오른 것은 어찌 보면 당연한 수순이다. 검찰의 발표문 하나하나가 검증대상이 되고 있는 분위기다. 요약하자면 “결국 북한이 했다는 직접증거는 없다.”는 게 북한소행론을 반박하는 쪽의 얘기고, “그럼 북한 말고 누가 하겠느냐.”는 게 옹호하는 쪽의 얘기다. 검찰 입장에서는 억울할 수 있겠지만, 논란의 단초를 제공한 것은 검찰 스스로이다. 수사 초기 내부자 공모 가능성을 배제한 검찰은 결국 수사발표에서 ‘누군지 특정할 수 없는 해커’가 어떻게 악성코드를 심었는지 눈에 그리듯 설명했다. 정작 노트북 주인이 어떻게 악성코드를 내려받게 됐는지 정황 설명은 빠졌고, 주어가 빠진 발표는 “소설 같다.”는 반응을 불렀다. 과거 디도스 공격 당시 사용된 아이피(IP)가 2년 만에 다시 농협 전산망 공격용으로 탈바꿈했다고 발표했지만, 대체 이 IP가 그동안 왜 차단되지 않았는지 예상질문에 대한 답변은 준비하지 않았다. 더욱이 검찰은 북한과의 관련을 나타내는 결정적 증거에 대해서 ‘보안’을 이유로 함구로 일관함으로써 되레 의혹을 증폭시킨 측면도 있다. 지금까지도 진실 공방의 대상이 되고 있는 황우석 논문조작 사건을 수사할 때 검찰은 몇달씩 결과발표를 미루며 조사를 이어갔다. 단행본 책 한 권 분량으로 나온 수사결과 발표문은 곳곳에서 제기한 의혹을 총망라했다. 당시 “강제력을 동원할 수 있는 수사기관의 발표이기에 한 치의 의혹도 남기지 않겠다.”던 검찰이 쫓기듯 수사발표를 한 이유를 모르겠다. 속시원하게 의혹을 해소하지 못한 검찰의 발표가 되레 국론을 분열시키고 있다는 소리에 귀를 기울여야 할 것이다. saloo@seoul.co.kr

지난달 발생한 사상 초유의 농협 금융전산망 마비 사태는 북한의 소행으로 결론이 났다. 북한 정찰총국 소속 해커들이 장기간 치밀하게 준비한 뒤 실행한 ‘사이버테러’라는 것이 검찰이 내린 결론이다. 서울중앙지검 첨단범죄수사2부(부장 김영대)는 3일 이 사건이 2009년 7·7디도스(DDoS·분산서비스거부) 및 지난 3·4디도스 공격 주체와 같은 집단의 소행으로 ‘북한이 관여한 사이버테러’라고 밝혔다. 검찰에 따르면 농협 서버 삭제 명령이 내려진 한국IBM 직원 노트북은 지난해 9월 4일쯤 악성코드에 감염돼 ‘좀비PC’(해커가 원격제어하는 PC)가 됐으며, 해커들은 7개월 가까이 이 노트북을 집중 모니터링했다. 그러다 지난달 12일 오전 8시 20분쯤 공격명령 파일이 설치됐고, 같은 날 오후 4시 50분쯤 원격제어 방식으로 삭제 명령이 실행됐다. 특히 악성코드 중에는 도청 프로그램도 포함돼 있어 해커들은 삭제 명령 실행 당일에 농협 측의 반응과 피해 규모까지 모두 도청했던 것으로 조사됐다. 또 이들은 정보 유출용 해킹 프로그램인 ‘백도어’(backdoor)와 ‘키로깅’(key logging)을 통해 최고관리자 비밀번호까지 빼냈다. 검찰은 해당 노트북 ‘맥 주소’(MAC Address·랜카드 고유 식별 번호)를 북한 측이 관리하고 있었고, 악성코드 유포 경로와 작동 방식이 과거 사건과 비슷하며, 공격에 사용된 IP주소 한 개가 3·4디도스 때와 동일하다는 점 등을 근거로 이 사건을 북한의 소행으로 보고 있다. 하지만 검찰은 중국에서 암약하는 해커들이 농협 서버를 해킹했을 수도 있다고 보고 IP 추적 등 관련 수사를 계속할 계획이다. 김승훈·강병철기자 bckang@seoul.co.kr

농협 전산망 마비 사태를 3주 동안 수사한 검찰은 이 사건을 ‘북한 정찰총국이 주체가 돼 치밀하게 준비한 사이버 테러’라고 결론지었다. 과거 7·7 디도스(DDoS·분산 서비스 거부), 3·4 디도스 공격 대란 때와 같은 결론이다. 검찰은 국가정보원이 축적한 자료를 바탕으로 이와 같이 판단했다. 하지만 여기에는 농협의 허술한 보안도 한몫한 것으로 드러났다. 3일 검찰 등에 따르면 농협 사태를 북한 소행으로 보는 가장 주요한 근거는 농협 서버 삭제 명령이 내려진 한국IBM 직원 노트북의 ‘맥 주소’(MAC Address·랜카드 고유 번호)가 북한 측에서 관리하는 ‘좀비PC’ 맥 주소 목록에 포함돼 있다는 사실이다. 국정원은 지난해 9월쯤 북한이 국내에 대대적으로 악성코드를 유포하고, 여기에 감염된 좀비PC들의 맥 주소를 목록으로 정리·관리해 왔다는 사실을 포착했다. 국정원은 해당 목록을 입수해 보관해 왔는데, 이번 사건에 활용된 노트북 맥 주소가 이 목록에 포함돼 있었던 것이다. 또 동일 집단이 아니고서는 불가능할 정도로 비슷한 수법으로 같은 프로그램이 활용됐다는 것도 중요한 정황 증거다. 검찰 관계자는 이를 두고 “수법이 같다는 건 사람의 필적이 같은 것과 비슷한 이치”라고 표현했다. 우선 악성코드를 ‘A로 시작하는 45자의 암호키’를 사용해 숨겨둔 수법이 이전과 똑같았고, 공격에 활용한 인터넷 프로토콜(IP) 주소 1개는 3·4 디도스 때와 완전히 일치하는 것으로 조사됐다. 