방송통신위원회가 지난 20일 주요 방송·금융기관의 전산망을 마비시킨 악성코드가 중국발 인터넷(IP) 주소가 아닌 국내 컴퓨터에서 전파됐다고 번복하면서 정부의 정보 보안 위기 대응 능력에 의문이 제기되고 있다. 국내 최고의 전문가들로 이뤄졌다는 정부 합동대응팀이 기본적인 사안조차 제대로 확인하지 못한 것이다. 2008년 정보통신부 해체로 인한 ‘정보기술(IT) 컨트롤 타워’의 부재가 ‘사이버전(戰)’ 대처 능력을 현저히 떨어뜨렸다는 비판이 거세지고 있다. 방통위는 22일 해킹을 유발한 악성코드가 애초 정부 발표와 달리 농협 내부의 컴퓨터에서 전파된 것으로 나타났다고 밝혔다. 전날 정부가 중국 IP로 공식 발표했다는 점에서 ‘정확한 조사 없이 다른 나라를 거론해 외교적 결례를 범했다’는 비난을 피할 수 없게 됐다. 전날 방통위는 신원이 밝혀지지 않은 해커가 중국 인터넷을 경유해 피해 기관의 백신 소프트웨어(SW)를 배포하는 업데이트관리서버(PMS)에 접속해 악성파일을 심어 놓은 뒤 정해진 시간에 하위 컴퓨터의 부팅 영역을 파괴하도록 했다고 밝혔다. 이런 발표에 따라 청와대는 북한의 소행일 수 있다는 데 무게를 두고 조사를 진행해 왔다. 2011년 3월 디도스 공격 등 과거 북한이 중국 IP를 사용해 사이버 테러를 자행한 사례가 있기 때문이다. 하지만 결과적으로 방통위가 대통령에게 부정확한 보고를 해 정부가 잘못된 판단을 내리게 했다. 섣부른 발표로 국민에게 혼란만 가중시켰다는 비난 또한 피하기 어려워 보인다. 이번 ‘3·20 대란’과 같은 비상사태에 신속하고 주도적으로 대응할 ‘컨트롤 타워’가 없다는 게 이번에도 발목을 잡았다. 이명박 정부가 들어서면서 정보통신부를 해체해 정보 보안 위기 대응 분야를 주도한 ‘플랜B’(대안)를 구축하지 않은 게 결정적이었다. 이와 함께 사이버 대란 때마다 매번 주요 원인으로 거론되는 ‘액티브X’가 이번 사태에도 한국 정보 보안의 발목을 잡았다는 지적이 대두되고 있다. 액티브X란 미국 마이크로소프트(MS)가 자사 웹브라우저인 ‘인터넷 익스플로러’(IE)에서 쓰기 위해 1996년부터 상용화한 기술로, 다양한 응용 프로그램들을 PC에 자동으로 설치할 수 있게 도와준다. 하지만 원래 의도와 달리 현재는 여러 악성 프로그램들의 유통 경로로 악용되면서 골칫거리로 전락했다. 사용자가 별 생각 없이 ‘OOO가 배포한 XXX에서 추가 기능을 수행하려 합니다’라는 표현에 ‘예’(혹은 ‘YES’)를 클릭하는 것만으로도 PC에 악성코드가 설치돼 활동할 수 있게 된 것이다. 심지어 악성코드를 잡아내야 할 백신들조차도 액티브X를 쓰고 있어 언제든 악성코드를 퍼뜨리는 숙주로 돌변할 가능성이 높다. 이번 사태에도 해커가 농협의 백신 소프트웨어 배포 관리 서버에 접속한 뒤 액티브X를 활용해 악성코드를 확산시켰다. 하지만 IE의 국내 시장 점유율이 90%가 넘다 보니 액티브X를 쓰지 말라고 하기도 어려운 실정이다. 지난해 4월 방송통신위원회와 행정안전부의 조사에 따르면 민간 및 행정기관의 주요 웹사이트 200곳 가운데 84%인 168곳이 액티브X를 사용하는 것으로 나타났다. 특히 액티브X 사용을 전제해 만든 공인인증서 시스템 때문에 금융권이나 쇼핑몰의 경우 거의 모두가 액티브X를 쓰고 있다. 여기에 일부 백신에 지나치게 의존한 국내 보안시장 구조도 약점으로 거론된다. 현재 업계에서 추정하는 기업용 백신의 시장 점유율은 ▲V3(한국) 55~60% ▲하우리(한국) 12~155% ▲카스퍼스키(러시아) 7~10% 순으로, 이 셋만 합쳐도 전체의 80%를 넘는다. 해외 해커들이 이 세 백신만 연구하면 손쉽게 보안벽을 열 수 있어 한국이 상대적으로 공략하기 쉬운 국가로 여겨질 수 있다는 게 업계의 설명이다. 실제로 해커들이 V3의 소스코드만 확보해도 이를 기반으로 백신 우회기술을 적용한 악성코드를 만들어내 국내에 절반이 넘는 컴퓨터에 곧바로 배포할 수 있게 된다. 류지영 기자 superryu@seoul.co.kr

한·미 합동군사연습인 ‘키 리졸브’ 종료를 즈음해 북한이 긴장의 수위를 높여가고 있다. 훈련이 끝나던 그제 주민들을 대상으로 공습경보를 발령한 데 이어 어제는 대남 선전·선동 웹사이트를 통해 대량살상무기(WMD)와 장사정포로 한반도를 3일 만에 점령하겠다는 협박까지 서슴지 않았다. 아직은 심증뿐이지만 최근 사이버테러도 북한의 소행일 가능성이 제기된다. 부디 북한은 민족 구성원 모두를 불안케 하는 도발을 중지하기 바란다. 국내 주요 방송·금융기관의 전산망을 마비시킨 악성코드가 국내 컴퓨터에서 전파됐다는 민·관·군 합동대응팀의 조사 결과가 나왔지만 북한 소행이라는 의구심을 떨치기는 어렵다. 사이버테러의 배후로 지목돼 왔는데도 북한은 일체 함구하는, 전략적 모호성으로 일관하고 있다. 이는 북한 소행 여부를 둘러싼 논란을 부추겨 남남갈등을 유발하는 대남 전략전술의 일환으로 보면 하등 새로운 것도 아니다. 북한 정보통신 인력들이 주로 중국에서, 중국 인터넷 전용회선을 활용하고 있다는 점을 감안하면 사이버테러의 배후를 캐는 데는 중국 당국의 협조가 절실하다고 할 것이다. 북한이 대남 도발을 일삼는 동안 굶주림에 견디다 못해 목숨을 걸고 국경선을 넘는 북한주민 행렬이 줄을 잇고 있다. 북한군 병사 12명이 이달 초 중국 지린성 지안으로 탈북했다가 중국군에 붙잡혀 북한으로 강제 송환됐다고 한다. 몸무게 40㎏, 키 160㎝를 간신히 넘는 북한 병사들의 모습은 정상적인 군인이라고 하기 어려울 정도다. 지금은 옥수수와 알감자로 버티고 있으나 춘궁기가 시작되면 북한군의 이탈 현상이 확산될 개연성도 배제할 수 없다. 그나마 북한에서 가장 잘 먹는다는 군인이 이 지경일진대 일반 주민들의 사정은 어떨지 짐작이 간다. 한마디로 북한 주민의 곤궁한 형편은 이에 아랑곳하지 않고 핵무기 개발에 돈을 쏟아부은 결과 아닌가. 핵실험에 투입한 비용은 북한 주민이 8년 동안 먹을 옥수수 1940만t을 살 수 있는 비용이다. 나락에 떨어진 북한 주민들의 인권 보호를 위해 유엔 인권이사회가 처음으로 북한인권조사위원회(COI)를 구성한 의미는 적지 않다고 할 것이다. 북한은 핵보유에 대한 미련을 버리지 못하고 도발적 언사로 한반도의 긴장을 높이는 신경전을 그만둬야 한다. 곧 전쟁이라도 치를 듯한 긴장감을 조성한다고 해서 북한 주민이나 군인의 이탈을 막을 수는 없다는 점을 명심해야 할 것이다.

