러시아뿐 아니라 북한도 지난해 미국 대선 기간 중 힐러리 클린턴 민주당 후보 캠프를 해킹했다는 정황이 드러났다. 북한과 러시아의 연관성은 밝혀지지 않았다. 미 인터넷매체 사이버스쿠프는 1일(현지시간) 전직 정부 관계자를 인용, 북한 정찰총국이 지난해 클린턴 후보 캠프에 해킹을 시도했다고 전했다. 이 매체는 북한이 당시 캠프 내부 서버·이메일 계정을 뚫지는 못했지만, 외곽 자문그룹 이메일 계정을 해킹하는 데 성공했다고 밝혔다. 북한은 특히 워싱턴DC에서 활동하는 최소 1개 이상 싱크탱크 직원의 이메일을 해킹한 것으로 알려졌다. 북한 해커는 클린턴 캠프 고위 관계자가 사용하는 이메일 계정과 비슷한 계정으로 자문그룹 역할을 하는 싱크탱크에 피싱을 시도했다고 이 매체는 주장했다. 또 클린턴 캠프는 지난 2월 북한의 해킹 시도를 감지하고, 사이버 보안 등을 강화했다고 덧붙였다. 워싱턴 한준규 특파원 hihi@seoul.co.kr

인터넷방송 아프리카tv 진행자들의 방송 전 대기 모습이 담긴 영상들이 유출됐다.22일 JTBC는 아프리카TV 여성 진행자가 옷을 갈아입거나 옷매무새를 고치는 등 방송 전 진행자(BJ)들의 일상생활이 담긴 장면이 유출됐다고 보도했다. 해킹 사이트 회원들은 아프리카TV 서버에 드나들 수 있는 관리자 코드를 공유하며 해당 영상들을 녹화한 것으로 알려졌다. 대기실 영상은 해당 BJ만 비밀번호를 입력해야 접근할 수 있다. 일부 영상들은 중국 성인사이트에도 올라간 것으로 전해졌다. 이와 관련 아프리카TV 관계자는 와의 인터뷰에서 “시스템이 해킹된 적은 없다. BJ들이 비밀번호 관리를 잘할 필요가 있다”고 해명했다. 온라인뉴스부 iseoul@seoul.co.kr

　미국과 유럽, 한국 등 전 세계 전산망을 동시다발적으로 강타한 악성코드 랜섬웨어의 위협이 일상화될 가능성이 있다고 전문가들이 경고했다. 랜섬웨어가 날이 갈수록 더 교묘하게 진화하고 있다는 분석도 나왔다. 　뉴욕타임스(NYT)는 28일(현지시간) 전문가들의 말을 인용해 “전날 러시아와 유럽, 아시아 등지를 공격한 랜섬웨어는 지난달 창궐한 ‘워너크라이’보다는 덜 치명적인 것으로 파악됐다”면서도 “전 세계 해커들이 각국 정부 기관의 취약한 인프라에 눈독을 들이고 있어 유사한 공격이 정기적으로 일어날 가능성에 대비해야 한다”고 전했다. 　랜섬웨어의 일종인 ‘페티야’ 또는 페티야의 변종 ‘골든아이’로 추정되는 이번 악성코드의 공격에 대해 유럽연합(EU) 경찰기구 유로폴의 랍 웨인라이트 국장은 “워너크라이와 뚜렷한 유사성이 있지만, 더 정교한 공격 능력을 갖추고 있는 것으로 드러났다”면서 “사이버범죄가 어떻게 진화하는지를 보여주는 것”이라고 설명했다. 페티야 또는 골든아이는 스스로 확산을 멈추는 프로그램인 ‘킬 스위치’가 없는 것으로 알려져 있다. 　사이버 보안회사 시만텍의 개빈 오 고먼 애널리스트는 “이번 공격은 워너크라이에서 영감을 받은 것이 확실하다. 앞으로 이런 유형의 공격이 더 자주 발생할 것”이라고 전망했다. 하지만 PGI 사이버의 브라이언 로드는 “이들의 목적이 단지 돈을 노린 것이 아니라 더 많은 정부 기관의 파괴일 수도 있다”고 말했다. 　NYT는 돈을 목적으로 했건 파괴를 목적으로 했건, 유사한 범죄가 잇따를 것이라는 데는 전문가들의 견해가 일치한다면서, 이를 방지할 대책 마련이 필요하다고 지적했다. 　랜섬웨어는 서버를 해킹해 모든 데이터를 암호화해 열 수 없게 만들고 이를 복구해주는 대가로 돈을 요구하는 악성코드다. 랜섬웨어의 일종인 워너크라이가 150여개국에서 30만대 이상의 컴퓨터를 감염시키면서 악명이 높아졌다. 　강신 기자 xin@seoul.co.kr