여기다 일부 악성코드는 3·4 디도스 때와 이름이 같았고, 삭제 명령 대상이 된 30여 개 파일 확장자도 7·7 디도스 때와는 93%, 3·4 디도스 때와는 100% 일치했다. 이번 공격이 상당한 규모의 인적·물적 지원 없이는 불가능한 범죄라는 점도 검찰이 북한의 소행이라고 추정하는 간접적인 이유다. 그러나 검찰은 이번 사건을 북한이 주도했다는 ‘확실한 증거’는 제시하지 못했다. 검찰은 한국IBM 직원의 노트북에서 27개 해외 IP를 발견했으나, 어느 IP를 통해 삭제 명령이 내려졌는지는 특정하지 못했다. 또 7·7 디도스, 3·4 디도스 사건 당시 “북한 개입으로 추정한다.”는 결론을 내리고서는 이번에 다시 그 사건들과의 공통점을 근거로 북한 소행으로 결론내리는 것에 대해 논리성이 떨어진다는 비판을 피할 수 없을 것으로 보인다. 또 국정원이 해당 악성코드 유포 사실을 지난해 9월 확인해 치료 작업에 들어갔는데도 주요 금융기관인 농협의 서버 관리 컴퓨터가 반년 넘게 치료되지 않았다는 점도 의문이다. 검찰은 향후 추가 범죄가 발생할 가능성도 있다고 보고 있다. 검찰은 이와 함께 이번 사건에서는 농협의 허술한 보안 정책도 한 원인이 됐다고 밝혔다. 농협 직원의 컴퓨터라면 반드시 깔려 있어야 하는 보안 프로그램이 한국IBM 직원의 노트북에는 깔려 있지 않았고, 해당 직원은 서버 관리용 노트북으로 자유롭게 인터넷 서핑이나 웹하드 자료 다운로드를 즐겼다. 강병철기자 bckang@seoul.co.kr

농협 전산 장애를 촉발한 원인으로 북측의 사이버 테러 도발이 지목된 가운데 주대준 한국과학기술원(카이스트) 부총장은 3일 “청와대를 중심으로 국가 전체를 컨트롤하는 사이버 보안시스템 구축이 시급하다.”고 지적했다. 주 부총장은 “농협 전산망을 공격한 주체가 누구인지에 관계없이 우리가 사이버 테러를 당했다는 것은 명백한 사실”이라면서 “수력·전력·교통 등 국가 기반 시설망이 사이버 테러에 노출될 경우 상상할 수 없는 피해가 올 것”이라고 경고했다. 주 부총장은 6공화국 시절부터 현 정부까지 20여년간 청와대 경호실에서 사이버 보안 체제를 구축했다. 지난 2008년 대통령실 경호처 경호차장으로 정년 퇴직한 뒤 카이스트 사이버보안연구소장으로 사이버 해킹 탐지 원천 기술 개발과 후학 양성에 전념하고 있다. →2009년 7·7디도스 공격 뒤 사이버 테러가 고도화되고 있다. -삼풍백화점이나 성수대교 붕괴는 세월이 지나도 생생하다. 눈에 보이기 때문이다. 디도스 공격과 같은 사이버 테러는 실감하기 어렵다. 사이버 테러가 동시다발적으로 국가 기간산업망까지 무력화시킬 수 있는 파괴력을 갖고 있음에도 경각심이 일어나지 않는 이유다. 해킹을 당하고도 모르는 경우도 많다. 전문가들이 ‘폴스 네거티브 에러’(False Negative Error)라고 하는 상황이다. 최근 해커들은 특정 사이트를 관찰하다가 특정 시간대에 악성코드를 유포한다. 그 순간 사이트에 접속한 모든 개인용컴퓨터(PC)는 좀비PC가 된다. 사이트에 접속만 해도 좀비PC가 양산되는 것이다. →국내 PC가 유독 악성코드 공격에 취약한 이유가 있는가. -역설적으로 우리나라만큼 정보기술(IT) 분야가 활성화된 곳이 없기 때문이다. 고속 인터넷망이 전국에 퍼져 있으니 해커의 먹잇감이 되는 것이다. 이탈리아에 가면 관광객이 몰리니 지갑을 훔치기 쉬운 것처럼, 사이버환경이 발달되어 있으니 해커가 노릴 수밖에 없다. 최근 민간 부문의 2000여개 사이트를 조사한 결과 10% 이상의 홈페이지에 악성코드가 숨겨져 있었다. 내로라하는 대기업 홈페이지도 포함됐다. 해커의 공격이 갈수록 거세지는 것도 사실이다. 20여년 전 청와대 재직 시절에 이미 보안을 위해 내부망과 외부망을 분리했다. PC 한 대를 인터넷과 인트라넷으로 분리하는 것인데, 이 방법은 이제 큰 의미가 없다. 인터넷을 사용할 때 침투한 악성코드가 인트라넷으로 침투되기 때문이다. 물리적으로 PC를 분리해서 사용할 수 있는데, 최근 유럽에서는 인트라넷만 연결되는 PC에 유지보수업체가 꽂은 USB에서 악성코드가 묻어 들어간 사례가 발견됐다. →대책은 없는가. -지난해 주요 20개국(G20) 정상회의 당시 모니터링 시스템이 좋은 예가 될 수 있다. 당시 카이스트 사이버보안연구센터와 서울경찰청이 공조해 악성코드를 실시간으로 분석하고 바로 삭제하는 모니터링 시스템을 가동해 효과를 봤다. 악성코드가 발견되면 백신을 투입해 치료하는 현재 방식으로는 나날이 발전하는 해커의 공격을 당해내기 어렵다. 안철수연구소의 V3 백신이 국내를 벗어나면 힘을 못 쓰는 현실을 인정하고, 연구개발과 투자에 만전을 기해야 한다. →개인과 기관의 방어만으로는 한계가 있어 보인다. -대부분의 조직이 자신의 시스템을 잘 만들면 보안 문제가 해결된다고 생각한다. 하지만 금융시스템만 해도 인증 시스템이 따로 있고, 고객 서비스가 따로 있다. 