북한의 대남·해외 공작 및 사이버테러 핵심 전력으로 지목되는 정찰총국 요원들이 3월 초 중국 등 해외로 파견됐으며 중국을 무대로 사이버 공작 활동을 전개하는 것으로 파악됐다. 미국 자유아시아방송(RFA)은 22일 북한군 출신 소식통의 말을 인용해 이번 전산망 마비의 배후가 정찰총국이라고 보도했다. 이 소식통은 “지난달 평양으로 들어갔던 정찰총국 3국 기술정찰국 소속 요원들이 3월 초순 중국 등 해외로 다시 급파됐다”며 “이 사이버 전사들은 평양 시내 고급 아파트를 배정받고 훈장 등 포상에 고무됐다”고 전했다. 북한 관련 소식통 등에 따르면 정찰총국 산하 해킹 부대원들은 위장 신분으로 중국에서 활동하는 것으로 알려졌다. 이들은 오전에 출장 명령을 받으면 오후에 중국으로 들어갈 만큼 해외 여행이 자유롭고 대좌(대령)급 이상은 북한에서 매달 400달러(약 45만원)를 받는 것으로 알려졌다. 탈북자 출신인 김성민 자유북한방송 대표는 “정찰총국 요원들은 외화벌이 무역회사 직원 등으로 위장해 중국에서 친북사이트 운영 등 사이버 공작 활동을 한다”며 “이들은 베이징, 단둥, 선양 등을 거점으로 건물을 빌려 집단 생활을 하고 숫자도 100명은 넘을 것”이라고 전했다. 해커 요원을 교육하는 기관 중 하나인 평양 미림대학(현 김일자동화대학)의 경우 1986년 설립됐으며, 매년 200여명의 졸업생이 정찰총국 산하 110호 연구소 등 사이버 전담 부서에 배치된다. 김일자동화대학 출신의 한 탈북자는 “졸업생들은 110호 연구소에 소속돼 해킹 및 보안 프로그램 침투 등 전문 기술을 연구한다”면서 “영어, 일본어 등 외국어로 수업을 하며 미국 정부 전산망을 파괴할 수 있는 능력을 갖췄다”고 증언했다. 북한의 사이버 공작도 디도스(DDoS) 공격 등 직접적인 테러뿐 아니라 심리전과 정보 수집, 여론 분열 등의 방식으로 다양하게 전개되고 있다. 유동열 치안정책연구소 선임연구관은 “이번 사이버테러는 110호 연구소에서 1년 넘게 작업한 것으로 본다”며 “대남 공작 부서에서는 이미지와 영상 오디오 등에 비밀 메시지를 숨겨 교신하는 ‘스테가노그래피’ 방식 등 첨단 기법도 활용한다”고 말했다. 이는 알카에다가 2001년 9·11 테러 공격을 준비할 때 사용했던 방식이다. 하종훈 기자 artg@seoul.co.kr

21일 오후 전국 보건소 전산망에 장애가 발생했다. 보건복지부에 따르면 이날 오후 2시부터 40분간 전국 보건소가 사용하는 내부 업무시스템인 ‘지역보건의료정보시스템’을 가동하는 네트워크 장비 중 1대에 오류가 발생했다. 이 시스템은 방문자의 진료 기록 등을 관리하며 오류가 발생할 경우 방문자의 진료 기록을 조회하거나 진료 내용을 입력하는 등의 업무에 문제가 발생할 수 있다. 복지부 관계자는 “전산망 장애로 업무에 차질이 생겼다는 민원은 들어오지 않았다”고 말했다. 이어 “네트워크 장비의 단순 오류이며 다른 장비로 전환해 정상화했다”면서 “지난 20일 발생한 방송, 금융기관 사이버 테러와는 무관하다”고 말했다. 김소라 기자 sora@seoul.co.kr

방송사와 금융기관의 전산망 해킹에 사용된 악성 코드가 중국에서 유입된 것으로 확인되면서 북한 소행 여부에 관심이 집중되고 있다. 민·관·군 사이버위협 합동대응팀이 21일 피해 금융기관 시스템을 분석한 결과 중국 IP(101.106.25.105)를 경유한 해커가 내부 업데이트관리서버(PMS)에 접속한 뒤 악성 코드를 생성했음을 확인했다. 하지만 다른 피해 회사의 해킹 경로와 최초 공격지점, 공격자 등 사건의 전모는 여전히 미궁 속에 있다. 다만 중국 인터넷을 이용하는 북한의 해킹 수법을 염두에 두고, 그 가능성을 배제하지 않고 있다. 합동대응팀은 피해 기관의 PMS에서 ‘트로이 목마’ 방식의 악성 코드가 유포돼 서버와 연결된 PC의 부팅 영역을 감염시킨 것으로 보고 있다. 트로이 목마는 정상적인 프로그램으로 위장해 컴퓨터 시스템을 파괴하는 악성 코드다. 트로이 목마 중에는 공격자의 명령에 따라 감염된 PC를 원격제어하고 필요한 정보를 마음먹은 대로 빼내 갈 수 있는 강력한 기능을 갖춘 경우도 있어 위험성이 높다는 게 업계 전문가들의 분석이다. 트로이 목마의 특성상 짧게는 수일부터 길게는 수개월 전에 이미 악성 코드를 침투시켜 놨을 가능성이 높다는 관측도 나온다. 그러나 악성 코드가 보안회사의 업데이트 서버를 경유한 것인지, 일부 백신업체의 주장대로 해커가 지능형지속공격(APT)으로 해당 서버의 관리자 계정을 탈취했는지 등에 대해서는 명확한 결론을 내리지 못했다. 원인 규명이 쉽지 않은 것은 이번 해킹 공격이 기존과는 다른 방식으로, 그것도 치밀한 계획을 통해 이뤄졌기 때문이다. 방송통신위원회 관계자는 “악성 코드 분석에서 피해 기관에 대한 공격 주체는 동일 조직인 것으로 파악됐으나 구체적으로 누구인지는 아직 확인되지 않았다”며 “중국 IP가 발견돼 여러 추정이 나오게 됐지만 현 단계에서는 모든 가능성을 열어놓고 해커 실체 규명에 최선을 다하고 있다”고 말했다. 동일 조직 소행으로 추정하는 이유에 대해서는 “악성 코드가 하드디스크를 손상시킨다는 특징이 피해 사이트에서 공통적으로 나타나고 악성 코드 고유의 문자열이 보이고 있다”고 설명했다. 동일 조직 소행이라는 점을 뒷받침해 주는 다른 정황도 나왔다. 합동대응팀에 참여하고 있는 보안전문기업 잉카인터넷은 6개 피해 기관에서 수집한 악성 코드 표본에 ‘후이즈’에 대한 언급이 있었다고 밝혔다. 잉카인터넷이 표본 악성 코드를 분석한 결과에 따르면 ‘후이즈 팀이 해킹했다’(Hacked by Whois Team)는 글귀와 같은 이메일 주소가 내용에 포함된 것으로 조사됐다. 이 내용은 6개 피해 기관 전산망 마비와 비슷한 시기에 발생한 이동통신사 해킹 사건 증거 화면인 후이즈 메시지와 같은 것이다. 잉카인터넷 관계자는 “후이즈 공격 메시지가 지난해 6월 발생한 중앙일보에 대한 공격과도 유사하다”면서 “올해 경찰청 사이버테러대응센터가 중앙일보 서버의 공격자를 북한으로 결론지은 바 있다”고 말했다. 일각에서는 이번 해킹 공격에 이용된 악성 코드 파일에 2차 공격을 암시하는 문자열이 있기 때문에 추가 피해에 대한 우려를 하고 있다. 신화수 한국인터넷진흥원(KISA) 침해대응센터 단장은 “추가적인 2차 해킹 피해가 있을 수 있다는 얘기가 나오고 있어서 모니터링을 강화했다”고 말했다. 이 때문에 공공기관 보안 모니터링을 담당하는 정보당국도 공공기관에 대한 2차 해킹 공격에 대비해 감시 수준을 강화한 것으로 알려졌다. 홍혜정 기자 jukebox@seoul.co.kr

