박근혜 대통령은 12일 국가정보원 차관급 간부들과 대통령직속 상설기구인 원자력안전위원회 위원장에 대한 인선을 발표했다. 대북 정보와 해외 정보를 담당할 1차장에는 국정원 출신인 한기범(58·경기) 고려대 북한학과 교수가 내정됐다. 대공 수사와 대테러방첩 담당인 2차장에는 경찰 출신인 서천호(52·경남) 전 경찰대학장, 사이버통신을 비롯한 과학정보를 담당할 3차장에는 군인 출신인 김규석(64·경북) 전 육군본부 지휘통신 참모부장이 각각 임명됐다. 국정원의 예산과 인사관리를 담당하는 기획조정실장에는 국정원 출신인 이헌수(60·서울) 앨스앤스톤 대표이사가 기용됐다. 윤창중 청와대 대변인은 그동안 국정원 1차장이 해외, 2차장이 국내, 3차장이 북한 분야를 각각 담당했지만 이번에 업무 분담이 새롭게 조정됐다고 밝혔다. 차관급인 원자력 안전위원회 위원장에는 핵공학 박사인 이은철(66.서울) 서울대 원자핵공학과 명예교수가 내정됐다. 온라인뉴스부 iseoul@seoul.co.kr

지난달 20일 발생한 방송사·금융기관에 대한 대규모 해킹은 그동안의 사이버 공격과 마찬가지로 북한의 소행으로 결론났다. 정부가 그제 발표한 ‘3·20 해킹’ 내용에 따르면, 북한은 8개월 전부터 우회접속 경로를 통해 이들 기관의 전산망에 악성코드를 심은 뒤 공격을 감행했다. 이전보다 더 치밀하게 대비해야 한다는 경각심을 갖기에 충분하다. 무엇보다 미사일 발사 징후, 개성공단 폐쇄 등 북한의 잇단 위협과 맞물려 사이버 도발이 이뤄졌다는 점에서 그 심각성을 더하고 있다. ‘3·20 해킹’ 합동대응팀이 공격 주체로 지목한 북한의 정찰총국 산하에는 1만 2000여명의 해커가 있고, 이 중 1000여명은 중국 등 해외에서 암약하고 있다고 한다. 이들은 그간 4만 8000여건의 국내 사이트를 공격했다. 국내 전산망을 풀방구리에 쥐 드나들듯 자유자재로 유린한 셈이다. 이처럼 어느 나라보다 촘촘히 연결된 우리의 인터넷망은 사이버 공격에 매우 취약하다. 북한은 심각한 경제적 궁핍 속에서도 2000년대 중반부터 돈은 덜 들고 공격 효과가 큰 사이버 인력 양성에 주력해 왔다. 이른바 ‘사이버 전사들’이다. 이들은 군사적인 목적 외에도 기업체 해킹을 통한 외화벌이에도 투입된다고 한다. 2009년 디도스 공격과 2011~12년 농협 및 언론사 전산망 마비 사태에서도 우리는 북한의 지능화한 사이버 공격 수법을 여실히 보았다. 이번 사태는 총체적인 사이버 안전망이 하루속히 구축돼야 한다는 점을 보여주었다. 특히 악성코드에 대한 보안대책으로 마련한 기업의 배포 서버가 해킹의 도구로 악용돼 민·관·군의 합동 대응만이 피해를 줄일 수 있다는 것을 입증했다. 서버들이 전산망을 마비시키는 ‘숙주 역할’을 했다는 점에서다. 또한 해외 서버를 활용한 공격 경유지도 다양해져 만일 주요 사회간접자본에 대한 동시다발적 사이버 공격이 이뤄진다면 사회적 대혼란을 겪을 수 있음을 확인케 했다. 사이버 방어는 휴전선 철책을 지키는 일 못지않게 중요해졌다. 숭숭 뚫린 사이버망을 방치했다간 제2의 사이버 테러는 언제든지 발생한다. 우리는 사이버 공격이 발생할 때마다 실효성 있는 대책을 세우라고 주문한 바 있다. 정부는 미국과 중국이 사이버 공격을 새로운 유형의 전쟁으로 간주하고 예산 증액에 잇따라 나서고 있는 사례를 본보기로 삼아야 할 것이다. 국민들도 일상 생활에서 사이버 안보의식을 가져야 대형 참사를 막을 수 있다.

지난해까지 한국으로 입국한 북한 이탈 주민은 총 2만 4614명. 탈북자들은 고조되는 북한의 위협을 어떻게 보고 있을까. 체감온도는 달랐지만 탈북자 대부분은 체제 강화를 위한 김정은의 의도된 ‘액션’일 뿐 전쟁 가능성은 낮다고 입을 모았다. 최청하(56) 숭의동지회 사무국장은 “미사일을 쏠 수는 있어도 전면전은 절대 없을 것”이라면서 “전쟁을 하려면 넉넉한 무기와 공고한 우방국이 필수인데 6·25전쟁 때 북한을 도와줬던 중국, 소련 등 지원국이 지금은 전무하다”고 꼬집었다. 최 국장은 “미국과 회담 자리를 만들기 위한 벼랑 끝 액션에 불과하다”면서 “한국이 그 도발에 수긍하고 지원한다면 북한 정권이 연장되는 건 물론이고, 나쁜 버릇을 영영 못 고친다”고 강경한 대응을 촉구했다. 7년 전 탈북한 서학철(54)씨도 “허무맹랑하다고는 못 하겠지만, 절대로 한국·미국·일본 본토에 미사일을 쏘지는 못할 것”이라면서 “내부적으로 김정은 정권을 안정화시키고, 외부적으로 북한 체제의 강건함을 과시하기 위한 액션일 뿐”이라고 말했다. 서씨는 “북한 주민들은 핵, 미사일이 있으면 제국주의자(한·미·일)들이 건드리지 못한다고 안심한다”고도 덧붙였다. 전면전은 없지만, 위협은 더욱 고조될 거라고 내다보는 탈북자도 있었다. 북한에서 19년간 장교로 복무했던 김성민(51) 자유북한방송 대표는 “미사일을 쏠 확률은 아주 높고, 추가 핵실험까지 예상된다”면서 “과거 김정일은 계산된 대남 도발을 했는데, 김정은은 국정 경험도 없고 어린 혈기가 겹쳐 극한까지 왔다”고 말했다. 그는 “우리 사회에 ‘전쟁이 일어나면 어쩌지’ 하는 두려움을 확산시키는 게 목표인 만큼 한국이 강경하게 받아치면 결국 스스로 주저앉을 것”이라고 덧붙였다. 서대평(43) 북한민주화위원회 사무국장은 “무력 충돌보다는 오히려 인터넷 사이버테러나 도시 시설 폭발 등의 테러를 조심해야 한다”고 지적했다. 그는 “전쟁을 하기엔 북한군의 여력이나 자금이 받쳐 주지 못한다”면서 “긴장을 고조시키는 건 내부 체제를 다지기 위한 식상한 수법인데, 북한은 미국·한국과의 관계를 냉각시켜야 생활고에 시달리는 주민들의 불만을 줄일 수 있기 때문”이라고 설명했다. 탈북자들은 심리적 어려움도 토로했다. 남한 사회에 적응하려 무던히 애를 써도 전쟁위협이 고조될 때면 여전히 이방인으로 느껴진다는 것. 통일교육 전문강사인 김혁(31)씨는 “대놓고 나를 비난하지는 않지만 일부러 들으란 듯 ‘빨갱이’ 같은 자극적인 단어를 사용하더라”면서 “탈북자와 북한 지도층을 동일시하며 이상한 질문을 해대는 건 불쾌하다”고 전했다. 회사원 박모(40)씨는 “초등학생 딸아이가 따돌림을 받지 않을지 걱정돼 담임 선생님한테 탈북자 출신임을 비밀로 해 달라고 했다”면서 “한국에 정착한 지 5년이 넘었는데도 전쟁 얘기가 불거질 때면 죄인이 된 기분”이라고 말했다. 강모(31)씨는 “탈북자들끼리는 만나도 별로 북한 얘기를 안 한다”면서 “북한이 싫어서 나왔는데 한국에서도 섞이지 못한다면 그건 너무 불행하지 않냐”고 밝혔다. 조은지 기자 zone4@seoul.co.kr