모두 연결되어 있으니 정문만 막아서 될 문제가 아니다. 쪽문·옆문·뒷문 모두 지켜야 한다. 하청업체나 아웃소싱 업체와 인력 관리에 만전을 기해야 한다. 장기적인 대책 마련을 위해서는 국가 사이버보안수준 자체를 높여야 한다. 그러려면 컨트롤타워 구축이 시급하다. 백악관에는 오바마 정부 들어서 국가사이버안보조정관이 신설됐다. 청와대에는 이를 담당할 인력이 없는데, 담당 비서관 등을 만들어야 한다. 정부 조직 내에도 산업기밀과 금융기밀을 총괄할 수 있는 기관 신설이 시급하다. 사이버 테러에 따른 사회적 비용을 생각해 보라. 관공서나 금융업체가 공격당했을 때도 위험하지만 수력·원자력·전력·교통시스템 등 국가 기간망이 공격을 받을 경우 추산할 수 없을 정도의 혼란과 재난이 닥칠 수 있다. 홍희경기자 saloo@seoul.co.kr

3·4디도스, 현대캐피탈 정보유출, 농협 전산망 해킹 등 줄지어 일어나는 보안사고로 사이버 대한민국의 체면이 말이 아니다. 초고속망과 스마트폰으로 정보화가 가속화되고, 소셜네트워킹으로 개인정보의 노출이 심각해지고 있는 터에, 믿었던 금융권마저도 어이없게 구멍을 드러내 더는 방치할 수 없는 수준에 이르고 있다. 정부는 금융권 특별감사를 실시하고 보안을 강화하겠다고 공언하지만, 한번 잃은 신뢰를 회복하기는 쉬울 것 같지 않다. 오히려 공격의 진원지와 배경도 정확히 분석하지 못하고 있어 불안만 증폭되고 있다. 범죄 조직이 연루된 해킹이 우려되고, 언제 어떤 사건이 터질지 조마조마하다. “범죄 조직이 해커와 손잡고 사건을 일으키기 시작했다.”라는, 상하이에서 만난 중국 해커의 이야기가 생각난다. 그러나 정보보호가 족쇄가 되어 정보화의 발목을 죌 수는 없다. 이제라도 상황을 정확히 분석하고 해결책을 찾아야 한다. 이를 위해 연이어 발생하는 해킹 사건들을 거울삼아 우리나라의 정보보호 환경을 점검해 보는 일이 급선무일 것이다. 우선 기업의 정보보호 환경이 열악하다. 많은 기업은 고객의 정보를 다룰 자격조차 갖추고 있지 않다. 정보보호에 관심조차 없는 기업이 많고, 대부분은 ‘설마병’에 걸려 있어 이웃은 당해도 ‘나’는 당하지 않을 것이라는 막연한 기대 심리를 갖고 있다. 현대캐피탈은 정보보호 인프라를 갖추고도 보안 관리의 부실로 호되게 당했다. 설마병의 결과다. 설마병이 치유된다 해도, 대부분 기업에서 보안 조직의 위상이 지나치게 낮아 문제가 된다. 주기적으로 비밀번호를 바꾸려면 ‘지시’보다는 ‘부탁’을 해야 할 지경이기 때문이다. 한 사람의 실수와 취약점이 전체를 흔드는 보안의 특성상 이는 적절치 않다. 정보보호 업무는 최고경영자(CEO)의 직속 부서에서 담당하거나 감사실에서 추진할 때 실효성이 있다는 주장이 설득력이 있어 보인다. 정부도 해킹 사건이 나면 특별 보안 점검을 하는 등 법석을 떠는 뒷북치기보다는 예방정책을 시행해야 한다. 국민의 재산권을 보호하고 사회 질서를 유지하는 차원에서 정보보호가 다뤄져야 한다. 특히, 해킹 탓에 경제생활과 직결된 금융권의 신뢰와 질서가 무너진다면 이는 단순히 금융권만의 문제가 아니라는 사실을 간과하지 말아야 한다. 그럼에도, 최근 몇 년 동안에 정부는 정보보호 인력을 양성하는 대학 연구센터의 수를 줄이고 한국전자통신연구원의 정보보호 기술본부를 해체했다. 우리의 정보보호 기술이 이미 수준급이어서 민간 기업의 개발력만으로도 충분하다는 것인지, 아니면 정보보호 기술을 포기하겠다는 것인지 진의를 판단할 수 없다. 문제는 정부가 정보보호 인력 양성과 연구 개발에서 후퇴하고 있다는 점이다. 정보보호의 가장 큰 문제는 소비자 자신이다. 정보 유출의 최종 피해자가 자신임에도 이를 심각하게 여기지 않는 소비자 정서가 문제가 된다. 지금까지 대규모 개인정보의 유출이나, 상당한 해킹 피해가 다수 있었음에도 해당 기업은 꿋꿋하게 존재한다. 기업은 해킹으로 입은 손실과 정보보호를 위한 투자 규모를 견주고 있다는 사실을 소비자는 기억해야 한다. 해킹이라는 시한폭탄을 안은 기관은 비단 금융권만은 아니다. 의료·국방·에너지 분야 등 거의 모든 분야에서 해킹은 심각한 결과를 초래할 수 있다. 의료정보의 대량 유출에 의한 사회 혼란, 스턱스넷에 의한 국가 기간 시설의 파괴, 해커에 의한 국가 기밀의 유출 등은 걷잡을 수 없는 피해를 일으킬 수 있다. 정보보호가 결여된 정보화는 지뢰밭을 걸어가는 것과 다름없다. 이제라도 각 기업의 정보보호 환경을 재정비하고 해킹과 맞서는 것이 절실한 과제다. 성장을 위해 마케팅에 투자한다면, 그 성장을 지속하려면 정보보호에 투자해야 한다. 하루빨리 완벽한 정보보호 환경을 조성하지 않으면, 어렵게 이룩한 기업도, 사회도 바닷가의 모래성처럼 무너져 버리게 될 것이기 때문이다. 그 성장을 지속하려면 정보보호에 투자해야 한다. 하루빨리 완벽한 정보보호 환경을 조성하지 않으면, 어렵게 이룩한 기업도, 사회도 바닷가의 모래성처럼 무너져 버리게 될 것이기 때문이다.