지난 20일 외부 공격에 의해 국내 주요 방송사와 일부 금융기관의 전산망이 일제히 마비되면서 ‘3·20 대란’이 우리나라 정보 보안 능력의 현주소를 그대로 보여줬다는 냉정한 평가가 나오고 있다. 특정 세력이 불순한 의도를 갖고 대대적인 공격에 나설 경우 청와대를 비롯한 정부기관과 철도 등 기간시설 전산망도 절대 안전하지 않다는 것이 다시 한번 입증됐다. 2003년 ‘1·25 대란’ 때부터 정부와 기업들은 사고 당시에는 “정보 보호를 최우선시하겠다”며 대책 마련에 나섰지만, 10년 넘게 지난 지금까지도 여전히 허점이 많다는 지적이 나온다. 21일 보안업계에 따르면 최근 세계적 해커집단들은 장기적인 계획에 따라 짧게는 6개월, 길게는 3년 이상 준비해 대상을 공격한다. 지난해부터 본격화된 지능형지속위협(APT) 공격을 통해 특정 기업과 기관의 네트워크 시스템을 파괴하는 공격이 더욱 빈번해질 수 있다는 의미다. 특히 전 세계의 거의 모든 PC들이 초고속 인터넷으로 연결되면서 이번처럼 중국 등을 경유해 노트북 한 대로 한국의 금융기관 등을 공격할 수 있는 시대가 됐다. 정보 당국이 어렵사리 용의자를 찾아내도 금세 자취를 감춰 버린다. 사이버 공격은 이처럼 갈수록 지능화, 고도화되고 있지만 평소 보안 시스템을 잘 갖춰 놓은 ‘준비된 기업’이라면 절대 뚫리지 않는다는 게 업계의 설명이다. 김홍선(53) 안랩 대표는 “전 세계 해커집단이 ‘공격 1순위’로 삼는 구글이나 아마존, 페이스북과 같은 업체들이 건재한 것도 이런 이유”라면서 “보안 업체가 서버와 PC 등에 제공하는 보안 패치를 꾸준히 업데이트하고 비밀번호를 수시로 바꿔 주는 등 최소한의 조치만 해도 쉽게 공격당하지 않는다”고 말했다. 이 때문에 국내 금융 전산망과 방송국 서버들이 뚫린 것을 두고 보안의식 부재를 성토하는 의견이 쏟아지고 있다. 2003년 대란 이후 10년이 지났지만 달라진 게 별로 없다는 것이다. 특히 금융 거래망은 창구 거래를 위한 영업점 단말기는 물론 현금자동입출금기(CD·ATM)와 인터넷뱅킹 등 금융 거래 전부가 연결돼 하루 226조원이 거래되는 한국 경제의 ‘핏줄’이다. 악성코드를 통한 해킹으로 여러 은행이 공동으로 공격당할 수 있다는 점은 지난해부터 경고됐지만 이번에도 은행들은 눈 뜨고 당했다. 어떤 공격에도 견뎌내야 하는 네트워트여서 이번 사태가 더욱 뼈아프다. 현재 금융 당국은 금융회사의 정보 보호 예산 비중을 전체 정보기술(IT) 예산의 5% 이상으로 유지하는 ‘5%룰’을 권하지만 이를 지키는 업체는 많지 않다. 보안 관련 업무를 최고경영자(CEO) 직속에 두고 직접 챙겨야 한다는 지적도 끊이지 않지만 실제로 이를 실천한 곳은 현대캐피탈 등 일부에 불과하다. 2011년 4월 이후 2년 만에 또다시 전산망 마비 사태를 빚어 망신을 산 농협은 지금도 서버 관리를 외주 직원에게 맡기고 있다. ‘소 잃고도 외양간 고칠’ 생각조차 없어 보인다. 정부의 대응 능력 미숙도 아쉬운 대목이다. 정부는 2003년 1·25 대란 이후 인터넷 이상 징후를 모니터링하고 대응할 수 있는 ‘인터넷침해대응센터’(KISC)를 설립해 모니터링 체계를 구축했고 정보통신망법도 개정했다. 2009년 ‘7·7 대란’ 이후에는 ‘국가 사이버 안전체제’가 구축돼 한국인터넷진흥원(KISA)을 중심으로 방송통신위원회, 국가정보원, 국방부 등 정부 기관과 백신·이동통신업체 등 민간 사업자들을 실시간으로 연결해 주는 시스템도 갖춰졌다. 그럼에도 3·20 대란과 같은 비상사태에 신속하고 주도적으로 대응할 ‘컨트롤타워’가 없다는 게 약점으로 지적된다. 이명박 정부가 들어서면서 정보통신부를 해체한 게 영향이 컸다. 여기에 올해 정부의 정보보호 예산은 2400억원으로 지난해 2633억원보다 10% 가까이 줄었다. 행정안전부와 방송통신위원회가 이 예산 가운데 1000억원 이상을 쓰는 점을 감안하면 나머지 부처들은 그야말로 ‘면피성’ 수준에 머물고 있다. 특히 일관성 없이 짝수 해에는 예산을 크게 늘렸다 홀수 해에는 다시 줄이는 ‘갈짓자’ 행보를 반복해 비판받고 있다. 2009년(7·7 대란)과 2011년(3·4 대란)에 사이버 대란이 발생하자 여론을 의식해 다음 해 예산을 크게 늘리지만 이듬해 별 문제가 없으면 곧바로 예산을 줄이는 행태가 반복되고 있다. 류지영 기자 superryu@seoul.co.kr