북한의 사이버 공격이 갈수록 지능화되고 있다. 북한은 ‘3·20 사이버테러’를 비롯한 수차례 해킹에서 국내외 10개국을 경유지로 사용한 것으로 확인됐다. 과거에 주로 중국의 인터넷프로토콜(IP)을 거쳐 단순하게 공격했던 것과 비교해 볼 때 발전된 형태이다. 따라서 추가 공격을 받으면 국내는 다시 혼란을 겪을 가능성이 높다. 11일 민·관·군 합동대응팀에 따르면 북한의 공격 경유지는 49개 지점, 국가별로는 한국을 포함한 10개국인 것으로 밝혀졌다. 특히 공격 경유지 49곳 중 해외는 24곳이었고, 이 가운데 과거 해킹에 사용했던 IP는 4개뿐이었다. 나머지 20개 해외 IP는 모두 과거 해킹과는 무관한 것이었다. 전날 공개된 32건의 공격 경유지 예시 자료에서도 중국 IP는 하나도 없는 대신에 미국의 IP 4종류와 홍콩의 IP 1종류가 명시됐다. 북한은 다양한 지역을 공격 경유지로 설정해 두고 필요에 따라 선택적으로 이용한 것으로 추정된다. 공격 경유지를 다각화하려면 사전에 시간을 두고 더욱 치밀하게 준비해야 한다는 점에서 수사를 어렵게 하고 있다. 보안업계 관계자는 “역추적을 막기 위해 공격 경유지를 복잡하게 해둔 점, 8개월여 전부터 미리 잠입해 감시활동을 펼친 점, 경유지 흔적을 지우려 한 점 등에서 과거보다 지능화된 공격 방식을 알 수 있다”고 지적했다. 이와 함께 3·20 사이버테러에 사용된 IP의 지리적 등록 주소는 ‘조선민주주의인민공화국 평양직할시 보통강 구역 류경동’인 것으로 나타났다. 한국인터넷진흥원(KISA)이 운영하는 ‘후이즈’ IP 검색 서비스에 따르면 IP 주소인 ‘175.45.178.xx’의 등록자 주소는 보통강 구역 류경동(Ryugyong-dong Potong-gang District)이다. 류경동은 고 정주영 현대 명예회장의 이름을 딴 류경정주영체육관과 류경호텔 등이 있는 평양 시내 명소로 알려진 곳이다. 해당 IP는 이곳에 위치한 ‘스타조인트벤처’라는 회사 명의로 등록됐다. 스타조인트벤처는 2009년 12월 14일 아시아태평양정보망센터(APNIC)를 통해 ‘175.45.176.0’∼‘175.45.179.255’ 등 1024개의 IP 주소를 등록했다. 그러나 IP 주소 등록자가 기입한 지리적 주소와 IP 주소를 실제로 사용하는 지리적 주소는 다를 수 있다. 따라서 실제 사이버 공격이 평양 류경동에서 실행됐는지 여부를 이것만으로 단정짓기는 어렵다. 홍혜정 기자 jukebox@seoul.co.kr

북한이 남한에서 혼란과 불안감을 부추기는 흔적이 확인되고 있다. 지난달 20일 KBS 등 방송사와 은행 6곳의 전산망이 동시다발적으로 마비돼 우리 사회를 큰 혼란에 빠뜨렸던 사이버테러가 북한 소행이라는 민·관·군 합동조사팀의 조사결과가 어제 나왔다. 사이버테러의 배후세력으로 추정된 북한 정찰총국은 대남·해외 공작업무를 총괄하는 기구이자, 연평도 포격사건을 주도한 기관 아닌가. 사이버테러가 대남 도발의 연장선상에서 자행된 것이라고 봐도 무방할 것이다. 북한은 남한 사회에 불안감을 고조시키는 데 사이버테러가 매우 효과적인 수단이라고 여겼을 법하다. 북한의 도발 위협이 고조되면서 정치권에서는 대북 특사를 파견해야 한다는 목소리가 커지고 있다. 특사 파견을 놓고 여야가 찬반 논란을 벌이고 있고, 여당은 물론 야당 내에서도 이견이 빚어지고 있다. 개성공단 가동이 중단되면서 민주통합당과 통합진보당은 한반도 위기 상황을 타개하고 긴장을 완화하기 위해 특사를 파견해야 한다는 주장을 연일 쏟아내면서 정부·여당을 압박하고 있다. 새누리당 일부에서도 특사 필요성이 제기된다. 북한 도발 위협이 자칫 행동으로 옮겨져서도 안 되고 북한 리스크가 더 이상 커져서는 안 된다는 점에서 대화 해결의 당위성은 누구도 부인하기 어렵다. 그럼에도 지금이 대북 특사 파견의 적절한 타이밍인지에 대한 전략적 판단이 선행돼야 마땅하다고 본다. 류길재 통일부 장관은 실효성 있는 결과를 얻을 수 없는 상황에서 현재로서는 특사 파견에 부정적이라고 밝혔다. 필요성에도 불구하고 시기상조라는 판단이 깔려 있다. 김대중·노무현 정부에서 장관을 지냈던 정세현 전 통일부 장관과 송민순 전 외교통상부 장관도 특사 파견은 신뢰가 구축돼야 가능하다며 부정적인 입장이다. 북한 도발을 코앞에 두고 우리가 특사 파견을 놓고 갑론을박하며 소모적 논쟁을 벌이는 것은 적절치 않다. 그런 모습은 남한 내에서 불안과 혼란을 조장하려는 북한의 남남갈등 전략에 말릴 소지가 다분하다. 북한이 미사일 발사를 예고하면서 주한 외국인들의 신변안전과 소개대책을 마련하라고 공언하는 것도 우리 내부의 불안과 갈등을 야기하려는 전술과 무관치 않다고 할 것이다. 잇따른 도발 위협에 우리 사회가 불안에 떨고 혼란에 빠지는 것이야말로 북한 강경파가 노리는 심리전의 목표일 것이다. 북한의 도발보다도 더 경계해야 할 대목이다. 철통 같은 안보태세 못지않게 국민들의 차분한 대응 자세가 요구된다. 북의 의도적 위협에도 우리 국민이 냉정함을 유지하고 있는 것은 우리 사회가 그만큼 성숙해졌다는 방증이다. 지금은 북한의 도발에 국제사회와 함께 의연한 대응을 하겠다는, 일치된 메시지를 보내야 할 때다.