러시아와 우크라이나, 덴마크 등의 정부·국영기업·통신사·금융기관 등이 27일(현지시간) 대규모 해킹 공격을 받았다고 연합뉴스가 보도했다. 보도에 따르면 해커들은 컴퓨터 사용자의 파일을 암호화해 기기를 사용할 수 없도록 한 뒤 암호 해독 키를 제공하겠다며 돈을 요구하는 ‘랜섬웨어’(Ransomware) 공격 방식을 이용했다. 이번 공격은 지난달 전세계 150여 개국을 강타, 30만대 이상의 컴퓨터를 감염시킨 ‘워너크라이’(WannaCry) 랜섬웨어 공격에 뒤이은 것이다.이날 러시아 최대 국영석유회사 ‘로스네프티’는 트위터를 통해 서버가 강력한 해킹 공격을 받았다고 알렸다. 공격으로 정지된 컴퓨터 화면에는 “300달러를 송금하면 복구 키를 제공하겠다”는 통지문이 떴다. 로스네프티는 해킹 공격과 관련 사법 기관에 수사를 요청했다고 말했다. 회사 홍보실은 해킹 공격 이후 비상 운영시스템이 가동되면서 원유 채굴과 가공은 차질없이 이루어지고 있다고 설명했다. 뒤이어 러시아 철강 기업 예브라즈도 랜섬웨어 공격을 받은 것으로 알려졌으며, 러시아와 이웃한 우크라이나의 정부 컴퓨터망과 수도 키예프의 지하철·공항 등도 공격받았다. 파벨 로젠코 우크라이나 부총리는 트위터를 통해 “우크라이 정부 내부 컴퓨터 시스템이 해킹 공격을 받았다”고 밝혔다. 우크라이나 중앙은행과 ‘오샤드방크’ 등 일부 국영은행, ‘우크르에네르고’ 등 전력 생산 및 공급 회사, ‘우크르텔레콤’ 등의 통신회사, 미디어 그룹 등도 공격을 받았다. 덴마크의 대형 운송·에너지 그룹 ‘몰러-머스크 그룹’도 해킹 대상이 된 것으로 전해졌다. 러시아 사이버 보안업체 ‘Group-IB’는 지난달 전 세계를 강타한 랜섬웨어 ‘워너크라이’와 유사한 ‘페티아’가 이번 해킹 공격에 이용됐다고 말했다. 온라인뉴스부 iseoul@seoul.co.kr

인구 62% 해당… 정치 견해 포함 미국 전체 인구의 62%에 해당하는 1억 9800만명의 출생지, 주소, 전화번호와 민감한 정치적 견해 등이 담긴 자료가 인터넷에 유출된 것으로 드러나 파문이 일고 있다. 정보기술(IT) 전문업체 기즈모도는 19일(현지시간) “미국 보안업체 ‘업가드’가 지난해 대통령 선거 당시 공화당과 계약을 맺었던 데이터 분석 기업 ‘딥루트 애널리틱스’가 보유한 1.1테러바이트(TB) 규모의 데이터가 의도치 않게 인터넷에 유출된 것을 발견했다”면서 “딥루트가 수십개의 기관을 통해 수집한 이 자료는 미국 전체 인구의 62%에 해당하는 신상자료”라고 전했다. 업가드도 이날 자사 운영 블로그를 통해 “유권자들의 신상 정보가 담긴 이 데이터는 공화당 도널드 트럼프 캠프가 활용했던 정치 데이터와 유권자들의 선호도 등이 담긴 보물 은닉처와도 같다”고 설명했다. 데이터는 아마존 클라우드 서버에 보관돼 있어 아마존 서버에 링크를 갖고 있는 사람이면 누구나 접근할 수 있다고 BBC가 전했다. 유출된 자료에는 개인의 신상기록 외에 종교나 인종, 총기 소유, 낙태, 줄기세포 연구 등에 대한 정치적 견해도 포함된 것으로 나타났다. 딥루트는 여러 상업 기관들을 통해 수집한 자료들을 모아 가능한 한 많은 미국 유권자들에 대한 프로필을 만들려고 했던 것으로 추정된다고 기즈모도는 전했다. 기즈모도는 “이 데이터가 영향력 있는 공화당 정치 조직들에 의해 사용됐음을 의미한다”고 평가했다. 알렉스 런드리 딥루트 창업자는 “이번 유출 건에 대해서는 우리에게 전적인 책임이 있다”면서 “그러나 지금까지 파악된 바로는 시스템이 해킹당한 것은 아니며 더이상 데이터에 접근이 가능하지 않도록 조치했다”고 말했다. 하지만 미국인들이 상업기관에 제공한 개인 정보가 자기도 모르는 사이 특정 정당에 제공되고 특정 정당의 선거 승리를 위해 정치적으로 이용되는 행태가 민주주의의 작동 원리에 위배되는 것 아니냐는 논란은 남는다. 보안 전문가인 댄 오설리번은 “이처럼 엄청난 국가의 데이터베이스가 가장 단순한 보호 장치도 없이 온라인에 오르락내리락할 수 있다는 사실이 심각하게 우려된다”고 지적했다. 하종훈 기자 artg@seoul.co.kr