20일 해킹으로 전산망이 마비됐던 KBS와 MBC, YTN 등이 대부분 안정을 되찾았다. 내부 전산망이 복구되고 손상된 개별 PC를 수리 중이지만 일부 지역사들은 제작시스템이 정지하는 등 여전히 어려움을 겪고 있다. KBS와 MBC, YTN 등 방송 3사에 따르면 훼손된 전산망은 21일 대부분 복구됐다. 피해 방송사들은 밤샘 복구작업을 벌여 이날 오전 업무용 인터넷망을 정상화했다. KBS 관계자는 “오늘 오전 업무용 전산망과 보도, 편성, 광고 등 주요 서버에 대한 복구작업을 마쳤다”면서 “직원들이 배포된 백신을 이용해 개별 PC의 바이러스를 치료하는 중”이라고 말했다. MBC의 경우 밤새 사내 전산망의 복구를 마쳤다. YTN 역시 인터넷망을 복구하고, 손상된 제작 장비의 하드디스크 복구 작업을 벌이고 있다. 하지만 해킹의 범위가 워낙 광범위해 피해를 입은 PC의 복구에는 시간이 걸리고 있다. KBS는 5000대, MBC는 800대, YTN은 500대의 PC가 각각 피해를 본 것으로 알려졌다. 한편 이런 가운데 지방 MBC 등은 일부 시스템이 정지돼 골치를 썩이고 있다. 춘천MBC 등 기타 지역은 본사와 달리 자체 서버를 사용해 전날 전산망 장애에서 큰 피해를 입지 않아 기사 작성이나 인터넷 접속에 문제는 없었다. 하지만 통합정보시스템이나 인트라넷 등 본사와 연결된 시스템은 현재까지 접속이 불안한 상황이다. 전주 MBC의 한 관계자는 “본사에서 복구 과정 중에 2차 피해를 우려해 서버를 차단해 일시적으로 제작 시스템 사용이 중단되고 있다”고 말했다. 다행히 이들 방송사들이 제작이나 방송 송출 관련 시스템은 별도의 폐쇄망을 이용해 아직까지 방송사고는 발생하지 않았다. 이런 가운데 공영방송사의 보안시스템을 우려하는 목소리도 나오고 있다. 재난방송 주관방송사인 KBS는 정보보호 대응지침에 따라 조치했다고 밝혔지만 내부 전산망 마비로 지침이 제때 공유되지 못했고, 대응지침의 존재조차 모르는 직원들도 있었다. 오상도 기자 sdoh@seoul.co.kr

‘주요 방송사와 금융기관의 내부 전산망을 마비시킨 악성 코드로부터 PC를 지키려면 어떻게 해야 할까.’ 방송통신위원회는 21일 추가 피해 차단을 위해 한국인터넷진흥원(KISA)을 통해 전용 백신을 무료 배포하고 있다고 밝혔다. 일반적인 개인용 PC가 이번 악성 코드에 감염됐을 개연성은 낮은 것으로 보고 있다. 특정 목적을 갖고 치밀한 계획에 따라 표적을 선정했을 개연성이 크기 때문이다. 그럼에도 방통위는 안랩, 하우리, 잉카인터넷 등 백신 제조 업체들과도 협력해 기업용 백신을 업그레이드하고 개인에게도 전용 백신을 무료로 제공하고 있다. 이들 기관의 홈페이지에서 백신을 내려받아 설치하면 악성 코드에 따른 피해를 예방할 수 있다. 그러나 이미 PC가 악성 코드에 감염돼 하드디스크가 손상됐다면 복구가 어렵다. 우선 KISA는 ‘보호나라(www.boho.or.kr)’를 통해 이번에 발견된 악성 코드를 치료할 수 있는 전용 백신을 보급하고 있다. 보호나라 사이트 상단의 카테고리 중 ‘다운로드’ 항목에서 ‘맞춤형 전용백신’ 메뉴를 누른 후 ‘152번 Trojan.Win32.KillMBR.B’ 치료용 백신을 다운로드, 아이콘을 클릭해 실행하면 된다. KISA는 개인용 PC라도 이미 감염됐을 가능성이 있다면 PC 시간 설정을 변경한 뒤 PC를 작동시킬 것을 조언했다. PC 본체의 부팅 버튼을 누른 다음 곧바로 키보드의 ‘F2’나 ‘Delete’ 키를 누르면 시모스(CMOS) 설정 화면이 나온다. 여기서 시스템 시간과 시스템 날짜를 악성 코드가 작동한 시간인 2013년 3월 20일 14시 이전이나 이후로 바꾸면 된다. 류지영 기자 superryu@seoul.co.kr

추가 사이버테러 우려가 제기되는 가운데 금융사들이 대대적인 해킹방어 시스템 점검에 나섰다. 미사일 공격 등 전쟁에 대비한 비상계획에 준해 감시(모니터링) 수위를 높인 곳도 있다. 공기업과 민간기업 급여 지급일이 집중된 21일을 탈 없이 넘긴 은행들은 돌아오는 급여 집중일인 25일을 전후해 공격이 다시 발생할 가능성을 가장 경계하고 있다. 급여 지급일에 전산망이 마비되면 카드 결제 지연으로 인한 신용등급 하락 등 실질적인 개인 피해가 발생할 수 있기 때문이다. 만 0~5세로 확대된 정부의 육아수당, 보육수당이 첫 지급되는 날도 25일이다. 송현 금융감독원 IT감독국장은 “21일부터 25일 사이에 금융사를 포함한 대다수 회사의 급여이체가 몰려 있어 2차 추가공격 가능성을 염두에 두고 있다”면서 “비상대책반을 가동해 24시간 모니터링하고 있다”고 말했다. 전날 두 시간 동안 전산망이 완전히 ‘먹통’됐던 신한은행은 원인 파악에 주력했다. 신한은행 관계자는 “농협은행과 달리 본부 전산에 문제가 있어서 신한은행을 결제계좌로 둔 체크카드 결제가 모두 중단되는 등 피해가 광범위했지만, 본부 전산 복구와 함께 신속하게 문제를 해결했다”고 설명했다. 신한과 더불어 공격 당했던 농협은행은 대부분의 감염 컴퓨터를 복구했지만 일부 영업점에서는 복구가 지연됐다. 공격을 비껴간 은행들도 일제히 시스템 점검에 나섰다. 하나은행 측은 “보안팀이 네트워크 트래픽을 상시 감시하고 있다”면서 “침입 흔적이 발견되면 외부 인터넷망을 즉시 끊어 내부 전산망을 보호할 것”이라고 말했다. 국민은행은 전날 농협·신한은행이 공격받은 오후 3시쯤부터 이날까지 외부 인터넷 연결을 차단시켰다. 전날 일부 전산장애를 겪은 농협손해보험과 농협생명은 고객 데이터베이스(DB)를 점검하고, 전산 시스템을 상시 모니터링하는 한편 전산장애 재발에 대비해 백업시스템을 보완했다. 카드사도 ‘긴장 모드’를 유지했다. 신한카드 관계자는 “2011년 현대캐피탈 해킹 사고 이후 카드업계 전산 시스템의 방어벽이 강화됐다”면서도 “최근 워낙 다양한 해킹 수법이 동원되고 있어 바짝 긴장하고 있다”고 전했다. 홍희경 기자 saloo@seoul.co.kr

금융당국은 지난 20일 발생한 사상 초유의 전산망 마비사태에도 아직까지 금전 피해나 개인정보 유출 등의 피해는 없는 것으로 보고 있다. 해당 금융사들은 실제 피해를 본 고객이 있으면 전액 보상해 주기로 하고 피해사례 파악에 나섰다. 금융감독원은 21일 “신한·제주·농협은행, NH생명·NH손보 외에 추가 피해를 본 금융기관은 없으며 지금까지 금전 피해도 파악되지 않았다”면서 “금융사의 자료 유실 역시 보고된 바 없다”고 밝혔다. 전산장애를 일으킨 창구 단말기 등이 단순 입력장치라 거래내용이 삭제되지 않았기 때문이다. 거래내용은 메인 서버에 저장된다. “고객 피해가 발생하면 금융회사가 보상하도록 할 방침”이라고 거듭 확인했다. 금융권에 따르면 전산장애 후 제기된 대부분의 민원은 장애 이유와 복구 시기를 묻는 질문이었다. 금융거래 도중에 중단된 계좌이체의 성공 여부를 확인하는 문의도 많은 것으로 알려졌다. 신한은행 관계자는 “영업시간을 오후 6시까지 연장했기 때문에 대출이자 납입 지연 등으로 피해를 본 사례도 없을 것으로 예상한다”고 말했다. 신한은행을 결제계좌로 이용하는 신한카드와 롯데카드 등은 콜센터에 고객 항의전화가 많이 들어왔지만 대부분 고객이 현금이나 다른 신용카드를 이용했다. 백민경 기자 white@seoul.co.kr