▲3월 20일 오후 2시쯤 KBS·MBC·YTN 등 3개 방송사와 신한·농협·제주 등 3개 은행, NH생명·NH손해 등 2개 보험사 전산망에서 동시다발 장애 발생, PC 4만 8000여대 손상 ▲3월 21일 합동대응팀 “악성코드, 중국서 유입” 발표 ▲3월 22일 합동대응팀 “중국 아닌 국내에서 전파” 발표 ▲3월 25일 ‘날씨닷컴’ 홈페이지 통한 악성코드 유포 ▲3월 26일 지방자치단체 통합전산센터, 기획재정부 홈페이지, YTN 및 계열사 홈페이지, 탈북자 단체인 ‘자유북한방송’과 대북 인터넷 매체인 ‘데일리NK’ 홈페이지 등에 동시다발 전산 마비 ▲4월 3일 합동대응팀, 피해 서버에서 악성코드 60종 확인 ▲4월 10일 정부, ‘북한 정찰총국 소행’ 결론

지난달 20일 국내 방송사와 은행 등에 대한 해킹 공격의 ‘주범’으로 지목된 북한 정찰총국은 대남 공작 업무를 총괄하는 기구로, 사이버 전쟁에 대비한 해킹부대로 알려져 있다. 정찰총국은 2009년 2월 인민무력부 산하 정찰국과 노동당 산하 작전부, 각종 테러와 대남·해외 정보를 수집하는 35호실 등 3개 기관이 통합돼 창설됐다. 신설 당시 정찰총국 산하에는 전자정찰국 ‘사이버전 지도국’(121국)도 함께 생겼다. 121국은 인터넷을 통해 다른 나라의 컴퓨터 망에 침입, 비밀자료를 해킹하고 바이러스를 유포하는 사이버전 부대로 알려져 있다. 인력은 3000여명에 이르는 것으로 추정된다. 정찰총국은 또 중국의 헤이룽장, 산둥, 푸젠, 랴오닝성과 베이징 인근 지역에 대남 사이버전 수행 거점도 설치한 것으로 전해진다. 일부 탈북자들은 “북한 정찰총국의 사이버전 능력이 미국의 중앙정보국(CIA)에 필적하는 수준”이라고 증언하고 있다. 전자전 특수병력만 3만명에 이른다는 진술도 나왔다. 물론 아직까지 구체적으로 확인되진 않았다. 때문에 북한 정찰총국은 국내에서 농협 해킹 사건을 비롯한 사이버 테러가 발생할 때마다 용의자 ‘1순위’로 지목되곤 했다. 정찰총국을 총괄하는 인물은 대남 강경파로 알려진 김영철 총국장(대장)이다. 그는 지난달 5일 “미제에 대해 다종화된 우리식의 정밀 핵타격 수단으로 맞받아치게 될 것”이라며 최고사령부 대변인 명의의 성명을 발표하기도 했다. 이영준 기자 apple@seoul.co.kr

지난달 20일 KBS·MBC·YTN 등 방송사와 농협·신한·제주은행·NH생명보험·NH손해보험 등 금융기관의 내부 전산망 마비 사태를 일으킨 ‘3·20 사이버테러’는 북한의 소행이라는 공식 조사결과가 나왔다. 정부는 이번 공격이 북한 정찰총국의 소행일 가능성이 큰 것으로 보고 있다. 민·관·군 사이버위협 합동대응팀은 10일 과천 미래창조과학부 브리핑실에서 “피해기관의 감염장비 및 국내 공격 경유지 등에서 수집한 악성코드 76종과 수년간 국가정보원과 군에서 축적한 북한의 대남 해킹 조사결과를 종합적으로 반영해 이렇게 추정했다”고 밝혔다. 합동대응팀에 따르면 공격자는 최소한 9개월 이전부터 목표 기관 내부의 PC나 서버를 장악해 자료를 절취하고 전산망의 취약점을 파악하는 등 지속적인 침투를 해왔다. 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포하거나 서버 저장장치 삭제 명령을 실행한 것으로 드러났다. 실제로 지난해 6월 28일부터 최소한 6대의 북한 내부 PC가 1590회의 접속을 통해 금융기관에 악성코드를 유포하고 PC에 저장된 자료를 절취한 것으로 확인됐다. 또 올해 2월 22일 북한 내부 인터넷프로토콜(IP)주소(175.45.178.XXX)에서 감염 PC를 원격으로 조작하는 등 국내 경유지에 시험 목적으로 처음 접속한 흔적도 발견됐다. 이는 2009년 7·7 디도스(DDoS·분산서비스 거부), 2011년 3·4 디도스, 농협(2011년), 중앙일보 전산망 파괴(2012년) 등 북한의 이전 해킹수법과 일치한다. 또 사이버테러의 공격 경로를 추적한 결과 북한 내부의 인터넷 주소가 나왔고 접속 흔적을 제거하려고 시도한 사실도 발견됐다. 한편 정부는 11일 국가정보원장 주재로 미래부, 금융위원회 등 15개 정부기관 관계자가 참석하는 ‘국가사이버안전전략회의’를 열어 재발 방지 대책을 논의키로 했다. 홍혜정 기자 jukebox@seoul.co.kr

국내 방송·금융사의 전산망을 마비시킨 ‘3·20 사이버테러’가 10일 북한의 소행으로 드러남에 따라 안보차원의 정부 대책이 필요하다는 목소리가 커지고 있다. 정부는 11일 국가정보원장 주재로 관계 부처 전문가들이 참석한 가운데 ‘국가사이버 안전전략회의’를 열어 국정원, 미래창조과학부, 경찰청 등을 중심으로 그동안 마련한 대책을 점검할 계획이다. 정부가 검토해 온 대표적 방안으로 범국가 차원의 사이버위기 대응체계를 구축하는 내용의 ‘사이버테러방지법’ 제정을 꼽을 수 있다. 지난 9일 국회 정보위원장인 새누리당 서상기 의원이 발의했다. 사이버테러방지법은 국정원이 사이버안보를 총괄하며 국정원 산하에 국가사이버안전센터를 두고 사이버위기관리 종합대책 수립을 주요 골자로 한다. 그러나 야당은 국정원이 총괄기능을 수행할 경우 민간 정보통신 시설로까지 국정원의 권한이 확대되고, 사생활을 침해할 부작용이 있다고 우려를 제기하고 있다. 향후 입법 과정에서 상당한 진통이 예상된다. 청와대에 ‘사이버안보 비서관’이나 ‘사이버안보 보좌관’을 신설하는 구상도 나오고 있다. 미래부는 ‘정보통신기반보호법’을 개정, 피해를 입은 방송사 전산망을 ‘주요 정보통신 기반시설’에 포함하는 방안을 추진하고 있다. 주요 정보통신기반시설로 지정되면 각 중앙행정기관은 매년 소관 정보통신기반시설에 대해 취약점을 분석하고 보호 대책을 수립·추진해야 한다. 미래부와 국정원은 각 중앙행정기관의 보호 대책 이행을 점검한다. 안전행정부는 행정기관의 정보시스템이 3·20 해킹과 같은 사이버 공격을 받지 않도록 전자정부 서비스에 ‘보안등급제’를 도입하는 대책을 마련했다. 정부는 또 사이버 침해사고가 발생하면 신고·원인분석·복구지원 등 대응 프로세스가 원활히 작동하도록 업무처리 절차와 법·제도 등을 전면 개편하기로 했다. 북한 정찰총국이 운영하는 대규모 해커부대에 맞서 해킹 방어 인력 양성도 추진할 계획이다. 일각에서는 ‘선의의 해커’를 의미하는 ‘화이트 해커’ 1000명 육성 구상도 제기한다. 미래부 관계자는 “화이트 해커를 국가가 육성하는 것도 중요하지만 국내 보안산업의 수준을 높이는 것이 근본적인 해결책”이라면서 “보안기업의 인력양성 프로그램을 지원하는 등 다양한 방안이 필요하다”고 말했다. 홍혜정 기자 jukebox@seoul.co.kr