지난해 7월부터 인터넷뱅킹에서 공인인증서를 사용할 의무가 사라졌다. 이런 사실을 아는 이는 많지 않다. 스마트폰뱅킹을 비롯한 대부분의 전자거래에서 공인인증서를 여전히 요구하고 있다. 공인인증서를 사용하지 않게 된다면 은행 사이트에 접속했을 때 액티브X를 통해 은행이 요구하는 자체 보안 프로그램을 내려받는 과정이 없어지게 된다. 그동안 액티브X는 마이크로소프트(MS) 전용 브라우저인 인터넷익스플로러(IE)에서만 구동되기 때문에 소비자들의 브라우저 선택권이 제한되며, 보안업계 전반의 발전을 해친다는 지적이 있었다. 오픈웹의 김기창 고대법대 교수와 이민화 전 기업호민관이 논의를 주도했고, MS 운영체제가 아닌 맥 운영체제를 쓰는 아이폰이 보급되면서 결국 공인인증서 사용 의무가 폐지됐다. 김인성 IT칼럼니스트는 25일 서울신문과 가진 인터뷰에서 여기에 더해 공인인증서 체제가 보안 측면에서도 취약하다고 지적했다. 2009년 분산서비스거부(디도스) 공격부터 최근 농협 전산장애 사태까지 국내 보안사고에서 툭하면 서버가 공격을 당하는 이유가 여기에 있다는 것이다. 김 칼럼니스트는 “외국의 보안이 기관 사이트를 통제해 서버 관리에 만전을 기하는 식이라면, 국내는 기관 사이트의 허점을 방치한 채 개인만 통제하는 식”이라면서 “공인인증서로 사용자들은 불편해지지만, 사이트 보안은 전혀 이뤄지지 않고 있다.”고 강조했다. 이 상태로는 보안 분야에 돈을 아무리 쏟아부어도 보안업체의 배만 불릴 뿐 근본적인 해결은 안 된다고 했다. →농협 전산장애 사고를 전후해 피싱사이트가 출현했다. 사고 원인은 수사를 지켜봐야겠지만, 피싱사이트의 발빠른 움직임에 혀를 내둘렀다. -피싱사이트를 통해 고객 정보를 빼내는 것은 중국 쪽 해커집단의 돈벌이 수준이 된 지 오래다. 인터넷뱅킹을 하려고 하면 은행에서 보안 프로그램을 다운받게 한다. 해커들은 유사 사이트를 만들고 보안프로그램으로 위장한 바이러스를 다운받게 한다. 이렇게 해서 좀비가 된 PC가 국내에 100만대 이상으로 추정된다. 좀비PC들은 해커의 명령이 떨어지면 특정 사이트에 한꺼번에 접속을 시도, 마비시킨다. 트래픽이 집중돼 서비스가 불가능해지면 해커는 돈을 요구하고, 속도가 생명인 게임업체들은 대부분의 경우 이 협상에 응할 수밖에 없다. 우리의 보안은 보안이 아니다. →유독 우리가 국제 해커들의 먹잇감이 되는 이유가 있는가. -국내 인터넷의 보안시스템이 세계 표준과 다르기 때문이다. 근본적으로 해외 사이트가 스스로의 안전성을 증명하는 체계라면, 국내는 개인들이 사이트에 접속할 때 본인이 맞다는 것을 사이트에 증명해야 한다. 예를 들어 웹메일인 지메일(gmail) 사이트에 접속하면, 사이트 주소가 http://에서 https://(안전전송규약·SSL)로 바뀐다. 뒤에 붙는 s는 이 사이트가 정확한 사이트이니 믿고 이용하라는 표시로, 공인인증기관이 증명해 주는 신호이다. https://를 보고 사용자들은 추가 소프트웨어를 다운받을 필요 없이 안심하고 거래를 할 수 있다. 한국의 보안 방식은 이와는 달리 사이트는 안전하다고 일단 가정을 하고, 개인 사용자에게 자기들만의 보안 프로그램·키보드 해킹방지 프로그램·바이러스 백신 등을 다운받게 한다. 이것도 모자라 공인인증서를 요구한다. 액티브X를 다운받는 동안 사용자 컴퓨터는 보안에 완전히 취약한 상태가 된다. 시작 단계에서부터 보안이 무너져 있는 것이다. →안전연결은 국내만 채택을 안 한 것인가. -대부분의 국가에서 채택했다. 1990년대 중반까지 미국은 보안방식으로 복잡한 암호화 기법을 쓰지 못하게 했고, 해독 불가능한 암호화 방식은 수출도 금지했다. 그래서 우리가 독자적으로 만든 게 공인인증서다. 이후 해외에서는 사용자가 웹사이트에 보안접속을 시도하면 웹브라우저가 인증기관에 의뢰해 이상이 없다는 답을 받고 안전전송 규약을 허용하는 체제가 자리잡았다. 국내는 이를 받아들이지 않고, 개인에게 부담을 더 지우는 쪽으로 보안이 발전했다. 은행과 같은 기관이 서버관리를 제대로 하고 있는지 감시하는 곳은 없다. 이게 툭하면 보안사고가 일어나고, 서버 공격이 이뤄지는 이유다. 다른 문제도 있다. 우리 상황에서 보안업체들은 은행이나 공공기관에 납품 경쟁을 벌인다. 이 시장을 확보하면, 개인은 선택권을 갖지 못한 채 일방적으로 사이트 방침에 따라 다운로드를 해야 한다. 해외는 웹브라우저에 기본 보안 프로그램이 장착되고, 개인이 브라우저를 선택하는 구조이다. 그래서 기본적으로 보안 프로그램이 싸고, 그러면서도 개인 고객을 대상으로 성능 경쟁이 계속된다. →아이폰 도입과 함께 한 차례 공인인증서 폐지운동이 있었다. -결론적으로 스마트폰 도입 뒤에도 공인인증서 체제는 살아남았다. 이것은 새로운 문제로 이어질 수 있다. 예컨대 제2금융권은 스마트폰의 새로운 버전에서 구동시킬 공인인증서 보안체제를 개발할 자금이 부족할 것이다. 결국 이들은 보안을 외주에 맡기거나 스마트폰뱅킹 시장에 진출하기 어려울 것이다. 만일 국제 표준방식을 채택했다면, 2금융권 업체도 투자비용 없이 스마트폰뱅킹 시장에 진입할 수 있을 것이다. 국제 표준방식은 과거의 소프트웨어 뿐 아니라 미래의 어떤 플랫폼에서도 지원이 되도록 만들어져 있다. 스마트폰 운영체제 새 버전이 나왔다고 보안업체가 추가 개발 비용을 요구할 근거가 사라진다. →공인인증서 보안 체제 때문에 우리가 잃는 것이 또 있는가. -이 방식은 전체적으로 우리나라 전자상거래를 죽이고 있다. 물건을 하나 사는데 다른 나라와 달리 공인인증서를 요구하니 어떻게 물건을 팔 수 있겠나. 온라인에서는 오프라인처럼 해외진출을 할 때 막대한 투자를 하기보다 언어만 바꿔서 손쉽게 이동할 수 있어야 하는데, 한국만의 특수한 보안 방식은 이것을 불가능하게 한다. 커다란 세계 시장을 곁에 두고 중소기업들이 굶어 죽고 있다. 수출탑을 수여할 정도로 수출에 목 매는 나라에서 온라인 시장의 개방에 대해서는 왜 이런 모습인지 모르겠다. 홍희경기자 saloo@seoul.co.kr ■ 김인성 IT칼럼니스트는 ▲46세 ▲서울대 컴퓨터공학과 졸업 ▲리눅스 시스템으로 초기 엠파스 사이트 구축 ▲전 리눅스원 개발이사 ▲현 KT 계열 네트워크 장비업체 컨설팅 ▲저서 ‘한국IT산업의 멸망’, ‘리눅스 디바이스 드라이버’(공동번역), 잡지 ‘마이크로소프트웨어’에 칼럼 연재