국내 방송사 및 금융기관의 전산망을 마비시킨 악성코드가 중국에서 유입된 것으로 21일 확인됨에 따라 전날 발생한 사이버테러가 북한의 해킹일 가능성에 무게가 실리고 있다. 전문가들은 북한의 사이버전 수행 능력과 공격 형태를 감안할 때 개연성은 높지만 배후 확증은 쉽지 않을 것으로 보고 있다. 수사당국은 2004년 6·21 국방연구원 해킹, 2009년 7·7 및 2011년 3·4 디도스(DDoS) 공격과 농협 전산망 마비, 지난해 6월 중앙일보 서버 해킹 등 주요 사이버 테러의 배후로 북한을 지목해왔다. 그동안 일련의 공격에 동원됐던 해외 서버가 같은 경우가 많았고, 일부 공격의 경우 북한 체신성의 조선체신회사(KPTC)가 중국에서 할당받은 IP 대역에 접속된 게 포착됐다. 이번 3·20 전산망 마비에도 동일한 해외 서버들과 IP 대역이 활용됐다면 북한이 연관됐을 가능성은 한층 높아진다. 북한은 1980년대 후반부터 사이버전에 대비해 기술장교 육성기관인 ‘김일자동화대학’(옛 미림대학)에 전자전 양성반을 두고 전문 해커를 양성해왔다. 정보당국은 북한의 해킹 등 사이버전 능력이 높은 수준으로, 미국 중앙정보국(CIA) 수준 이상인 것으로 평가하고 있다. 특히 2009년 2월 인민무력부 산하 정찰국과 노동당 산하 작전부, 35호실 등 3개 기관을 통합해 대남·해외업무를 총괄하는 정찰총국을 신설했고, 휘하의 사이버전지도국(일명 121국)에 3000여명의 전문 인력을 배치한 것으로 전해진다. 군 관계자는 “북한은 사이버 방호력은 높지만 국가 기간시설의 사이버 의존도는 낮아 전략적으로 사이버테러를 강행하기에 유리하다”고 진단했다. 이동훈 고려대 사이버국방학과 교수는 “북한에서 해킹 공격을 시도하려면 경유지가 필요하고 가장 손쉬운 경로가 중국”이라면서 “2009년 디도스 테러가 무작위적 공격에 가까웠다면 이번 해킹은 목표물을 미리 정해 최적화된 공격을 기획한 것으로 진화된 행태”라고 분석했다. 이번 해킹의 정치적 목적성을 감안 하면 북한일 가능성이 높다는 분석도 제기된다. 북한은 지난 15일 조선중앙통신을 통해 자국 인터넷 서버가 해킹당하고 있다고 밝히며 보복을 예고했었다. 이상진 고려대 사이버국방학과 교수는 “이번 공격은 악성코드가 하드디스크를 망가뜨리는 형태로 추후 우리 측에서 백신을 만들어 배포할 것”이라면서 “백신을 만들면 이는 더 이상 쓸모 없게 되므로 경제적 이득보다 정치적 시위의 목적이 더 큰 것으로 추정된다”고 설명했다. 하지만 이 교수는 “전 세계 해킹 공격이 중국 IP를 경유하는 사례가 많아 악성코드를 정밀 분석하기 전에는 배후를 단정하기 어렵다”고 밝혔다. 하종훈 기자 artg@seoul.co.kr

엊그제 방송사와 금융기관을 공격한 사이버테러 사태는 정보화 시대에 우리의 낮은 보안 수준을 고스란히 드러냈다. 정부는 그동안 인터넷 보안환경 변화에 따른 종합 대책을 내놓지 못했고, 기업체도 보안분야 투자에 인색했다. 국민의 보안의식도 지극히 낮았다. 사이버테러 사고 뒤처리만 하는 작금의 현실에서 벗어나 근본적 처방을 찾아 시급히 실행에 옮겨야 할 때다. 정부는 지난 2003년 ‘인터넷대란’을 겪은 뒤 보안 인프라 구축 작업에 나섰다. 하지만 관련 법 제정 등 사이버테러 대책 마련은 지금까지 차일피일 미뤄져 왔다. 사이버테러기본법 제정과 청와대 직속 사이버안보보좌관 신설 문제가 대표적 사례들이다. 이는 민간과 공공, 국방부문으로 나눠진 지금의 사이버 위기 관리가 일사불란해야 한다는 차원에서 다시 공론화돼야 할 것이다. 최근 해커들은 사전에 짠 시나리오에 따라 특정 기관을 ‘타깃 공격’한다는 점에 비춰 볼 때 더 늦출 이유가 없다. 정보보호 예산의 확충은 근본적 문제이다. 정보화부문 예산 가운데 정보보호 예산 비율은 5%대로, 선진국들의 9~10%에 비해 턱없이 낮다. 예산이 확보돼야 보안 인프라를 확충하고 이른바 화이트 해커(착한 해커) 등 보안 전문가를 많이 양성할 수 있다. 컴퓨터 전공자가 기업 등에서 홈페이지만 관리하는 등 소프트웨어 인력이 홀대받는 것도 문제다. 이들의 처우도 개선돼야 한다. 차제에 사이버테러 가능성이 큰 주요 언론사나 금융기관을 사이버테러 1차 우려기관으로 지정하는 등 보다 강화된 법적·제도적 방안도 강구해 볼 만하다. 기업과 국민의 대응의식도 함양해야 한다. 백신프로그램을 수시로 까는 의식을 갖게 하는 것은 물론 범국가적 해킹방어대회도 자주 열어 사이버테러에 대한 관심을 고취해야 한다. 정보보호가 취약한 정보기술(IT) 강국은 사상누각일 뿐이다. 미국과 중국은 이미 사이버전쟁에 돌입하는 등 세계 각국의 사이버전은 시작됐다. 임진왜란 때 율곡 이이가 주장했던 ‘10만 양병설’이 새삼 가슴에 와 닿는것도 이 때문이다. 2007년 디도스 공격으로 1주일간 국가운영이 완전 마비됐던 에스토니아 사례의 전철을 밟지 않아야 한다.