국내 방송·금융사의 전산망을 마비시킨 이른바 ‘3·20 사이버테러’가 북한 소행이라고 정부가 판단한 이유는 무엇일까. 또 북한이 어떻게 국내 기업들의 방화벽을 뚫었는지에 대한 궁금증도 커지고 있다. 우선 북한의 소행으로 드러난 것은 역추적 과정에서 북한 내부 인터넷프로토콜(IP)이 발견되는 등 다양한 근거들이 제시됐기 때문이다. 10일 미래창조과학부 등 민·관·군 합동대응팀의 조사 결과에 따르면 3·20 사이버테러 한 달 전인 지난 2월 22일 북한의 내부 IP 주소가 감염 PC 원격 조작 등 명령 하달을 위해 국내 경유지에 처음 시험 접속한 흔적이 발견됐다. 이 공격 경유지에서 안랩과 같은 보안프로그램의 패치서버 등을 통해 국내 업체에 공격을 시도한 것으로 보인다. 북한은 이들 피해 PC에서 자료를 빼내가는 한편 전산망의 취약점을 파악해오다 지난달 20일 오후 2시를 기해 이들 PC에 위장 백신프로그램을 자동으로 설치해 중앙배포 서버를 통해 악성코드를 뿌린 것으로 확인됐다. 보안에 구멍이 뚫리기 쉬운 지점을 오랫동안 살핀 뒤 가장 취약한 곳을 노려 동시 다발적으로 공격을 감행한 것이다. 3·20 사이버테러 닷새 뒤 발생한 ‘날씨닷컴’ 사이트를 통한 악성코드 유포나 지난달 26일의 14개 대북·보수단체 홈페이지 자료 삭제, YTN 계열사 홈페이지 자료서버 파괴 등도 북한에 의해 이뤄진 것으로 추정됐다. 이는 전형적인 ‘지능형 지속 해킹’(APT) 방식이다. APT는 한 그룹이 특정 대상을 정해 놓고 취약점을 지속적으로 공격하는 수법으로 조직적이고 치밀한 작전이 선행돼야 가능하다. 전길수 한국인터넷진흥원(KISA) 침해대응센터 단장은 “지난달 20일 이뤄진 첫 공격에서 대부분의 파괴가 같은 시간대에 PC 하드디스크를 ‘HASTATI’ 또는 ‘PRINCPES’ 등 특정 문자열로 덮어쓰기하는 방식으로 수행됐다”며 “악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장 경로가 일치했다”고 설명했다. 또 다른 근거로는 최소한 6대 이상의 북한 내부 PC가 지난해 6월 28일부터 금융사에 1590회 접속해 악성코드를 유포했는데, 이 중 13회에서 북한의 IP가 드러난 점을 꼽을 수 있다. 이미 9개월 전부터 피해 기관들의 PC를 북한이 좌우하고 있었던 셈이다. 정부도 주요 민간시설인 방송사와 금융기관의 전산망이 9개월이나 북한에 뚫려 있다는 것을 모른 채 속수무책 당한 것이다. 북한은 공격 다음 날인 지난달 21일 해당 공격 경유지를 파괴해 흔적을 제거하는 치밀함을 보였다. 대응팀은 해커가 방화벽과 웹서버를 거치면서 남긴 로그를 모두 지웠지만 원격 터미널에 접속한 로그가 일부 남아 있었다고 설명했다. 통신상의 문제 때문에 최대 몇 분간 북한의 IP가 노출됐다는 것이다. 대응팀은 이 IP가 위조된 것일 가능성도 있다고 보고 조사를 진행했으나 이번 공격이 단방향 공격이 아니라 양방향 통신을 바탕으로 한 공격이라는 점에서 위조 가능성이 거의 없다는 결론을 내렸다. 전 단장은 “위조된 IP를 쓰면 답변이 엉뚱한 곳으로 갈 수 있다”며 “IP 세탁 가능성을 0%라고 할 수는 없겠지만 가능성이 매우 낮다”고 설명했다. 대응팀은 지금까지 북한 소행으로 결론이 난 과거 공격과 이번 사이버테러의 경유지와 수법이 일치하거나 상당 부분 유사하다는 점도 증거로 들었다. 이번 공격에 사용된 국내외 공격 경유지는 국내 25곳과 해외 24곳 등 모두 49곳으로, 이 중 국내 18곳과 해외 4곳 등 22곳이 과거 북한의 대남 해킹에 이미 사용된 것으로 대응팀은 파악했다. 또 대응팀은 이번 해킹에서 사용된 악성코드 76종 중 과거의 것을 재활용한 것이 30종 이상이었다고 밝혔다. 홍혜정 기자 jukebox@seoul.co.kr

우리나라 사업자들이 중국에서 활동 중인 북한 해커에게 디도스(DDos, 분산서비스 거부) 공격용 악성코드 파일과 해킹장비를 받아 사업을 하고 북한의 외화벌이까지 도운 사실이 드러났다. 검찰에 따르면 최모(28)씨 등 3명은 북한 해커에게서 받은 해킹 프로그램으로 선물거래(HTS)와 인터넷 게임, 도박사이트 등을 운영해 해커와 수익금을 나눠 가졌다는 것이다. 이들은 북한 해커가 ‘능라도정보센터’ 요원인 줄 알면서 거래를 했고, 이 과정에서 우리 국민의 개인정보 1억 4000만건이 북한에 넘겨졌을 가능성이 높다고 한다. 북한이 이를 이용해 사이버상에서 또 무슨 일을 저지를지를 생각하면 아찔하기만 하다. 북한은 지금 대남 군사적 위협과 동시에 사이버 테러 카드를 만지작거리고 있다. 이런 시기에 사업자 몇 명이 돈에 눈이 멀어 국민의 정보를 북한에 넘겨 국가 안보까지 위태로운 지경으로 내몰고 있으니 통탄할 일이다. 최씨는 백화점·주유소·쇼핑몰 등을 해킹해 고객의 아이디와 비밀번호, 이메일 주소, 주민등록번호 등 개인정보를 확보했다고 한다. 1억 4000만건이면 웬만한 국민의 정보는 다 들어 있을 것 아닌가. 북한이 이를 도용해 우리 사회의 혼란을 야기시키고 인터넷 어느 구석에 악성 코드라도 심어 놓으면 사이버 대란은 불을 보듯 뻔할 것이다. 피의자를 관련법 위반으로 단순하게 처벌하고 넘어갈 사안이 아닌 것이다. 검찰은 철저히 수사해서 전모를 더 밝혀내야 한다. 북한은 이미 1990년대 초부터 해마다 1000명의 ‘사이버 전사’를 양성해 왔다. 당시 김정일 국방위원장은 “인터넷은 총이다. 남한 전산망을 손금 보듯이 파악하라”고 교시까지 내렸다. 김정은 노동당 제1비서도 최근 “용맹한 (사이버)전사만 있으면 어떤 제재도 뚫고 강성국가 건설도 문제없다”고 큰소리를 쳤다. 지난 몇 년 동안 북한의 소행으로 확인·추정되는 사이버 공격이 어디 한두 건인가. 이번 사건은 바로 그런 북한의 전사와 결탁해 사이버 공격 통로를 닦아준 꼴이다. 사이버 공간은 육·해·공·우주에 이어 제5의 전쟁터라고 한다. 국민이 힘을 합쳐 지켜야 할 또 다른 대한민국의 영토인 셈이다. 정보기술(IT) 강국인 대한민국의 국민답게 이제 개인들도 사이버 공간에 대한 경각심으로 무장해야 한다. 이는 총을 들고 우리의 땅과 바다, 하늘을 지켜내는 것 못지않게 중요한 안보 태세이기도 하다.