삼성전자 디카 ‘EX1’ 카메라 톱 5에 삼성전자는 디지털카메라 ‘EX1’이 해외 정보기술(IT) 전문매체인 ‘시넷 아시아’에서 선정한 ‘저조도 촬영 시 뛰어난 화질을 선보이는 카메라 톱 5’에 포함됐다고 24일 밝혔다. EX1은 가장 밝은 렌즈인 F1.8(24㎜ 초광각 3배줌 렌즈)를 적용해 어두운 환경에서도 밝고 선명하게 촬영할 수 있다. 1000만 화소의 이미지 센서를 탑재했으며 3인치 회전형 아몰레드 디스플레이를 장착해 다양한 각도에서 촬영할 수 있다. 가격은 50만원대. LG전자 여성위한 핑크색 노트북 출시 LG전자는 여성 고객을 위한 파스텔 핑크 색상의 ‘엑스노트 P210 시리즈’노트북을 선보였다. 이 제품은 효율적 안테나 설계 등 혁신적 기술을 결집해 테두리 두께를 4분의1로 줄인 모델이다. 12.5인치 고화질(HD) 발광다이오드(LED) LCD를 탑재했지만 기존의 11.6인치 노트북보다 작고 얇으며, 인텔 코어 i5 프로세서와 2기가바이트(GB) 메모리를 탑재했다고 회사 측은 설명했다. 가격은 125만원. 2D·3D 동시탑재 내비게이션 선봬 파인디지털은 ‘아틀란 3D v2’ 맵과 ‘온라인 2차원(2D) 맵(T맵 나비)’을 동시에 탑재해 운전자의 취향에 따라 선택할 수 있는 통신 내비게이션 ‘파인드라이브 iQ-t’를 선보였다. ‘온라인 2D 맵’은 블루투스 기능으로 스마트폰과 내비게이션을 연결, SK텔레콤의 ‘T맵’을 이용할 수 있는 ‘T맵 나비’ 서비스다. 휴대전화 통신사와 무관하게 연동이 가능하며 2년간 정보이용료 없이 무료로 쓸 수 있다. 8기가바이트(GB) 패키지 가격은 43만 9000원. 안철수硏, 좀비PC 대응용 장비 공개 안철수연구소는 좀비PC 대응용 네트워크 보안 장비인 ‘트러스와처’를 공개했다. 트러스와처는 7.7 분산서비스거부(디도스) 공격 대란과 3.4 디도스 공격 때 대응 역량과 기술력을 인정받은 안철수연구소의 종합적 디도스 대응 플랫폼을 제품화한 것이다. 악성코드를 사전 검출해 효과적으로 좀비PC를 예방하고 대응할 수 있는 전문 보안 장비로 악성코드 감염 파일에 대한 진단 정확도가 탁월한 것이 특징이라고 연구소 측은 설명했다.

현대캐피탈과 농협의 전산사고로 해커에 대한 관심이 높아지고 있다. 일부 청소년들에게 이들은 동경의 대상이 되기도 한다. 보안이 철저하다는 정부나 대기업 등의 전산망을 제집처럼 드나들며 해킹을 하기 때문이다. 하지만 해커 하면 컴퓨터에 매달려 사는, 사회성이 부족한 이른바 ‘오타쿠’(마니아)로 보는 어두운 그림자도 드리워져 있다. 또 해킹 기술을 통해 협박과 금전적 이득을 취하는 범죄자들도 적지 않다. 하지만 해커라고 모두 범죄자는 아니다. 해킹 기술을 악용해 금전적 이득을 노리는 ‘블랙 해커’가 있다면 이들을 막는 ‘화이트 해커’가 있다. 보안을 뚫으려는 ‘창’(블랙 해커)과 이를 저지하려는 ‘방패’(화이트 해커) 간의 보이지 않는 전쟁도 치열하다. 해커도 등급이 있다. 다른 사람이 개발한 해킹 프로그램을 사용하는 초보 수준 해커는 ‘스크립트 키디’(script kiddie)라 하며, 중간급 수준은 ‘위저드’(wizard)로 독자적으로 해킹 툴이나 보안 솔루션을 개발한다. 최고 보안이 적용된 정부·기업의 전산망을 뚫을 수 있는 최정상급 해커는 ‘구루’라고 불린다. 농협 서버를 뚫은 블랙 해커는 ‘구루급’으로 분류된다. 국내 해커는 ‘스크립트 키디’ 최소 1000여명, 위저드급 800여명, 구루급 50~100여명으로 추산된다. 화이트 해커는 범죄와 거리가 멀다. 보안 동아리에서 해킹 기술을 연구하고 기업의 보안 취약성을 분석하는 순기능을 한다. 실제 웹사이트가 아닌 가상 환경에서 해킹 기법을 익힌다. 미국 라스베이거스에서 열리는 세계 최대 해커협의회인 데프콘(DEFCON)을 비롯한 국내외 해킹 대회에 참가하는 등 대한민국 해커로서 자부심을 키운다. 국제해킹방어대회인 ‘코드게이트 2009’에서 최연소 우승자로 화제를 모은 박찬암(23)씨. 그는 국내외 해킹대회에서 6차례나 우승한 구루급이다. 현재 인하대 컴퓨터공학과 재학생이자 보안 전문업체인 소프트포럼의 보안기술팀장이다. 그는 “(알려진 것과는 달리) 해커들을 보면 활달하고 사회성이 뛰어나다.”고 말한다. 문제는 블랙 해커. 하지만 국내에서는 해커에 대한 보수 등이 열악해 화이트 해커도 ‘검은 유혹’을 받는다. 이는 박 팀장도 마찬가지. 경쟁 기업에 대한 디도스(분산서비스거부) 공격과 DB 해킹까지 의뢰가 다양하다. 그는 최대 3억원을 제안받기도 했다. 국내 화이트 해커 양성과 윤리 교육을 하는 해커 대학의 김태순 이사도 5000만원을 제시하며 악성코드를 제작해 달라는 의뢰를 받은 적이 있다. 경찰에 신고했지만 끝내 의뢰자는 붙잡지 못했다. 조직폭력배들이 한 온라인 기업의 해킹을 요구한 경우도 있었다. 국내에서 ‘작업 해커’를 확보하지 못하면 중국 해커를 매수한다. 한국과 중국의 블랙 해커들이 웹·시스템·네트워크로 각각 공격 역할을 분담해 공조하는 현상이 나타나고 있다. 김 이사는 “이들은 기업체의 DB나 가입자 정보 해킹부터 디도스 공격을 예고하고 돈을 요구하는 사례들이 파악되고 있다.”고 말했다. 화이트 해커들은 우리 기업들의 ‘위기관리’에 문제가 있다고 우려한다. 블랙 해커들의 협박에 많은 기업들이 돈으로 무마하거나 해킹 자체를 은폐한다고 지적한다. 안동환기자 ipsofacto@seoul.co.kr [용어클릭] ●해커 블랙 해커는 개인적인 목적을 노려 악의적으로 해킹을 일삼는 이들을 말한다. 반면 화이트 해커는 순수하게 학업과 연구 등을 위해 해킹을 하는 정보 보안 전문가를 뜻한다. 과거에는 해커가 유능한 컴퓨터 프로그래머를 뜻했고, 불순한 의도를 가진 해커를 크래커(cracker)라 부르기도 했다.