미국 하원 국토안전위원회 산하 사이버안보 소위원회 패트릭 미핸(공화) 위원장은 20일(현지시간) 한국 내 주요 방송사와 일부 금융사의 전산망 마비 사태와 관련, “많은 이들이 북한의 소행이라고 보고 있다”면서 “이는 남북한 사이의 또 다른 긴장 고조”라고 말했다. 그는 이날 소위원회가 ‘중국, 러시아, 이란의 사이버 위협’을 주제로 연 청문회에서 모두발언을 통해 “북한이 최근 핵무기 관련 위협을 계속하고 있다”면서 “북한의 사이버능력도 평가절하해선 안 된다”고 지적했다. 청문회에 증인으로 출석한 프랭크 실루포 조지워싱턴대 국토안보정책연구소장도 “북한은 사이버 테러의 와일드카드(예측할 수 없는 요인)”라면서 “북한은 의도를 갖고 있고, 컴퓨터 네트워크 공격을 시도하고 있다”고 말했다. 이런 가운데 미국 워싱턴의 한 대북 인권단체도 이날 해킹을 당한 것으로 알려졌다. 북한인권위원회(HRNK)는 이날 인터넷 홈페이지가 해킹을 당해 자료가 유출되는 피해를 입었다고 밝혔다. 그레그 스칼라튜 HRNK 사무총장은 “자칭 ‘히트맨 007-킹덤 오브 모로코’라는 단체가 홈페이지를 해킹한 것으로 확인됐다”면서 “이번 해킹으로 출간물, 문서 등이 유출됐다”고 밝혔다. 그러면서 “현재 복구 작업이 진행 중이며 원인을 파악 중”이라고 설명했다. 그는 이번 공격이 한국에서 발생한 방송, 금융사들의 전산망 마비사태와 관련이 있는지, 미국 내의 다른 기관들도 피해를 봤는지 등의 여부는 아직 확인할 수 없다고 말했다. 그러면서도 이번 해킹 공격이 유엔 인권위원회(UNHCR)에서 북한 인권조사위원회 설치 안건에 대해 표결을 하기 전날 발생했다는 점에서 ‘북한 연관성’에 대한 의구심을 감추지 않았다. 그는 “우리가 하는 일의 성격으로 미뤄 이런 사고를 예상하지 않은 것은 아니다”고 말했다. 2001년 설립된 HRNK는 북한의 정치수용소 실상을 폭로하는 등 북한 정권에 비판적인 활동을 하는 단체로 유명하다. 워싱턴 김상연 특파원 carlos@seoul.co.kr

청와대와 정부는 20일 일부 방송사와 금융사의 전산망 마비 사태와 관련, 원인 파악과 함께 긴급 대응에 나섰다. 김장수 국가안보실장 내정자가 청와대 국가위기관리상황실을 가동해 국방부와 국정원, 경찰 등 유관 부서로부터 피해 상황과 원인 등에 대해 종합적으로 보고를 받고 있다. 박근혜 대통령도 김 내정자로부터 관련 상황을 실시간으로 보고받고 대응을 지시한 것으로 전해졌다. 김행 청와대 대변인은 브리핑에서 “현재 김 내정자가 위기관리센터를 중심으로 관련 비서관과 함께 상황을 파악 중”이라며 “상황이 파악되는 대로 소상히 국민들에게 알리겠다”고 말했다. 김 대변인은 “현재 민·관·군이 포함된 범정부 차원에서 사이버 위협 합동대응팀을 가동해 실시간으로 대처하고 있다”고 전하면서 이번 사태의 원인이 북한의 사이버 테러일 가능성에 대해서는 “아직 (단정할 수) 없다”고 말했다. 그러나 청와대는 북한발 사이버 테러 가능성 등을 포함, 다양한 시나리오를 염두에 두고 상황을 면밀히 파악 중인 것으로 전해졌다. 국방부는 이날 전산망 마비사태와 관련, 오후 3시 10분부터 정보작전 방호태세인 인포콘(INFOCON)을 3단계(향상된 준비태세)로 한 단계 격상했다. 김민석 대변인은 “현재 군 전산망은 이상이 없고 (군 전산망 해킹을 위한) 외부 공격 시도는 없었다”면서 “우리 군은 이번 민간 전산망 마비와 관련한 원인을 확인하기 위해 관계기관과 적극 협조할 것”이라고 말했다. 정부 행정기관과 지방자치단체의 통신망에서는 현재까지 이상이 발견되지 않았다. 행정안전부는 정부통합전산센터를 통해 정부 기관의 이상 여부를 파악하는 한편 관련 부처와 원인을 파악하고 정보보호 대책을 강구하는 등 비상근무 체제에 들어갔다. 소방방재청 등 재난안전 대책 기관들도 외부 일정을 취소하고 상황을 주시하고 있다. 오일만 기자 oilman@seoul.co.kr 안석 기자 ccto@seoul.co.kr 하종훈 기자 artg@seoul.co.kr

KBS와 MBC, YTN, 농협과 신한은행 등 국내 주요 방송사와 금융사들의 전산망이 20일 오후 일제히 마비됐다. 경찰은 동시다발적으로 비슷한 기관에서 전산망이 마비된 만큼 사이버 테러일 가능성이 큰 것으로 보고 수사에 착수했다. 방송통신위원회는 “사이버 위협 합동대응팀이 채증한 악성코드를 분석한 결과 업데이트관리서버(PMS)를 통해 악성코드가 유포된 것으로 추정된다”고 말했다. 방송업계와 금융권 등에 따르면 이날 오후 2시~2시 20분쯤 KBS·MBC·YTN과 신한·농협·제주은행, NH생명보험과 NH손해보험 등의 전산망에서 장애가 발생했다. KBS 관계자는 “오후 2시쯤부터 본사 사옥 내 컴퓨터 수백대의 전원이 일제히 꺼졌고 재부팅을 시도하자 ‘부팅 파일이 삭제됐다’는 메시지와 함께 부팅이 되지 않았다”고 말했다. MBC 관계자는 “오후 2시 10분쯤 화면이 갑자기 검게 변하더니 컴퓨터가 작동을 멈췄다. 다시 부팅하려 해도 되지 않았다”고 전했다. YTN도 비슷한 시간대부터 전산 장애를 겪었다. 방송사들은 전산망이 접속되지 않아 기사 송고 등에 차질을 빚은 것으로 알려졌다. 금융권도 전산 장애가 일어나 영업점 창구 업무와 현금자동입출금기(ATM), 인터넷·스마트 뱅킹 이용 등에 차질이 빚어졌다. 농협 관계자는 “오후 2시쯤 일부 직원의 개인 컴퓨터 화면이 까맣게 변했으나 본사 메인 서버가 공격당한 것은 아닌 것으로 파악하고 있다. 오후 2시 15분 전 영업점의 랜선을 뽑도록 한 뒤 오후 3시 50분쯤 업무를 재개했다”고 말했다. 신한은행은 오후 4시쯤 전산망이 복구됐다. 경찰청 사이버테러대응센터에는 오후 2시 20분을 기점으로 전산망 장애 신고가 일제히 접수됐다. 경찰 관계자는 “경찰청과 서울경찰청 사이버센터 수사관 4명을 1개조로 각 회사에 보내 상황을 파악 중”이라면서 “로그 기록을 봐야 하기 때문에 북한의 사이버 테러 여부를 단정할 수는 없다”고 말했다. 국가정보통신망과 군 전산망에는 이상이 없는 것으로 파악됐다. 정부는 이날 방통위, 행전안전부, 국방부, 국가정보원 등 10개 부처 담당관이 참석한 가운데 사이버위기 평가회의를 개최하고 사이버 위기 ‘주의’ 경보를 발령한 뒤 조사에 착수했다. 국방부는 김관진 장관 주재로 민간 전산망 마비 상황에 대한 평가회의를 갖고 오후 3시 10분부터 정보작전 방호태세(INFOCON)를 4단계(증가한 군사경계)에서 3단계(향상된 준비태세)로 격상했다. 한편 박근혜 대통령은 오후 김장수 국가안보실장 내정자로부터 관련 상황을 실시간으로 보고받고 대응을 지시했다. 김행 청와대 대변인은 “박 대통령은 ‘우선 조속히 복구부터 하라. 그리고 원인을 철저하게 파악해 대책을 강구하라’고 지시했다”고 전했다. 배경헌 기자 baenim@seoul.co.kr 김경두 기자 golders@seoul.co.kr