“한달에 30만원에 스마트폰 전화통화는 물론 문자 내역, 심지어 전화기 주변 상황까지 도청해 드립니다.” 스마트폰에 설치하면 전화통화 도청은 물론, 문자메시지까지 실시간으로 빼돌릴 수 있는 스마트폰 애플리케이션(앱) ‘스파이폰’이 국내에서 처음 적발됐다. 국내에서 도청이 가능한 악성 앱을 유포하다 덜미를 잡힌 건 처음이다. 경찰청 사이버테러대응센터는 중국에서 구입한 불법 도청 앱을 국내에서 판매해 390만원의 부당이익을 챙긴 최모(39)씨를 정보통신망법상 악성프로그램 전달 및 유포 등의 혐의로 구속했다고 4일 밝혔다. 최씨에게 도청을 의뢰한 양모(31)씨 등 5명도 통신비밀보호법 위반 혐의로 불구속 입건했다. 최씨가 유포한 도청 앱은 스마트폰 소유자의 전화통화 내용, 문자메시지, 위치정보, 주변소리까지 모두 음성·텍스트 파일로 자동 전송하는 기능을 지녔다. 중국 산둥성에 거주하던 최씨는 중국 언론에서 도청 앱 유포자가 잡혔다는 뉴스를 보고 현지 범죄조직에 부탁해 도청 앱을 사들였다. 최씨는 온라인 광고를 보고 연락해 온 의뢰자들로부터 월 30만원씩의 이용료를 받았다. 이 중 절반 정도인 14만원은 중국 범죄조직에 건넸다. 최씨는 상담전화는 중국에, 홈페이지 서버는 일본에, 도청 서버는 미국에 두는 식으로 경찰 추적을 피해 왔다. 도청을 의뢰한 사람은 다양했다. 빚지고 도망간 사람을 찾기 위해 채무자 내연녀의 스마트폰을 도청한 채권자도 있었고 아내의 스마트폰을 도청한 남편, 내연녀를 의심한 불륜 남성도 있었다. 최씨는 도청을 의뢰한 사람들에게 “상대방(피해자)의 스마트폰을 잠시 빌리라”고 지시했다. 이때 잽싸게 앱 설치로 연결되는 인터넷 주소를 해당 스마트폰에 문자메시지로 보냈다. 이 주소를 클릭하면 도청 앱이 자동 설치됐다. 도청 앱은 설치 후에 아이콘 등 흔적이 전혀 남지 않아 대부분 피해자들은 경찰이 도청 사실을 알려줄 때까지 그 사실을 알지 못했다. 실제 피해자 A씨의 휴대전화에선 2개월 동안 1700여건의 통화내용이 빠져나갔다. B씨는 21일 동안 통화, 문자메시지, 주변 녹음 등 987건을 도청당했다. 경찰 관계자는 “운영체계가 개방적인 안드로이드 스마트폰 이용자들이 도청의 위험에 노출됐다”면서 “도청 앱이 설치됐는지를 확인하기 위해서는 스마트폰 메뉴 중 ‘작업 관리자’를 눌러 실행 중인 프로그램 속에 ‘서포트 안드로이드’(Support.Android)가 있는지 확인하면 된다”고 말했다. 김정은 기자 kimje@seoul.co.kr

악성 코드로 연결되는 문자메시지를 보내 스마트폰 이용자들의 돈을 몰래 빼낸 ‘스미싱’ 사기 일당이 경찰에 붙잡혔다. 휴대전화 문자메시지(SMS)와 피싱(phishing)의 합성어인 스미싱(Smishing)은 스마트폰 이용자가 웹사이트 링크를 클릭하면 악성 코드를 설치해 결제정보 등 개인정보를 빼돌리는 신종 사기 수법이다. 경찰청 사이버테러대응센터는 2일 이모(24)씨 등 2명을 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 구속했다고 밝혔다. 이씨 등은 지난해 11월부터 최근까지 해외 사이트를 이용해 피자회사 등의 스마트폰 애플리케이션을 설치하면 무료 쿠폰을 준다는 식의 문자메시지를 사람들에게 마구잡이로 보냈다. 이들은 스마트폰 이용자가 설치를 하려고 문자메시지에 적힌 사이트로 접속하면 악성 코드에 감염되도록 조작했다. 이씨 등은 감염된 스마트폰을 조종해 소액결제 방식으로 유명 게임 사이트에서 아이템을 결제, 중국의 게임머니 브로커에게 되팔았다. 현재까지 파악된 피해자는 21명으로 피해 금액은 500여만원이다. 이들은 PC에도 신용카드 결제 정보를 유출하는 악성 코드를 심어 감염된 228명의 PC로부터 신용카드 결제 정보를 얻어 내 게임 사이트 등에서 1000여회에 걸쳐 신용 결제하는 수법으로 2억 2000만원을 챙긴 것으로 조사됐다. 김정은 기자 kimje@seoul.co.kr