“해커에 굴복한 나쁜 선례 남겨 한국업체 집중 표적될 것” 비판 “허술한 보안 반성 먼저” 지적 웹호스팅업체 ‘인터넷나야나’가 랜섬웨어 피해를 입은 지 닷새 째인 14일 해커에게 약 13억원어치 비트코인을 지급, 복구를 위한 협상을 타결 지었다고 밝혔다. 해커에게 결국 ‘백기’를 든 셈이다. 이에 대해 미래창조과학부와 보안업계는 “랜섬웨어와 관련된 나쁜 선례가 남게 됐다”고 비판했지만, 일각에서는 “우리의 허술한 보안 의식을 먼저 반성해야 한다”고 지적했다. 랜섬웨어는 서버를 해킹해 데이터를 암호화한 뒤 복구 대가로 금전을 요구하는 악성코드를 말한다. 지난 10일 에레버스(Erebus)란 명칭의 랜섬웨어 공격을 받아 리눅스 서버 300여대 가운데 153대(웹사이트 3400여개) 감염 피해를 입은 인터넷나야나의 황칠홍 대표는 이날 오전 10시 홈페이지에 “해커가 (협상액으로) 50억원을 요구했지만 협상을 통해 18억원까지 진행된 상태”라면서 “제가 백방으로 알아본 현금자산은 4억원으로 18억원이란 큰 돈이 저에게 없다고 해커에게 알렸다”고 공지했다 황 대표의 공지 뒤 한때 인터넷나야나가 해커에게 협상액을 전한 뒤 파산할 것이란 관측이 제기됐다. 하지만 오후쯤 이 회사 지분을 담보로 8억원을 빌렸고, 해커와 약 13억원에 협상이 타결됐다고 황 대표는 다시 알렸다. 황 대표는 “한국인터넷진흥원(KISA)과 경찰청 사이버수사대에서도 다각도로 복호화(복구) 방법에 대해 알아보고 있는 것으로 알고 있다”면서도 “금일(14일) 자정에 해커가 협상금액을 두 배로 올리기로 했고, 시간 내 복구 방법을 찾지 못하고 있다”며 협상에 응할 수밖에 없었던 다급한 사정을 털어놨다. 하지만 송정수 미래부 정보보호정책관은 “원칙적으로 범죄 집단에 돈을 주는 것은 나쁜 선례가 되기 때문에 그렇게 해서는 안 된다”면서 “하지만 피해업체가 해커에게 돈을 주는 것을 (정부가) 나서서 막을 권한이 없는 것도 사실”이라고 말했다. 보안업계 관계자는 “전 세계 해커들에게 한국 웹호스팅 업체가 굴복해 자금을 건넸다는 소식이 빠르게 퍼질 것”이라며 국내 다른 업체들도 표적이 될 것이란 우려를 제기했다.국내 열악한 보안 생태계를 돌아봐야 한다는 자성론도 제기됐다. 한국의 보안 현실을 진단해 비판한 책인 ‘도난당한 패스워드’의 저자인 김인성 IT칼럼니스트는 “가격 경쟁에 떠밀려 보안 비용을 최소화하는 호스팅업체, 보안 책임을 서버 관리하는 기업 대신 PC를 사용하는 개인에게 떠미는 공인인증서 체제를 유지해 온 정부, 옥션·네이트 등 대규모 보안사고에 솜방망이 판결을 내린 사법부의 태도 등이 누적돼 국내 업체들이 랜섬웨어 공격을 받게 된 것”이라고 지적했다. 해커들이 비트코인을 받은 뒤 복구와 관련된 약속을 지킬지도 불투명하다. 복구 약속이 지켜지면 인터넷나야나 측은 다음주 중반까지 순차적으로 웹사이트 복구를 진행할 예정이다. 심상정 정의당 대표, 에이즈예방협회 등이 인터넷나야나 호스팅을 사용했고 이날까지 복구되지 못했다. 이번 협상과 별도로 KISA는 사고 경위 분석을, 경찰 사이버수사대는 해커 파악 작업을 이어 갈 방침이다. 홍희경 기자 saloo@seoul.co.kr 윤수경 기자 yoon@seoul.co.kr