20일 주요 방송사(KBS, MBC, YTN)와 금융권(농협, 신한은행)의 전산망 마비 사태는 ‘악성코드에 의한 해킹’ 때문에 발생한 것으로 밝혀졌다. 정부 사이버 위협 합동대응팀이 피해 기업에서 채증한 악성코드를 분석한 결과 악성코드는 업데이트 관리서버(PMS)를 통해 유포됐으며 PC 부팅영역(MBR)을 파괴시킨 것으로 드러나고 있다. 악성코드의 유포 경로가 유명 백신업체 두 곳의 업데이트 서버일 가능성이 제기된 가운데 유포 경로로 지목된 한 업체가 이번에 발견된 악성코드가 자사의 백신 프로그램의 구성모듈 파일로 위장한 사실을 인정했다. 보안전문업체 하우리는 “자사의 백신 프로그램 ‘바이로봇’의 구성모듈 파일인 ‘othdown.exe’로 위장한 악성코드가 특정 언론사와 금융기관에 침투했다”며 “악성코드가 침투한 뒤 하위 클라이언트 사용자까지 내려가 실행돼 전산망 마비를 일으켰다”고 설명했다. 하우리는 파괴된 정보를 복구하는 것은 불가능할 것으로 진단했다. 하지만 누가 어떤 이유로 해킹 공격을 감행했는지에 대해서는 밝혀지지 않았다. 이 때문에 ‘북한 해킹설’에서부터 ‘제3국 소행설’까지 다양한 추측이 나오고 있다. 특히 북한에서 지난 13일 원인 모를 행정망 마비 사태가 발생한 것과 무관치 않다는 지적도 있다. 피해 기업들에 통신망을 제공하고 있는 KT, SK브로드밴드, LG유플러스 등 통신사들의 자체 네트워크는 이상 징후가 감지되지 않았다. 과거 북한이 국내 주요 기관에 감행한 디도스 공격은 일부 컴퓨터를 좀비 PC로 확보한 뒤 다른 컴퓨터에 명령을 내려 특정 사이트를 다운시켰다. 그러나 이날 발생한 전산망 마비는 사이트는 운영되면서 은행 거래를 위한 내부 전산망만 다운됐거나 PC 부팅이 안 되는 등 디도스 공격과는 다른 양상을 보이고 있다. 이동통신 관계자는 “네트워크 트래픽에 이상 징후가 없다”며 “일부 홈페이지에 해골 모양이 뜨는 등 해킹이 의심된다”고 말했다. 전문가들은 이번 전산망 마비 사태는 고도의 해킹 기술을 가진 해커의 소행으로 보고 있다. 이상진 고려대 사이버국방학과 교수는 “별개의 조직이 동시에 다운되는 건 사이버 테러가 아니고서는 있을 수 없는 일”이라며 “특정기관의 취약점을 찾아 핵심 시스템을 공격하는 지능형 지속해킹(APT)이라는 최신 해킹수법을 계획적으로 쓴 것으로 보인다”고 말했다. 일부에서는 해킹 공격을 감행한 것이 북한일 가능성도 조심스럽게 제기한다. 북한은 그동안 여러 차례에 걸쳐 ‘특별행동’, ‘조준타격’ 등의 단어를 사용하며 한국 언론의 보도 행태를 비판한 바 있다. 지난해 4월과 6월 두 차례에 걸쳐 동아일보와 KBS, MBC, YTN, 조선일보, 중앙일보 등에 대해 ‘특별행동’을 하겠다고 위협했다. 이정남 동국대 국제정보대학원 겸임교수는 “대한민국 시스템을 마비시키기 위해 은행과 방송국을 공격한 사이버 테러일 가능성이 크다”면서 “북한 소행일 가능성이 크지만 다른 나라에서 우리나라 사이버 상황을 체크하기 위해 시범적으로 해본 것일 수도 있다”고 말했다. 해킹 공격을 자처하는 ‘후이즈’(Whois)라는 단체도 나왔다. 이들은 해킹 화면에서 이마에 총상 흔적이 있는 해골 그림과 함께 “후이즈 팀에 해킹당했다”는 문구를 적시했다. 한편 사이버 위협 합동대응팀은 감염된 PC와 감염되지 않은 PC를 수거해 분석하고 있다. 이승원 방송통신위원회 네트워크정보보호팀장은 “조만간 분석을 마친 뒤 백신을 최우선으로 배포할 것”이라며 “백신은 보통 (악성코드 공격) 다음 날 나온다”고 말했다. 홍혜정 기자 jukebox@seoul.co.kr 배경헌 기자 baenim@seoul.co.kr [용어 클릭] ■악성코드 악성 프로그램 또는 비바이러스 악성코드. 컴퓨터 바이러스와 달리 다른 파일을 감염시키지는 않지만 악의적인 용도로 사용될 수 있다. 트로이목마, 스파이웨어, 해킹툴, 악성 자바스크립트 등이 있다. ■DDoS(Distributed Denial of Service) 다수의 PC를 이용, 특정 사이트에 대량의 트래픽을 전송함으로써 시스템상에 과부하를 유발시켜 정상적인 서비스를 방해하는 사이버 공격을 말한다.

대규모 해킹으로 주요 언론사와 금융기관의 전산망이 마비되는 사태가 또다시 발생했다. 어제 오후 KBS와 MBC, YTN 등 주요 방송사와 신한은행, 농협 등 일부 금융기관의 전산망이 동시다발적으로 마비됐다. 섣부른 예단은 금물이지만, 국방부와 정보당국은 북한의 사이버테러 가능성도 배제하지 않고 있다고 밝혔다. 경찰청 사이버테러대응센터의 수사에 따라 진상이 드러나겠지만, 정부는 안보 차원에서 다각적 대비책을 세우기 바란다. 전산망 다운사태는 이날 오후 2시부터 시작됐다. 은행들과 고객들은 전산장애로 인한 창구 업무와 인터넷뱅킹, 현금자동입출금기(CD·ATM) 이용의 지연으로 불편을 겪었다. 다행히 국가정보통신망에는 이상이 없는 것으로 알려졌다. 최근 들어 대규모 사이버테러가 빈발했다. 2009년 감행한 디도스 공격으로 청와대·국회 등 국가기관이 피해를 입은 데 이어, 2011년엔 농협 전산망이 해킹을 당하기도 했다. 지난해 6월엔 중앙일보 홈페이지 해킹 사건도 발생했다. 당국은 농협 전산망 공격 등의 근원지로 북한을 지목했었다. 사이버테러의 양상도 GPS(인공위성위치정보) 교란을 비롯해 디도스 공격, 전산망 해킹 등 가히 무차별적이었다. 국가정보원은 지난해 3분기에 국가기관에 대한 사이버 침해사고가 월평균 540여건으로, 전분기에 비해 20% 이상 늘었다고 밝혔다. 이번 사태도 그동안 사이버 공격의 근원지로 지목된 북한의 소행일 가능성을 배제할 수 없다. 북한은 최근 “우리를 건드리는 자는 상상 밖의 무자비한 징벌을 면치 못할 것”이라며 ‘우리식 타격방식’을 호언해온 터여서 의구심을 더한다. 북한의 사이버테러 수준은 정찰총국 산하에 3000여명의 사이버 인력을 운영하는 등 미 중앙정보국(CIA)에 필적하는 것으로 전해진다. 사이버테러는 단기간에 큰 피해를 입히고 사회적 대혼란을 야기한다. 원전이나 교통·통신 등 국가기간시설이 해킹을 당하면 국민의 안녕을 지키는 인프라가 통째로 마비된다는 점에서 철저한 사전 대비가 필요하다. 당국은 이번 사태의 배후와 공격 루트를 철저히 파악해 향후 사이버테러에 대한 만반의 대응체제를 갖춰야 할 것이다.