다양한 스마트기기의 확산과 소셜네트워크서비스(SNS) 이용 증가 등으로 엄청난 양의 데이터가 쏟아지고 있다. ‘빅데이터’ 시대를 맞아 정부와 기업들은 빅데이터를 경쟁력 강화 방안으로 삼고 있다. 빅데이터는 그동안 ‘존재하지만 포착할 수 없었던’ 사람들의 속내와 욕망을 파악하고 숨겨져 있던 흐름이나 추세를 잡아낼 수 있는 유용한 도구다. 이 때문에 빅데이터를 마케팅에 활용하는 기업들이 늘고, 축적된 각종 국가통계를 사회적인 목적에 활용하기 위한 정부 차원의 시도도 본격화되고 있다. 하지만 많은 기업은 보안 때문에 빅데이터의 분석을 망설이고 있는 것으로 나타났다. 해커들이 축적된 빅데이터를 공략할 것이 뻔하기 때문이다. 이에 따라 엄청나게 많은 데이터의 보안을 어떻게 유지할 것인지가 숙제로 남아 있다. 빅데이터는 개인정보뿐만 아니라 위치·의료기록·대출 정보 등이 담겨 있기 때문에 해킹으로 인해 정보가 유출될 경우 피해가 더욱 커질 수 있다. 빅데이터 시대의 화두 역시 보안이다. 29일 네트워크장비 전문업체 시스코가 전 세계 18개국 정보기술(IT) 전문가 1800명을 대상으로 빅데이터에 관한 인식을 조사한 결과 빅데이터 분석이 어려운 첫 번째 이유로 보안문제가 꼽혔다. 조사결과에 따르면 응답자의 27%가 데이터 보안을 지목했고 예산 부족(20%), 인력 부족(15%) 등이 뒤따랐다. 특히 보안에 대한 우려가 커 48%는 향후 빅데이터 도입 추진 과정에서 IT 정책 및 보안 수단이 강화돼야 한다고 답했다. 전문가들은 방대한 데이터 수집과 분석, 활용이 기업의 경쟁력으로 연결되는 빅데이터 시대에는 개인정보를 노린 범죄가 더 기승을 부릴 수 있다고 지적한다. 예를 들어 개인이 자발적으로 제공한 개인정보나 SNS에 올린 글과 사진, 카드 사용 내역, 위치정보 등이 데이터베이스(DB)에 축적돼 사생활을 고스란히 드러내는 정보로 재탄생할 수 있다. 트위터나 블로그 등에 올린 내용을 통합분석하면 특정인의 생활패턴을 파악할 수 있다는 것이다. 미국 디지털 매체 와이어드 기자인 매트 호난은 애플의 클라우드 서비스 ‘아이클라우드’ 계정이 해킹돼 모든 데이터가 삭제된 적이 있다. 호난의 아이클라우드 계정에 들어간 해커는 비밀번호를 초기화하고 아이폰, 아이패드, 맥북에 담긴 데이터를 차례로 지웠다. 해커는 호난의 트위터, 블로그 등 다른 경로를 파악해 전자메일 주소, 신용카드 마지막 네 자리를 알아낸 뒤 아이클라우드 계정을 해킹한 것으로 알려졌다. 박춘식 서울여대 정보보호학과 교수는 “국내 기업들도 서비스나 마케팅에 빅데이터를 활용하는 사례가 늘고 있다”며 “빅데이터는 개인에 대한 더 많은 정보를 담고 있기 때문에 해킹될 경우 프라이버시 침해 우려가 심각하다”고 밝혔다. 박 교수는 “지능형지속위협(APT) 등 방어하기 어렵고 끊임없이 발생하는 신종 해킹 위협을 고려할 때 더욱 강력한 보안대책을 만들어야 한다”고 말했다. ‘3·20 사이버테러’에 사용된 것으로 보이는 APT는 페이스북이나 트위터와 같은 SNS로 위장해 메일을 보낸 뒤 단축 인터넷주소(URL)나 첨부파일을 열어보도록 유도한다. 기업이나 이용자들은 자신도 모르는 사이에 PC가 악성코드에 감염돼 주요 DB 접근 권한이나 계정 등을 유출당하게 된다. APT는 3개월에서 길게는 2~3년 동안 지속적으로 해킹한다. 3500만 이용자 계정이 탈취된 싸이월드 해킹이나 1300만 이용자의 개인정보가 유출된 넥슨 해킹 또한 APT에 의한 피해였다. APT는 공격대상의 PC에 침투한 후 해커가 빼내갈 정보를 알아낸 뒤 이를 수집하여 유출하는 네 가지 단계로 이뤄져 공격을 감지하기가 쉽지 않다. 하지만 매일 대량의 데이터가 생성되고 축적되는 상황에서 빅데이터의 활용은 거스르기 어려운 흐름이 되고 있다. 따라서 부작용을 최소화하는 방안을 마련해야 한다고 전문가들은 주장한다. 신동휘 라온시큐어 보안기술연구팀 선임연구원은 “빅데이터에는 개인이나 기업의 핵심 정보들이 있을 수 있다”며 “데이터 암호화, 본인확인기관 검증, 모니터링 강화 등 빅데이터 시대에 맞는 보안체계를 만들어야 한다”고 강조했다. 이어 “이론적이긴 하지만 기업들도 보안 관련 교육을 꾸준히 실시하고 백신 업데이트와 최신 버전 사용 등은 기본”이라고 덧붙였다. 빅데이터 시대 정보 보호는 개인정보 유출이나 해킹 차단 등에 그치는 것이 아니라 정보 수집과 이용 과정의 투명성과 정보주체의 선택권을 확대해야 한다는 의견도 있다. 박 교수는 “빅데이터가 범죄 등에 악용되지 않도록 법과 제도를 통해 철저하게 관리해야 한다”면서 “정부는 기업들이 고객의 DB를 잘 관리하고 있는지 감독하고 기술적, 제도적 보호조치 방안에 대한 준비를 해야 한다”고 설명했다. 홍혜정 기자 jukebox@seoul.co.kr

국회가 ‘국가 사이버위기 관리법’ 제정에 나섰지만 ‘컨트롤타워’를 어디에 둘 것인가를 놓고 여야가 서로 다른 목소리를 내고 있다. 지난 20일 일부 금융기관과 방송사를 대상으로 감행된 ‘사이버테러’ 이후 관련 법률안을 만드는 데에는 여야 이견이 없는 가운데, 법안 발의를 누가 선점하느냐를 두고 기싸움을 벌이는 양상이다. 새누리당 소속 서상기 정보위원장은 29일 국회 의원회관에서 ‘국가 사이버위기 관리법 제정을 위한 공청회’를 열었다. 4월 임시국회에서 관련 법률안을 대표 발의하기에 앞서 전문가들의 동의를 얻고 의견을 수렴하는 차원이다. 공청회에서는 사이버 안보 관리의 총 책임을 국가정보원에 맡기는 것이 최대 쟁점으로 떠올랐다. 서 위원장이 마련한 사이버위기 관리법이 “사이버 공격에 대한 국가 차원의 종합적이고 체계적인 대응을 위해 국가정보원장 소속 ‘국가사이버안전센터’를 두는 것”을 주 내용으로 하고 있기 때문이다. 발제자로 나선 임종인 고려대 정보보호대학원 교수는 “국정원을 견제할 수 있는 법·제도적, 조직적 장치를 추가로 마련해 국정원에 권한을 부여하는 데에 따른 우려를 최소화해야 한다”고 주장했다. 그 방법으로 “신속한 대응이 이뤄질 수 있도록 청와대에 1급 비서관 이상의 사이버안보 담당자를 두고 국정원과의 정보 공유를 보장하면 된다”고 제시했다. 다른 토론자들 역시 국정원의 권력남용을 차단하기 위한 보완책을 내놨다. 류재철 충남대 컴퓨터공학과 교수는 “사이버보안청과 같은 별도의 조직을 만들자”고 제안했다. 이와 관련, 민주통합당은 “국정원 권력이 민간 영역에까지 미칠 수 있다”는 이유로 서 위원장의 법안에 반대하는 한편 당 산하 민주정책연구원에 사이버테러 대응 태스크포스(TF)팀을 구성해 법적·제도적·기술적 점검을 하고 이를 체계화하기로 했다. 이영준 기자 apple@seoul.co.kr