농협 전산대란과 현대캐피탈 정보유출 등 연이은 사이버테러로 ‘해커’에 대한 관심이 집중되고 있다. 사이버전쟁 시대에서 국내 사이버 보안의 현주소와 해커들의 성취욕, 나름의 윤리의식 등에 대해 현직 해커(22)에게 들어봤다. 그는 신분과 위치 노출을 극도로 꺼려 전화 인터뷰조차 사양했다. 설득 끝에 그를 잘 아는 전직 화이트 해커 출신의 보안업체 대표(33)를 통해 이메일 인터뷰를 했다. 그는 “최첨단을 달리는 디지털 시대에, 아날로그적인 가치가 해결책”이라며 “정보 보안에서 가장 중요한 것은 유비무환의 자세와 윤리의식”이라고 강조했다. 다음은 그와의 일문일답. →‘농협사태’를 일으킨 해커들을 어떻게 보나. -보안이 생명인 금융권 전산망이 뚫렸다는 것에 대해 해커들도 놀라워하고 있다. 이유야 어쨌든 은행의 전산망이 망가졌다는 것은 애초부터 기본적인 보안조치가 잘못돼 있었다는 것을 의미한다. 내부자에 대한 정보 보안도 중요한데 이를 소홀히 한 게 아닌가 싶다. 사고가 터지고 나면 그제야 허겁지겁 해결책을 논한다는 게 문제다. 평소 체계적인 보안관리에 철저해야 한다. →해커로서 공격에 성공하고, 실패했을 때의 느낌은. -공격에 성공했을 때는 정말로 많은 것을 얻는다. 이미 알고 있던 기술 이외에 다른 꼼수나 공격기법 도출 등 해킹은 숨바꼭질과 같다. 성공하면 마치 성(城)을 점령한 장군 같은 희열을 느낀다. 실패란 없다. 끈기가 있고 체력이 되면 성공할 때까지 (공격을) 계속한다. →해커도 다양화됐다던데. -요즘은 워낙 분야가 넓어져 해커 혼자 모든 것을 담당할 수 없다. 그래서 웹, 파일분석, 암호화, 시스템 해킹 등 분야별로 수준 높은 해커들이 있다. 각자 전문 분야가 생긴 셈이다. 해커는 크게 두 종류가 있다. 완성된 프로그램을 사용하는 초보 수준의 ‘스크립트 키드’가 있다. 진짜 프로는 방화벽 등의 분석을 통해 프로그램을 짜서 침투한다. →국내 금융권 및 대기업 서버의 보안 수준은. -보통 메인 홈페이지의 보안 수준은 높지만, 관련 계열사 사이트 등은 대부분 취약하다. 때문에 초절정 고수의 해커에게는 ‘식은 죽 먹기’로 보인다. 또 메인 홈페이지의 보안 수준이 높다고 해도 기존에 알려지지 않은 공격기법이나 새로운 취약점이 발견되면 언제든지 뚫릴 수 있다. →스마트폰 보안 대란도 지적되는데. -스마트폰은 PC 기능을 축소해 놓은 ‘주머니 속의 PC’다. 스마트폰도 이미 보안 문제에 상당히 노출돼 있다. 디도스(DDoS)에 이용되거나 스마트폰의 개인정보 유출, 국제전화 과금 등 기본적인 보안 문제부터, 시스템 자체의 취약점을 이용한 모바일 대란이 발생할 공산이 매우 높다. 일부 해커들은 스마트폰 해킹 시나리오를 충분히 그려볼 수 있고, 앞으로 그것을 실행할 확률이 높다. →화이트 해커를 꿈꾸는 청소년에게 조언한다면. -사이버윤리를 기본적으로 갖춘 해커가 되라고 말하고 싶다. 청소년 시절 과시 욕구가 크기 때문에 윤리의식 없이 해킹을 공부했다가는 자신도 모르게 해킹사고의 주인공이 될 수도 있다. 한번 빠지면 영원히 빠져나오지 못하며, 사회적으로 매장당한다. 이영준기자 apple@seoul.co.kr

현대캐피탈과 농협에서 잇따라 대형 전산사고가 발생하면서 우리 사회의 보안 시스템이 전반적으로 열악하다는 현실이 다시 한번 드러났다. 특히 두 사건 모두 해커가 개입된 것으로 추정되면서 국가적 차원에서 ‘해커 전쟁’에 대비해야 한다는 목소리가 커지고 있다. 한국의 대표적 보안업체인 안철수연구소의 김홍선(51) 대표는 지난 20일 “해커들은 이미 글로벌 범죄 조직으로 성장했지만 이에 대처하는 우리 기업들의 보안 의식은 너무도 취약하다.”고 우려했다. 다음은 김홍선 대표와의 일문일답. →최근 발생한 일련의 전산 사고들 사이에 공통점이 있다면. -분산 서비스 거부(디도스) 공격부터 현대캐피탈, 농협 사태 모두 전 세계 모든 PC들이 초고속 인터넷(브로드밴드)으로 네트워크화되면서 해커들이 특정 PC에 접근하기가 더욱 쉬워지고 있다는 점을 잘 보여준다. 네트워크를 통해 원하는 PC에 들어올 수 있는 통로가 넓어져 이젠 중국인 해커가 아프리카에 서버를 둔 채 동남아에서 노트북 한대만 들고 한국의 금융기관을 해킹할 수 있는 시대가 됐다. 국내 정보 당국이 용의자를 찾더라도 인터폴 등과 협의해 해당 국가의 도움을 받으려고 하면 이미 자취를 감춘 지 오래다. →현대캐피탈이나 농협 같은 금융기관을 해킹할 수 있는 이들이 국내 혹은 세계에 얼마나 된다고 보나. -그 정도 수준의 해커들은 추정이 불가능할 정도로 많다. 영화에서 해커들이 1~2명 단위로 숨어 다니며 정부 등 거대 조직을 상대로 정의롭게 싸우다 보니 해커들을 ‘나홀로 움직이는’ 신비한 존재쯤으로 여기는 이들이 많다. 