벅스와 한게임 등 NHN엔터테인먼트의 서비스가 21일 내부 전산 설비 문제로 접속 장애를 겪었다. NHN엔터는 내부 기술 문제가 이날 접속 장애의 원인이었고, 외부 디도스 공격이나 해킹은 없었다고 밝혔다. 이날 오후 4시 20분 현재 벅스·페이코·한게임은 서비스가 복구된 상태이며 티켓링크도 곧 문제가 해결될 것이라고 회사 측은 전했다.NHN엔터에 따르면 경기도 판교의 자사 IDC(서버 센터)에서 기술 장애가 발생해 21일 오전 10시 20분부터 벅스(음원)·페이코(간편결제)·티켓링크(티켓예매)·한게임(온라인 게임) 등 4개 서비스에 접속이 되지 않았다. 회사 관계자는 “네트워크 장비의 일종인 ‘스위치’에 생긴 문제로 추정된다. 외부 해킹 이슈는 전혀 없다”고 강조했다. 온라인뉴스부 iseoul@seoul.co.kr

다른 사람의 컴퓨터나 서버에 몰래 침입해 파일들을 잠가두고 “정상으로 돌리려면 비용을 지불하라”며 돈을 뜯어가는 ‘랜섬웨어’ 공격은 악성코드를 활용한 신종 사이버 범죄이긴 하지만 당장 어제오늘 나온 것은 아니었다. 그럼에도 지난 12일 이후 전 세계에서 잇따른 ‘워너크라이’ 피해는 공격의 강도나 동시다발성 등의 측면에서 이전과는 차원이 다른 랜섬웨어 사태로 인식되고 있다.국제 보안 전문가들은 이번 사태를 ‘스팸테크’라는 이름의 해커조직이 벌인 것으로 추정하고 있다. 스팸테크는 워너크라이 피해가 확산되기 시작한 지난 12일 소셜네트워크서비스(SNS)에 자신들의 소행임을 밝힌 바 있다. 보안업계 관계자는 15일 “SNS에 글을 올린 시점이 해당 랜섬웨어가 퍼지기 시작했던 때라는 점을 고려할 때 실제로 스팸테크의 소행일 가능성이 높다”며 “스팸테크는 올 3월에 생겨난 신생 해커 조직으로 출신 국가 등이 아직 알려진 바 없다”고 말했다. 이번 워너크라이 사태로 영국, 러시아 등 150여개국에서 피해가 잇따랐다. 가장 큰 이유는 일반적인 악성코드들과 달리 컴퓨터를 켜기만 해도 감염이 된다는 사실이다. 통상 랜섬웨어는 이메일을 열거나 첨부파일을 실행시켜야 작동된다. 이런 공격이 가능했던 것은 PC 운영체제(OS)로 가장 많이 사용되는 ‘윈도’의 취약점이 해커들에 의해 공개된 탓이 크다. 지난해 ‘섀도브로커’라는 해커 조직은 미국 정보기관인 국가안보국(NSA)을 해킹했다. 이들은 NSA가 사이버 무기로 사용하고 있던 윈도 서버 취약점 공격 도구를 유출시키고 이를 공개했다. 해당 취약점을 이용하면 120초 만에 윈도 서버를 장악할 수 있는 것으로 알려졌는데, 이 때문에 크래커(악성 해커) 집단 등 사이버 범죄자들에게 각광을 받기 시작했다. 이번 워너크라이 랜섬웨어도 윈도 취약점 가운데 ‘서버 메시지 블록’(SMB) 프로토콜을 악용한 것이다. SMB는 컴퓨터에서 파일이나 주변 장치를 공유하는 데 사용되는 기술로, 한 사무실에서 한 대의 PC가 감염되면 같은 네트워크를 쓰는 PC는 모두 감염 대상이 될 수 있다. 감염된 PC는 또다시 다른 장치에 바이러스를 퍼뜨리는 PC가 된다. 하지만 워너크라이 랜섬웨어를 막을 수 있는 보안패치(보완 소프트웨어)는 이미 지난 3월 윈도 제작사인 미국 마이크로소프트에서 배포됐다. 한국인터넷진흥원(KISA) 역시 보안전문사이트 ‘보호나라’를 통해 해당 보안 패치를 설치할 것을 공지한 바 있다. 보안업체 하우리의 최상명 실장은 “현재 해당 취약점에 대한 보안 패치는 이미 나왔으니 반드시 패치를 설치해야 한다”며 “서버 같은 경우는 안전성을 이유로 보안 패치를 늦게 설치하는 경우가 많은데 검토 후 최대한 빨리 패치를 설치할 필요가 있다”고 밝혔다. 보안 전문가들은 당장은 워너크라이 랜섬웨어가 주춤해진 것처럼 보이지만, 280여개에 이르는 변종 공격이 계속되고 있어 안심하기는 이르다고 입을 모은다. 윤수경 기자 yoon@seoul.co.kr