북한의 도발 위협 수위가 정점으로 치닫고 있다. 북은 어제 남북 간 군 통신선을 단절하고 서해지구 남북관리구역 군 통신연락소의 활동도 중단한다고 선언했다. 그제 군 최고사령부가 야전 포병군에 ‘1호 전투근무태세’를 발령한 데 이은 조치다. 북한 외무성도 성명을 통해 “미국과 남한의 도발 책동으로 조선반도에 핵전쟁 상황이 조성됐다는 점을 유엔 안전보장이사회에 통고한다”고 밝혔다. 자신들의 군사 행동이 재래식 무기를 앞세운 국지적 도발 차원을 넘어 미국과 남한을 대상으로 한 핵미사일 공격이 될 것이라고 엄포를 놓기도 했다. 그런가 하면 북한은 조만간 노동당 중앙위 전원회의를 소집, ‘주체혁명 수행의 결정적 전환을 이루기 위한 중대 문제를 결정할 것’이라고 밝히기도 했다. ‘중대 문제’와 관련, 일각에선 군사적 주요 사항은 당 중앙군사위가 따로 정한다는 점을 들어 장기적 대외전략 정도를 논의하지 않겠느냐는 관측을 내놓고 있다. 그러나 이는 안이한 인식이다. 북한이 그럴 정도로 시스템화돼 있는 체제가 아니지 않은가. 일련의 북한 움직임을 감안하면 최소한 국지적 무력 도발이나 사이버테러와 관련돼 있을 가능성을 열어놓고 대비에 만전을 기하는 게 올바른 자세다. 지금까지 북한의 숱한 도발은 늘 우리의 안보의식이 해이해진 틈을 타고 자행됐다. 지속적 도발 위협에 따른 피로감과 대북 전략에 대한 강온 논란이 우리 사회에 확산되는 상황에서 북한은 뒤통수를 때렸다. 지난해 12월 북한의 로켓 발사 이후 석 달여 북한의 도발 위협이 계속돼 온 데 따른 긴장의 피로감과 안보 위협 상승에 대한 둔감함이 확대된 지금 시점이 바로 이에 해당한다. 3년 전 천안함이 폭침됐을 때 전군을 지휘하는 합참의장은 술을 마시고 자기 집무실에서 쉬고 있었다. 이 때문에 보고와 지휘가 원활하게 이뤄지지 않았었다. 절대 되풀이돼선 안 될 일이다. ‘짖는 개는 물지 않는다’는 소리는 어떤 경우에도 군이 할 소리가 아니다. 대비 태세를 최고 수위로 끌어올릴 시점이다. 외교·통일 정책적 대응도 보다 면밀해야 한다. 외교부와 통일부는 어제 대통령 업무보고를 통해 대북 인도적 지원과 북한 조림사업 등을 위한 사회분야 교류를 북핵 문제와 별개로 추진하겠다는 뜻을 밝혔다. 남북 간 신뢰 형성을 위한 돌파구 마련을 위해 제한적이나마 남북 간 교류협력을 재개하겠다는 구상을 밝힌 것은 나름대로 의미가 있다고 본다. 그러나 모든 것은 때가 있다. 북한이 언제든 도발하겠다고 엄포를 놓는 상황에서 이런 입장 표명은 자칫 북한의 위협에 끌려가는 듯한 잘못된 메시지를 북한에 줄 수 있음을 유념해야 한다. 지금은 북한이 도발한 이후 전개될 외교안보 지형 변화와 외교적 대응 시나리오를 짜는 데 전념할 때다.

전국 7개 광역 자치단체의 전산망에 장애가 발생, 1시간 20여분 만에 복구됐다. 또 기획재정부 웹사이트도 이날 15분가량 마비됐다. 지난 20일 발생한 방송사, 은행 등의 전산망 마비사태가 국가정보통신망에도 재현된 것이 아니냐는 우려를 자아냈지만 스위치 고장으로 확인됐다. 26일 안전행정부 정부통합전산센터에 따르면 국가정보통신망에서 지방자치단체로 연결된 장비에 과부하가 걸리면서 오전 10시 40분부터 장애가 발생, 경기, 인천, 강원, 전남·북, 광주, 제주 등 7개 광역단체 전산망이 마비됐다. 해당 지역에서 전산망을 공유하는 공공기관의 전산망이 역시 마비됐다. 지자체의 전산망은 자체가 운영하는 홈페이지가 연결된 망으로, 공무원의 인터넷 접속에 사용되며 정부통합지식행정시스템과는 분리돼 있다. 6개 광역단체 전산망은 오전 11시 22분쯤 정상화됐고, 전남은 가장 늦은 낮 12시 5분 복구됐다. 방송통신위원회는 “지자체 통합전산센터의 전산망 장애는 스위치쪽의 일시적 장애로 확인됐다”고 밝혔다. 방통위는 또 같은 시간 발생한 YTN 전산망 마비 사태와 관련,“내부 시스템의 장애로 보인다”면서도 외부 해킹 가능성을 배제하지 않았다. 전산망이 마비되면서 지자체 공무원들은 이메일을 전송할 수 없어 자료를 팩스로 주고 받는 등 불편을 겪었다. 내부 행정망이 아닌 외부로 연결하는 전산망에서 발생해 민원처리, 전자 결재, 시·군·구 간 업무 연계 등은 정상적으로 이뤄졌고, 민원인들의 큰 불편은 없었다. 안행부 관계자는 “국가정보통신망에서 지자체로 연결된 업무망은 아무 문제가 없었지만 인터넷망에 연결된 장비 트래픽에 이상이 생기면서 잠깐 장애를 일으킨 것”이라면서 “국가정보통신망 시스템을 통한 내부 결재나 민원 처리는 가능하지만 인터넷 접속이 안 됐다”고 말했다. 북한 관련 단체 홈페이지에서 잇따라 접속 장애가 발생했다. 데일리NK는 홈페이지 공지를 통해 “오후 1시 40분부터 2시 30분까지 해킹으로 추정되는 외부공격으로 인해 사이트 접속에 차질이 발생했다”고 밝혔다. 데일리 NK는 장애 원인으로 미국 IP를 통한 악의적인 해킹 공격으로 추정하고 있다. 자유북한방송, NK지식인연대, 북한개혁방송의 홈페이지도 오후 마비됐다. 정부는 이날 서울청사에서 김동연 국무조정실장 주재로 연 정보통신기반보호위원회에서 행정·금융·통신·운송 등 209개 전국 주요 정보통신 기반시설에 대해 사이버테러에 대응하기 위해 점검하기로 했다. 또 사이버 테러에 대응할 수 있는 전문인력 양성 방안과 함께 인프라나 제도 구축 방안 등의 대책을 마련하기로 했다. 김 실장은 “민간부문의 기반시설은 미래창조과학부 중심으로, 공공부문의 기반시설은 국가국정원 중심으로 대처할 것”을 주문했다. 박록삼 기자 youngtan@seoul.co.kr 이석우 선임기자 jun88@seoul.co.kr 홍혜정 기자 jukebox@seoul.co.kr