정부 관계자들조차 그렇게 보기도 해 놀라기도 한다. 하지만 해커들 대부분은 (마피아처럼) 전 세계에 걸친 글로벌 조직의 구성원으로 일한다. 해킹은 국제 조직의 주요한 범죄가 됐다. →해커들은 어떤 식으로 돈을 버나. -주로 동유럽과 중국 및 동남아, 아프리카, 브라질 등에 거대 조직들이 밀집해 있는데, 통상 이들은 크게 세 가지 방식으로 수익을 창출한다. 하나는 해킹을 원하는 일반인들에게 자신들이 개발한 해킹 프로그램을 판다. 동유럽의 한 해킹 조직이 개발한 ‘제우스’라는 프로그램은 한개에 3000달러(약 330만원)가 넘는 고가에 팔린다. 두 번째는 금융기관 등을 해킹해 정보를 빼낸 뒤 해당 업체를 협박해 돈을 갈취한다(현대캐피탈 사례가 대표적). 세 번째는 해킹을 원하는 조직을 위해 대신 일해 주고 사례금을 받는다(농협 사례도 이 경로로 이뤄졌을 것으로 추정). 일종의 아웃소싱인데 해킹 계약을 따내기 위한 글로벌 조직들의 ‘수주전’(戰)도 치열하다. →이들이 벌어들이는 수익은 얼마나 되나. -해커들이 지하 경제에서 활동하다 보니 정확한 계산은 힘들다. 하지만 우리가 생각하는 것 이상으로 엄청난 돈을 버는 것은 분명하다. 국내외를 막론하고 금융기관은 해킹당한 사실이 알려지면 신뢰도에 치명적인 타격을 입는다. 때문에 해커들이 달라는 대로 거액을 주고 넘어가는 경우가 대부분이다(실제 농협도 2008년 이미 한 차례 해킹을 당했지만 이를 숨겨 온 사실이 검찰 조사로 드러났다). 금융기관이 아니어도 기업 운영에 불법적인 요소가 많은 곳은 조사받는 것 자체를 꺼리게 된다. 해커들도 이를 알고 무리한 요구를 하는데 기업 입장에선 어쩔 수 없이 현금을 주고 덮고 간다. →그렇다면 국내 기업 가운데 현대캐피탈이나 농협 말고도 이미 해커들에게 해킹을 당한 뒤 돈으로 무마하고 넘어간 곳들이 있었다는 뜻인가. -(잠시 뜸을 들이더니) 그 질문에는 답하지 않겠다. →최근 전직 해커 한명이 언론 인터뷰를 통해 “6개월이면 어떤 은행도 다 뚫을 수 있다.”고 밝혀 화제가 됐다. 결국 기업들이 아무리 보안에 투자해도 마음먹고 덤벼드는 해커들은 못 막아 낸다는 의미로 해석된다. -(여러 번 웃으며) 요즘 언론에 ‘전직 해커’라는 이들이 자주 나오던데 나도 한번 만나보고 싶다. 난 그 해커의 말에 동의하지 않는다. 아무리 뛰어난 해커라 해도 사전에 철저히 보안 시스템을 2중, 3중으로 갖춘 ‘준비된 기업들’은 절대 뚫을 수 없다. 전 세계 해커들이 노리는 구글이나 아마존, 페이스북 등은 어떻게 지금까지 건재할 수 있었겠나. 만에 하나 이를 모두 뚫고 들어올 수 있는 능력이 있더라도 이런 시스템을 뚫게 되면 반드시 흔적을 남길 수밖에 없게 돼 있다. →끝으로 해킹과 관련해 우리 사회에 당부하고 싶은 것이 있다면. -10년째 같은 얘기를 반복해야 하는 우리 현실이 참 안타깝다. 해커들은 우리가 상상하는 것보다 훨씬 치밀하게 범죄를 준비한다. 우리나라에서 보안 검색이 가장 까다롭다는 한 기업에서는 아이러니하게도 오너 등 고위층이 들어갈 때 (일행인 척) 따라 들어가면 아무 검색도 받지 않고 출입할 수 있다. 해커들은 이런 사회공학적 배경까지도 모두 분석해 일을 진행한다. 하지만 우리 기업들의 보안 의식은 낮아도 너무 낮다. 국내 굴지의 한 기업에서는 쉬는 시간마다 직원들이 회사 공장 시스템을 돌리는 메인 컴퓨터로 인터넷 서핑이나 쇼핑을 하다 악성코드에 감염돼 가동이 중단되기도 했다. 보안 시스템 설치 당시 설정해 준 비밀번호를 한 차례도 바꾸지 않고 몇 년씩 쓰다 사고를 당하는 대기업도 많다. 무엇보다 보안 문제는 정보기술(IT) 담당자가 아닌 최고경영자(CEO)가 챙기는 풍토가 마련돼야 한다. 글 류지영기자 superryu@seoul.co.kr 사진 류재림기자 jawoolim@seoul.co.kr ●김홍선 대표는 ▲1960년 서울 ▲서울대 전자공학과(학·석사) 및 미국 퍼듀대(박사) ▲미국 텍사스주립대 연구원, 삼성전자 컴퓨터사업부 선임연구원, 시큐어소프트 대표이사 등 ▲정진기언론문화상, 미국 퍼듀대 최고의 동문상, 과학기술창의상 등 수상