CNN “18개국 금융 기관 해킹” 북핵·미사일 개발에 사용 추정 북한이 지난해 2월 뉴욕 연방준비은행에 개설된 방글라데시 중앙은행 계좌를 해킹했다는 구체적 정황이 드러났다. 러시아 사이버 보안업체 ‘카스퍼스키 랩 ZAO’는 3일(현지시간) 카리브해의 신트마르턴에서 열린 안보콘퍼런스에서 지난해 방글라데시 중앙은행 계좌를 해킹해 8100만 달러(약 900억원)를 부정 인출한 것으로 추정되는 ‘래저러스’(Lazarus)가 북한의 컴퓨터와 연결된 실마리를 찾았다고 발표했다. 래저러스는 보안 전문가가 붙인 이름으로 미국 연방수사국(FBI)은 그동안 레저러스의 북한 연계 가능성을 수사해왔다. ●“北, 래저러스와 연결 우연성 낮아” 이 보안업체 연구진은 래저러스가 해킹에 사용한 유럽의 서버가 지난해 1월 북한 국영 인터넷 서비스 제공업체의 인터넷 주소를 가진 컴퓨터와 자료를 교환한 증거를 발견했다고 월스트리트저널(WSJ)이 전했다. 래저러스 해커들이 해킹에 사용한 서버에 남은 로그 파일(사용 내역)을 삭제하지 않아 해당 서버가 북한 내 컴퓨터와 연결된 적이 있음을 보여주는 기록이 남아 있었다. 해커의 실수 덕분에 증거를 발견했다는 의미다. 카스퍼스키 랩 ZAO의 비탈리 캄룩 연구원은 “북한이 무작위로 접속하다가 우연히 래저러스와 연결됐다고 볼 가능성은 낮다”며 북한과 레저러스가 연계돼 있음을 강조했다. ●“래저러스, 2013년 韓 금융 테러 주도” 래저러스 해커들은 2014년 11월 소니 픽처스 해킹과 2013년 3월 한국 금융·방송사에 대한 3·20 사이버 테러를 주도했다. CNN은 래저러스가 인도, 베트남, 인도네시아, 코스타리카, 말레이시아, 이라크 등 18개국 이상에서 금융 기관을 해킹해왔다고 전했다. 전문가들은 이렇게 훔친 돈 일부가 북한 핵과 미사일 개발 프로그램에 사용됐을 것으로 추정하고 있다. 하종훈 기자 artg@seoul.co.kr

편의점·대형마트 등에 설치된 일부 자동화기기(ATM)가 악성 코드에 감염돼 2500여개의 카드 정보가 유출된 것으로 나타났다. 경찰청과 금융감독원은 청호이지캐쉬가 운영하는 ATM 전산망이 악성 코드에 감염됐다는 사실을 확인하고 조사 중이라고 20일 밝혔다. 해커들은 전산망에 악성 코드를 설치한 뒤 제어(C&C) 서버로 카드 정보와 카드 소유자 개인정보 등을 빼낸 것으로 추정된다. 감염이 우려되는 ATM은 전국 64개이며 여기서 유출된 정보는 복제카드를 만드는 데 이용됐다. 현재까지 중국과 태국의 ATM에서 복제카드로 부정 인출하려던 시도가 있었으며, 대만에서는 300만원이 인출된 것으로 확인됐다. 금감원은 악성 코드에 감염된 ATM 기기를 한 번이라도 이용한 고객 카드 정보를 청호이지캐쉬를 통해 금융회사들에 전달하는 등 수습에 나섰다. 이번 사고로 인한 해외 부정 승인액은 카드사가 전액 보상하기로 했다. 임주형 기자 hermes@seoul.co.kr