CNN은 20일 긴급 뉴스로 한국의 방송사와 금융사의 전산망 마비 사태를 신속하게 전하면서 “해커들의 공격”으로 추정된다고 보도했다. 방송은 또 “2011년과 지난해 은행·언론사 등의 전산망 마비 사태가 결국 북한의 소행으로 알려진 바 있다”면서 은행 등 주요 전산망의 마비가 한국에 상당한 피해를 주고 있다고 지적했다. AP통신도 “북한에 의한 사이버 테러일 가능성이 높다는 관측이 있다”고 보도했다. 통신은 이어 “한국의 이번 전산망 마비는 북한이 최근 한국과 미국이 평양의 전산망 마비를 일으킨 사이버 테러를 주도했다고 비난한 이후 이뤄진 것”이라고 지적했다. 국제위기감시기구 동북아 프로젝트의 대니얼 핑크스턴 박사도 영국 일간 가디언을 통해 한국의 전산망 마비 시점이 “흥미롭다”면서 북한의 해킹 기술 개발에 우려가 크다고 지적했다. AFP통신은 “북한은 2009년과 2011년 한국 정부·금융기관 마비를 초래했던 사이버 테러의 배후였던 것으로 알려졌다”며 이번 전산망 마비도 북한의 사이버 공격일 가능성을 제기했다. 일본 NHK도 북한에 의한 사이버 테러 가능성을 배제할 수 없다는 견해를 소개했다. 도쿄 이종락 특파원 jrlee@seoul.co.kr 서울 김미경 기자 chaplin7@seoul.co.kr

한·미 양국 군이 11일부터 ‘키 리졸브’ 연습에 돌입하면서 한반도를 둘러싼 긴장이 최고조에 달하고 있다. 북한은 ‘맞불’ 성격으로 강원도 원산 일대에서 육해공군이 참가하는 대규모 국가급 훈련을 실시할 것으로 관측돼 도발 위협이 현실화되고 있다. 군 당국은 북한의 특히 예측하기 어려운 ‘치고 빠지는’ 식의 기습적 도발 가능성에 주목하고 있다. 우리 군 합동참모본부 주관으로 오는 21일까지 진행되는 ‘키 리졸브’ 연습은 유사시 한반도에 미군의 증원군과 물자를 신속하게 배치하기 위한 훈련이다. 하지만 북한은 1994년부터 실시했던 이 훈련을 비난하며 정전협정 백지화와 남북한 간 불가침에 관한 합의 및 한반도 비핵화 공동 선언 파기 등을 선언했다. 북한의 이 같은 위협은 한반도 위기를 최대한 고조시켜 핵 보유국 지위를 인정받고 미국과 직접 대화를 시도해 보겠다는 의도로 풀이된다. 군 관계자는 10일 “북한이 정전협정 백지화를 주장한 것은 정전협정에 위배되는 도발도 할 수 있다는 위협으로 판문점과 비무장지대(DMZ) 내에 1~2개 중대 병력과 중화기를 반입해 무력 시위를 벌일 수 있다”면서 “사이버 테러나 후방 지역의 국가 중요 시설 테러, 서해 북방한계선(NLL)과 군사분계선(MDL), 비무장지대에서의 기습 등 모든 가능성을 고려하고 있다”고 말했다. 군의 다른 관계자는 “북한군 총참모장 현영철이 지난 9일 오후 6시쯤 판문점 통일각과 남측 감시용 철탑 등을 30여분간 시찰했다”면서 “판문점과 DMZ에서의 도발과 관련해 모종의 지침을 내렸을 가능성에 주목하고 있다”고 말했다. 하지만 전문가들은 대체로 북한의 도발 가능성은 키 리졸브 연습이 끝나는 21일 이후에나 가시화될 것으로 전망한다. 북한이 한·미 연합 훈련과 유엔의 대북 제재에 맞서 위협으로 대응한 것은 처음이 아니다. 다만 북한의 최근 강경한 태도는 시기적으로 두 사안이 겹친 데다 지난해 12월 북한의 장거리 로켓 발사 때부터 3개월간 유엔안보리 제재와 3차 핵실험, 이에 따른 안보리의 거듭된 제재 등에 따른 반발이 증폭되고 있기 때문으로 보인다. 이에 따라 2010년 연평도 포격 도발처럼 실제 인명을 살상할 수준의 도발 가능성은 현 국제사회의 제재 국면을 고려할 때 쉽지 않을 것이란 전망이다. 홍현익 세종연구소 수석연구위원은 “북한이 수십일간 협박을 최고조로 이어 왔기에 마지막으로 ‘전시 상태’임을 선포할 수 있으나 이제는 더 협박할 게 없는 상황”이라면서 “키 리졸브 연습 종료 시점인 21일 이후 우리의 대응 태세가 다소 해이해졌을 때를 골라 사이버 테러 등을 시도할 수 있다”고 말했다. 김용현 동국대 북한학과 교수는 “한·미 군사훈련이 끝난 후 단거리 미사일을 서해 북방한계선 우리 수역으로 발사하는 등 저강도 무력 시위를 벌일 가능성은 있다”고 설명했다. 하종훈 기자 artg@seoul.co.kr

공무원이 옛 여자친구의 전화번호를 알아내기 위해 주민등록정보를 열람하는 등 공공기관의 개인정보관리가 엉망인 것으로 드러났다. 감사원은 6일 ‘공공기관 정보보호 및 사이버안전관리 실태’ 감사 결과를 공개했다. 감사 결과 경기 김포시 주민센터 직원 A씨는 지난해 전입신고 업무를 담당하며 옛 여자친구나 좋아하는 여직원 등의 연락처를 알아내려고 36명의 주민등록정보를 57차례나 무단 열람하거나 다른 사람에게 넘겼다. 이에 감사원은 A씨에 대한 징계를 요구했다. 경기 성남시 주민센터 직원 B씨도 사회복지 업무 등을 담당하며 자신의 주민등록관리시스템 ID와 비밀번호를 장애인 행정 도우미 C씨에게 알려줬고, C씨는 학교 동창 등의 연락처를 알아내기 위해 87명의 주민등록을 133차례나 열람했다. 감사원은 “69개 시·군·구의 주민등록관리시스템 이용 현황을 감사한 결과 568만 1498건의 주민등록 열람 건수 가운데 27.4%(155만 7919건)의 열람 용도가 명확하지 않았다”고 지적했다. 사회복지 급여·서비스 지원 대상자의 자격과 이력 정보를 관리하는 사회복지통합관리망 관리도 허술했다. 감사원은 12개 지방자치단체 공무원 5명이 자신의 사용자 계정과 공인인증서를 다른 공무원, 자활근로자 등 99명과 공유한 사실을 적발했다. 자연 재해나 사이버 테러 등으로 전산시스템이 마비될 때를 대비한 재해복구시스템(DRS)도 허점이 많았다. 지식경제부의 우편포털 등 4개 업무에는 DRS가 구축되지도 않았고, 경찰청의 전자수사 등 6개 업무에서는 DRS가 제대로 작동하지 않았다. 황수정 기자 sjh@seoul.co.kr