지난달 발생한 ‘3·4 디도스’(DDos·분산 서비스 거부) 사태에 이어 현대캐피탈, 농협 등의 금융권 보안 사고까지 잇따라 터지면서 해킹을 막을 수 있는 전문 인력인 ‘화이트 해커’에 대한 관심이 높아지고 있다. 화이트 해커란 코드 분석 등 해킹 기술을 악용해 이익을 취하려는 ‘블랙 해커’들과 달리 해킹 기술을 연구해 ‘방패’를 만드는 보안 전문가를 말한다. 현재 국내에 화이트 해커 그룹은 10여개로 500여명 정도가 활동하는 것으로 알려져 있다. 개인 해커들은 그보다 훨씬 더 많을 것으로 추정된다. 아직 우리나라에서는 보안 전문가를 체계적으로 키우는 시스템이 부족하다 보니 화이트 해커의 중요성이 더욱 클 수밖에 없다. 그럼에도 화이트 해커에 대한 사회적 처우는 무척 열악한 실정이다. 현재 국내에 정보 보호 관련 학과가 개설된 곳은 포항공대, 아주대, 상명대, 동국대 등 10여곳에 불과하다. 일부 보안 기관들이 해킹 방어 대회 등에서 입상한 화이트 해커들을 전문 인력으로 채용하기도 하지만 그 수가 많지 않다. 해킹 툴을 직접 만들 만큼 상당한 실력이 있더라도 직장 경력이나 석사 이상 학력 등 ‘스펙’이 없으면 취업이 쉽지 않기 때문이다. 어렵게 일반 회사에 들어가더라도 보안 회사 대부분이 영세해 연봉이 낮은 데다 대기업에 들어가더라도 보안업무를 비핵심 사업으로 간주해 일반 직원들보다 급여를 적게 지급하기도 한다. 한 보안업계 전문가는 “선진국의 경우 해커의 처우가 좋고 수입도 보장돼 화이트 해커로 살아갈 수 있지만 국내에서는 열악한 근무 환경과 검은돈의 유혹 때문에 어둠의 길로 쉽게 들어서게 된다.”고 말했다. 류지영기자 superryu@seoul.co.kr

현대캐피탈과 농협의 전산사고로 해커에 대한 관심이 높아지고 있다. 일부 청소년들에게 이들은 동경의 대상이 되기도 한다. 보안이 철저하다는 정부나 대기업 등의 전산망을 제집처럼 드나들며 해킹을 하기 때문이다. 하지만 해커 하면 컴퓨터에 매달려 사는, 사회성이 부족한 이른바 ‘오타쿠’(마니아)로 보는 어두운 그림자도 드리워져 있다. 또 해킹 기술을 통해 협박과 금전적 이득을 취하는 범죄자들도 적지 않다. 하지만 해커라고 모두 범죄자는 아니다. 해킹 기술을 악용해 금전적 이득을 노리는 ‘블랙 해커’가 있다면 이들을 막는 ‘화이트 해커’가 있다. 보안을 뚫으려는 ‘창’(블랙 해커)과 이를 저지하려는 ‘방패’(화이트 해커) 간의 보이지 않는 전쟁도 치열하다. 해커도 등급이 있다. 다른 사람이 개발한 해킹 프로그램을 사용하는 초보 수준 해커는 ‘스크립트 키디’(script kiddie)라 하며, 중간급 수준은 ‘위저드’(wizard)로 독자적으로 해킹 툴이나 보안 솔루션을 개발한다. 최고 보안이 적용된 정부·기업의 전산망을 뚫을 수 있는 최정상급 해커는 ‘구루’라고 불린다. 농협 서버를 뚫은 블랙 해커는 ‘구루급’으로 분류된다. 국내 해커는 ‘스크립트 키디’ 최소 1000여명, 위저드급 800여명, 구루급 50~100여명으로 추산된다. 화이트 해커는 범죄와 거리가 멀다. 보안 동아리에서 해킹 기술을 연구하고 기업의 보안 취약성을 분석하는 순기능을 한다. 실제 웹사이트가 아닌 가상 환경에서 해킹 기법을 익힌다. 미국 라스베이거스에서 열리는 세계 최대 해커협의회인 데프콘(DEFCON)을 비롯한 국내외 해킹 대회에 참가하는 등 대한민국 해커로서 자부심을 키운다. 국제해킹방어대회인 ‘코드게이트 2009’에서 최연소 우승자로 화제를 모은 박찬암(23)씨. 그는 국내외 해킹대회에서 6차례나 우승한 구루급이다. 현재 인하대 컴퓨터공학과 재학생이자 보안 전문업체인 소프트포럼의 보안기술팀장이다. 그는 “(알려진 것과는 달리) 해커들을 보면 활달하고 사회성이 뛰어나다.”고 말한다. 문제는 블랙 해커. 하지만 국내에서는 해커에 대한 보수 등이 열악해 화이트 해커도 ‘검은 유혹’을 받는다. 이는 박 팀장도 마찬가지. 경쟁 기업에 대한 디도스(분산서비스거부) 공격과 DB 해킹까지 의뢰가 다양하다. 그는 최대 3억원을 제안받기도 했다. 국내 화이트 해커 양성과 윤리 교육을 하는 해커 대학의 김태순 이사도 5000만원을 제시하며 악성코드를 제작해 달라는 의뢰를 받은 적이 있다. 경찰에 신고했지만 끝내 의뢰자는 붙잡지 못했다. 조직폭력배들이 한 온라인 기업의 해킹을 요구한 경우도 있었다. 국내에서 ‘작업 해커’를 확보하지 못하면 중국 해커를 매수한다. 한국과 중국의 블랙 해커들이 웹·시스템·네트워크로 각각 공격 역할을 분담해 공조하는 현상이 나타나고 있다. 김 이사는 “이들은 기업체의 DB나 가입자 정보 해킹부터 디도스 공격을 예고하고 돈을 요구하는 사례들이 파악되고 있다.”고 말했다. 화이트 해커들은 우리 기업들의 ‘위기관리’에 문제가 있다고 우려한다. 블랙 해커들의 협박에 많은 기업들이 돈으로 무마하거나 해킹 자체를 은폐한다고 지적한다. 안동환기자 ipsofacto@seoul.co.kr [용어클릭] ●해커 블랙 해커는 개인적인 목적을 노려 악의적으로 해킹을 일삼는 이들을 말한다. 반면 화이트 해커는 순수하게 학업과 연구 등을 위해 해킹을 하는 정보 보안 전문가를 뜻한다. 과거에는 해커가 유능한 컴퓨터 프로그래머를 뜻했고, 불순한 의도를 가진 해커를 크래커(cracker)라 부르기도 했다.