평창올림픽 자원봉사 포털 등 공공기관·민간 안 가리고 해킹사드(고고도미사일방어체계) 배치에 대한 보복 차원의 ‘중국발 사이버 공격’이 본격화되고 있다. 이미 수십 개의 국내 인터넷 사이트가 피해를 본 것으로 확인됐다. 해당 사이트 중에는 정부기관을 뜻하는 ‘go.kr’을 주소로 쓰는 곳들도 있어 앞으로 주요 기관 홈페이지 등에 대한 공격이 확산될 것으로 우려된다. 8일 정부와 보안업계 등에 따르면 중국 해커들은 지난달 말부터 공공기관, 민간 기업 등 국내 인터넷 사이트들에 대해 전방위적인 공격을 펼치고 있다. 지금까지 확인된 중국발 해킹 피해 사이트는 평창동계올림픽 자원봉사 포털, 경북 경산시 종합자원봉사센터, 서울시 마을공동체 종합지원센터, 2017 무주 WTF 세계태권도 선수권대회, 교육·화장품 관련 기업 등 30여개에 이른다. 공격하는 방식은 크게 홈페이지 시작 화면을 조작하는 ‘디페이스’(Deface)와 과도한 접속을 일으켜 서버를 마비시키는 ‘디도스’(DDos) 공격 등 두 가지다. 김경곤 고려대 정보보호융합학과 교수는 “해킹은 드러나지 않게 은밀히 정보를 빼내는 것이 일반적인데, 디페이스나 디도스 공격은 상대방에게 협박을 하거나 공포감을 주기 위해 주로 쓰는 공격 수단”이라고 설명했다. 롯데면세점 사이트를 제외하고는 모두 디페이스 공격을 당했다. 중국어나 영어로 사드 한반도 배치에 반대한다는 내용과 롯데그룹 또는 한국 등을 향한 욕설을 남겼다. 한 피해 사이트에는 ‘정치적인 것을 얻으면서 상업적 이익까지 얻으려 하느냐’, ‘두 가지를 모두 얻을 순 없다. 롯데가 이런 간단한 것도 모른다면 중국 국민들이 답을 주겠다’는 메시지가 남겨졌다. 보안당국은 최소 6~7개 중국 해커 그룹이 움직이는 것으로 보고 있다. ‘판다정보국’(PIB), ‘1937cN’과 같은 단일 해커 집단부터 ‘77169’, ‘중국 독수리 연합’과 같은 대규모 해커 커뮤니티 그룹이 공세를 펼치고 있는 것으로 파악됐다. 지난 2일 중국 동영상 사이트 ‘유쿠’에는 중국 해커들이 연합해 “다 같이 한국 사이트를 공격하자”고 부추기는 내용의 영상이 돌기도 했다. 이에 따라 사이버 보안 담당 공공기관인 한국인터넷진흥원(KISA)은 최근 관제 인력을 대폭 늘리고, 비상근무 체제에 들어갔다. KISA는 신고가 들어왔거나 피해가 확인된 사이트에 대해 즉각 대응 조치를 취하고, 후속 피해를 막는 기술 정보를 제공하고 있다. KISA 관계자는 “과거 미군이 해외 중국대사관을 오폭하는 사건이 발생하자 2000년대 초반 중국 해커들이 공동으로 미국 주요 정부 사이트들을 공격하는 사이버 전쟁을 벌인 바 있는데, 우리나라도 비슷한 일을 겪게 될 수 있어 바짝 긴장하고 있다”고 말했다. 윤수경 기자 yoon@seoul.co.kr

우리 군의 사드(고고도미사일방어체계) 배치에 대한 중국 당국의 보복 조치가 노골화하는 가운데 2일 중국 관광당국이 현지 여행사들을 만나 한국행 여행상품을 판매하지 말라고 지시하는 등 정부가 직접 나서는 움직임이 확인됐다. 또 이날 롯데 인터넷면세점에 대한 디도스(분산서비스거부) 공격이 이어졌다.중국의 여행당국인 국가여유국은 이날 베이징 일대 여행사 20곳을 소집해 “온·오프라인을 망라해 한국 여행 상품을 팔지 말라”고 지시했다. 판매금지를 요구한 품목은 단체여행상품뿐 아니라 자유여행 상품과 한국을 경유하는 크루즈 여행까지 포함됐다. 이번 조치로 중국인들의 한국 관광은 개별적으로 항공사를 통해 티켓을 구매해 자유여행을 하는 방법만이 유일해진다. 지난해 말 한국행 단체여행을 20% 축소시킨 데 이어 한국 관광산업에 대한 보복을 노골화한 것이다. 지난해 한국을 찾은 외국인 관광객 1710만명 중 804만명이 중국인이었던 것을 감안하면 우리 관광산업은 큰 타격을 받을 수밖에 없다. 또 이날 롯데면세점 등에 따르면 낮 12시쯤 면세점 홈페이지가 중국 현지 인터넷프로토콜(IP)을 이용한 디도스 공격을 받아 한국어와 중국어, 일본어, 영어 온라인 홈페이지와 모바일 페이지 접속이 3시간가량 마비되는 사태가 벌어졌다. 디도스 공격은 한꺼번에 수많은 컴퓨터가 특정 웹사이트에 접속해 해당 사이트의 서버를 마비시키는 해킹 방법이다. 