방송국과 금융기관의 전산망을 마비시킨 ‘3·20 사이버 테러’ 악성코드가 기업의 데이터 시스템과 개인용 PC에도 널리 유포된 징후가 포착됐다. 이에 따라 추가 해킹 피해를 막으려면 대응 시스템을 총괄하는 컨트롤타워가 신속히 필요하다는 지적이 나오고 있다. 보안업체 안랩은 25일 이번 해킹에 사용된 것과 유사한 악성코드가 더 배포돼 수백대 이상의 PC를 감염시킨 것으로 추정했다. 이 악성코드에는 부팅영역(MBR) 파괴 기능과 함께 명령제어(C&C) 서버와 통신하는 해킹 프로그램이 추가된 것으로 확인됐다. 특히 안랩은 1차 때의 경우 내부 타이머로 공격 시간대를 특정했지만, 신종 악성코드는 공격자가 원하는 시간대에 공격을 할 수 있도록 진화했다고 설명했다. 이날 일부 금융기관의 감염 전산 시스템을 점검하는 과정에서도 2차, 3차 공격을 예고하는 징후가 포착된 것으로 알려졌다. 이 금융기관은 장애 발생 이전 수준으로 전산망을 정상화했지만 악성코드가 아직 전산망 어딘가에 남아 있을 가능성이 있는 것으로 판단했다. 전문가들은 이번 해킹 사건을 계기로 사어버 공격을 종합적으로 지휘하는 국가 차원의 컨트롤타워를 만들어야 한다고 지적했다. 정부의 사이버 공격 대응 시스템은 여러 부처로 역할이 분산돼 있어 신속하고 체계적인 대응을 못 하고 있다는 것이다. 앞서 합동대응팀은 농협의 사설 인터넷 프로토콜(IP)을 중국 IP로 오인해 발표함으로써 혼란만 부추겼다. 김승주 고려대 정보보호대학원 교수는 “해킹 원인 파악에는 시간이 소요되고 그 사이에 추가 해킹이 발생할 수도 있다”며 “이 때문에 해킹 사건이 나면 신속한 결정을 내릴 수 있는 공공기관이 필요하다”고 말했다. 컨트롤타워 기관에 예산권 등 권한을 부여하는 대신 책임을 지도록 해야 한다는 것이다. 현재 정부의 사이버 공격 대응 체제는 국가정보원, 국방부, 경찰청, 방송통신위원회 산하 한국인터넷진흥원 등으로 분산돼 있다. 또 중앙행정기관에 대한 방어는 정부통합전산센터를 지휘하는 안전행정부 책임이다. 이번 사건을 계기로 청와대는 사이버비서관을 신설하기로 했지만 여기에도 한계가 있다. 김 교수는 “미국의 경우는 사이버안보보좌관이 정보를 취합해 대통령에게 보고한다”며 “사이버안보보좌관에 버금가는 지위와 책임을 주고 각 부처에 흩어져 있는 정보들도 모아서 공유해야 한다”고 강조했다. 정보보호 학계는 제18대 대통령직인수위원회에 ‘국가사이버안보정책보고서’를 제출한 바 있다. 보고서는 청와대에 사이버전담관 신설, 국가사이버안보법(가칭) 제정, 사이버 부문 예산 확대 등을 담고 있다. 하지만 아직 정책에 반영되지 않았다. 한편 경찰청은 지난 20일 사이버 공격을 받은 6개 기관 가운데 일부 PC에 악성코드를 심은 해외 IP 주소 목록을 확보하고, 미국과 유럽 일부 국가 등 4개국이 감염 경로로 확인됐다고 밝혔다. 그러나 중국은 포함되지 않았다. 홍혜정 기자 jukebox@seoul.co.kr

전산망이 해킹에 뚫린 방송사와 금융기관은 내부망과 외부망을 분리해야 하는 보안 규정을 지키지 않은 탓에 피해를 키운 것으로 확인됐다. 망 분리는 비용 부담과 작업 불편 등의 이유로 지켜지지 않았다. 24일 민·관·군 사이버테러 합동대응팀 등에 따르면 KBS, MBC, YTN 등 방송사와 농협, 제주은행은 내·외부 전산망을 통합 운영하고 있다. 망 분리는 직원이 업무용으로 사용하는 내부망과 인터넷 접속이 가능한 외부망을 따로 구축하는 것이다. 업무용 통신망의 속도를 높이고 외부인이 인터넷을 통해 사내 정보가 담긴 내부망에 침입하지 못하도록 하는 효과가 있다. 신한은행은 지난해 10월 말 망 분리 작업에 착수했으나, 하필 이번 해킹에 악용된 ‘업데이터관리서버’(PMS) 영역에는 적용하지 않았다. 농협은 2011년 전산 마비 해킹 때 망 분리를 지적받고도 개선하지 않았다. 국가·공공기관이 아닌 대부분의 민간에서는 망 분리 대신에 보안 소프트웨어를 사용하는 경우가 많다. 망 분리는 내·외부용 PC를 따로 써야 해 최소 2배 이상의 비용이 들기 때문이다. 또 방송사의 취재기자들처럼 외부와 자주 접속해야 하는 직군에서 망 분리를 꺼리는 것도 이유가 된다. 또 피해 금융기관은 정보보안인증제도(ISMS) 인증도 외면한 것으로 나타났다. 일정 규모 이상의 포털·쇼핑몰 등 주요 정보통신서비스 제공자들은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정에 따라 지난달 18일부터 보안에 관한 137개 항목, 446개 세부항목으로 구성된 ISMS 인증을 의무적으로 받아야 한다. 방송통신위원회는 은행도 ISMS 의무 대상으로 해석하고 지난주 전국은행연합회에 협조 공문을 발송하기도 했다. 하지만 은행 대부분은 “이미 전자금융거래법과 전자금융감독규정에 따라 높은 수준의 규제를 받는다”는 이유로 소극적인 태도를 보였다. 한편 합동대응팀은 피해 기관의 PC와 서버를 추가 확보해 분석하고 있지만 해킹의 주체나 공격 경로 등은 아직 밝혀내지 못하고 있다. 홍혜정 기자 jukebox@seoul.co.kr

최근 방송사와 일부 금융기관의 전산망이 마비된 가운데 금융당국이 지난해 파악한 금융권역별 정보기술(IT) 인력과 예산은 여전히 낙제점인 것으로 드러났다. 특히 손해보험업계는 IT예산 중 정보보호 예산이 차지하는 비중이 기준(7%)에 못 미치는 곳이 무려 72%나 됐다. 전체 인력 중 IT 인력 5% 이상을 충족시키지 못한 손보사들은 절반으로 집계됐다. 사이버 테러 범죄가 갈수록 기승을 부리지만 금융권의 정보보안 불감증은 여전히 심각한 셈이다. 앞서 최수현 금융감독원장은 지난 21일 이번 전산장애 사고와 관련, 금융권 전반의 IT 보안에 대해 새로 점검하겠다고 밝힌바 있다. 24일 금융감독원의 금융권별 IT 인력 비율 현황(은행은 지난해 12월, 증권·보험은 9월 기준)에 따르면 손보사 18곳 중 9곳(50%)의 IT 인력은 전체 인력의 5% 이상이 안됐다. 손보사 전체 평균도 4.1%에 불과했다. 생보사의 경우 전체 평균은 9.8%였지만 38%가 미달이었다. 일부 대형 보험사에만 인력이 집중되며 중·소형 보험사와 양극화를 보인 것이다. 증권사는 23%가 기준을 달성하지 못했다. 금융당국은 지난해 11월 전자금융감독규정 개정에 따른 정보보호 강화 시책으로 금융회사는 전체 직원 수 대비 5% 이상 자체 IT 인력을 확보하도록 하고 있다. 또 IT 예산의 7% 이상을 정보보호에 투자하도록 권장하고 있다. 은행권을 제외하면 상당수 금융사에서 규정을 제대로 지키지 않고 있는 것이다. 예산 지원도 부족한 실정이다. IT 예산 중 정보보호 예산이 차지하는 비중은 손보사 18곳 가운데 13곳(72%)이 기준을 지키지 않았다. 생보사는 24곳 중 12곳(50%)이 미달이었다. 증권과 은행은 각각 19%, 11%가 기준에 못 미쳤다. 금감원 관계자는 “(IT 인력 확충이나 예산 지원은) 금융사에 권고할 수 있는 사항일 뿐 지키지 않아도 큰 불이익이 없고 자체 홈페이지에 공시만 하면 되기 때문에 고쳐지지 않는 것으로 보인다”면서 “이번 사태를 계기로 예산·인력 등 최근의 정보보안 현황을 새로 파악하는 등 실태를 면밀히 들여다볼 것”이라고 말했다. 한편 금감원과 한국인터넷진흥원, 경찰청 등에 따르면 지난해 개인과 기업의 해킹 피해 신고건수는 1만 9570건으로 전년보다 67.4% 늘었다. 월 평균 1631건이며 하루 54건꼴이다. 이는 2009년(2만 1230건) 이후 3년 만에 최대다. 지난해 신고건수는 2001년(5333건)과 비교하면 3.7배에 달한다. 백민경 기자 white@seoul.co.kr