롯데 인터넷면세점은 한국어·중국어·일본어·영어 등 4개 국어 웹사이트로 운영되는데 이 4개 웹사이트가 동시에 공격받아 마비되기는 처음이라고 롯데 관계자가 전했다. 롯데 면세점 홈페이지는 전날인 1일 오후 8시쯤에도 중국어 홈페이지에 최초 공격이 감지돼 일시적인 접속 장애가 발생한 것으로 알려졌다. 지난해 롯데면세점 전체 매출이 약 6조원이고, 인터넷 매출 비중이 24%임을 감안하면 이날만 약 5억원의 손실을 본 셈이다. 경찰은 수사에 착수했다. 경찰 관계자는 “공격 근원지가 어디인지 수사로 확인해야 한다”며 “수법과 접속 기록 등을 분석해 역추적해야 하는 만큼 다소 시간이 걸릴 것”이라고 말했다. 이와 관련, 중국 외교부는 “모든 형식의 해킹에 반대한다”는 입장을 내놨다. 겅솽(耿爽) 중국 외교부 대변인은 이날 정례 브리핑에서 ‘롯데면세점 홈페이지 마비가 중국의 해킹 가능성이 있는 것으로 보인다’는 질문에 “관련 보도를 들었고, 우리는 여러 차례 강조했듯 모든 형식의 해킹에 반대한다”고 말했다. 겅 대변인은 이어 “롯데 측의 추측에 대해선 평가하지 않겠으며 다만 구체적으로 아직 어떤 원인인지에 대한 정확한 설명이 없고 다만 당신들의 추측”이라면서 “외국 기업의 중국 경영은 반드시 법과 규정에 따라 진행해야 한다”고 강조했다. 중국은 지난달 말 롯데가 성주골프장을 사드 부지로 제공한 뒤 지난 1일 롯데가 중국에서 운영하는 유통시설에 대해 위생·안전 점검(6건), 소방 점검(4건), 시설 조사(7건) 등을 진행했다. 일부 식품 계열사는 중국 내 온라인 쇼핑몰의 재입점 심사에서 ‘탈락’했고 ‘롯데 중국 철수’ 문구가 붙은 자동차를 유통사 매장 입구에 주차해 놓는 사례도 있었다. 롯데는 중국에 약 120개 점포(백화점 5개·마트 99개·슈퍼 16개)를 운영 중이다. 현재 수천억원의 적자를 내고 있는 상태로 불매운동과 규제가 계속될 경우 중국 사업 철수를 고민해야 하는 상황이다. 또 중국 국가질량감독검험검역총국(질검총국)은 이날 홈페이지를 통해 지난 1월에 불합격 처리된 수입 식품·화장품 목록을 발표했는데 403개의 불합격 판정 제품 중에 한국 제품이 9건(식품 6건, 화장품 3건)이었다. 화장품은 모두 아모레퍼시픽 제품이었다. 구체적으로는 라네즈 화이트플러스리뉴 스킨리파이너, 라네즈 워터뱅크 미네랄미스트(피부 보호), 라네즈 워터뱅크 미네랄미스트(수분 보호) 등으로 703㎏이 폐기 처분됐다. 불합격 원인은 황색포도상구균 검출이다. 식품의약품안전처는 이와 관련, “이번에 폐기된 제품은 지난해 4월, 10월 두 차례 통관에 걸린 제품으로 품질 문제에 의한 폐기”라면서 “사드 보복으로 보기엔 무리가 있다”고 밝혔다. 다만 식약처는 중국이 예전보다 통관 검사를 꼼꼼히 하고 담당 공무원을 만나기도 쉽지 않다며 달라진 분위기를 전했다. 라네즈 불합격 판정이 사드 보복과 직접적인 연관성은 없지만 악용될 소지는 많다. 오래전에 불합격 판정을 받은 제품을 이제서야 공개하고 한국의 대표 화장품 브랜드의 불합격 판정 사실을 중국 언론이 보도하고 있기 때문이다. 한편 사드 부지를 제공한 롯데 불매 운동은 더욱 확산되고 있다. 연간 매출 10억 위안(약 1700억원)의 과자 업체 웨이룽은 이날 웨이보를 통해 롯데마트에서 제품을 빼기 시작했다고 발표하며 롯데마트 매장 내 텅 빈 웨이룽 코너 사진을 올렸다. 공산주의청년단(공청단)은 일부 시민이 베이징 롯데마트 매장 앞에서 손님에게 “앞으로 계속 여기에 올 것이냐”고 묻는 동영상을 올렸다. ‘사드 반대’, ‘한국 제품 불매’, ‘롯데 제재’ 등의 손팻말을 든 시위자가 칭다오 한국총영사관 앞에서 시위하는 사진이 웨이보에서 빠르게 퍼져 나갔다. 성주 사드 기지에 대한 ‘외과수술식 타격’ 주장도 나왔다. 중국의 예비역 소장인 뤄위안(羅援) 군사과학원 국가고급학술위원회 위원은 환구시보에 ‘사드 10책’이라는 글을 발표했다. 그는 이 글에서 “롯데 골프장에 배치되는 사드 진지를 중국에 군사적 위협이 되는 고위험 지구로 선포하고 필요하면 외과수술식 타격을 가해 마비 상태로 만들어야 한다”고 주장했다. 베이징 이창구 특파원 window2@seoul.co.kr 세종 강주리 기자 jurik@seoul.co.kr 서울 이민영 기자 min@seoul.co.kr 서울 김희리 기자 hitit@seoul.co.kr

롯데면세점의 한국어, 중국어 등 모든 언어로 된 홈페이지가 2일 낮부터 해킹 공격으로 마비돼돼 큰 손해가 예상된다. 롯데면세점은 중국 관광객들이 가장 즐겨 찾는 곳 가운데 하나다. 롯데의 고고도 미사일 방어체계(THAAD·사드) 부지 제공에 반발하는 중국 측의 표적 보복 가능성이 제기되고 있다. 2일 롯데 등에 따르면 낮 12시쯤 이후 롯데면세점의 한국어, 중국어는 물론 일본어, 영어 홈페이지와 모바일(모바일 인터넷·앱 모두) 서비스가 모두 다운됐다. 롯데면세점 관계자는 “‘디도스(DDoS·분산서비스거부)’ 공격 가능성이 유력하며, 현재 정확한 원인을 해당 팀에서 분석하고 있다”고 전했다. 디도스 공격은 한꺼번에 수많은 컴퓨터가 특정 웹사이트에 접속함으로써 비정상적으로 트래픽을 늘려 해당 사이트의 서버를 마비시키는 해킹 방법이다. 롯데면세점의 디도스 공격과는 관련성이 확인되지 않았지만 중국군 지난해 1월부터 사이버 전쟁을 전담하는 사이버공간작전부대를 운용하고 있다. 월스트리트저널은 여기에 해커 10만명 등이 세계 인터넷과 통신을 감천하고 해킹 분석하는 작업을 한다고 보도한 바 있다. 롯데면세점은 이들 4개 언어로 홈페이지를 운영하는데, 4개 페이지를 통한 인터넷 면세점의 하루 매출은 약 40억원에 이르는 것으로 추정된다. 지난해 기준 롯데면세점 전체 매출이 약 6조원이고, 인터넷 매출 비중이 24%인만큼 이를 바탕으로 계산한 결과다. 앞으로 복구에 소요되는 시간에 따라 롯데면세점으로서는 수 십억, 수 백억원의 손해가 불가피하다. 앞서 사드 부지 계약이 마무리된 지난달 28일 당일부터 롯데그룹의 중국 홈페이지(http:www.lotte.cn)도 다운돼 지금까지 접속이 불가능한 상태다. 이슬기 기자 seulgi@seoul.co.kr

아시아나항공 홈페이지 해킹 당시 도메인 네임 서버(DNS)가 정체불명의 서버로 변경됐던 것으로 확인됐다. 도메인 관리업체 후이즈는 20일 자체 조사 중 아시아나항공 홈페이지의 도메인 네임 서버인 ‘NS01.ASIANAIDT.COM’이 등록자나 관리 주체를 확인할 수 없는 네임 서버로 바뀐 사실을 확인했다고 밝혔다. 후이즈에 따르면 해킹 조직은 도메인 서버 자체를 해킹하는 대신 도메인 등록정보에 접근해 변조했을 가능성이 크다. 통상 이런 방식의 공격은 대부분 차단되지만, 이번 공격 당시에는 아시아나항공의 DNS에 보안상 취약점이 존재했던 것으로 보인다. 후이즈는 “도메인 등록업체의 관리 시스템이 해킹됐을 수 있고, 도메인 관리자의 계정이나 이메일이 해킹됐을 수 있어 정확한 해킹 경로는 수사기관이 좀 더 조사해봐야 한다”고 설명했다. 아시아나항공도 “홈페이지가 직접 해킹당한 것이 아니라 DNS를 관리하는 외주 웹호스팅 업체가 공격을 받아 문제가 발생했다”면서 “개인정보는 유출되지 않았다”고 전했다. 한국인터넷진흥원(KISA)과 경찰은 정확한 해킹 원인을 조사하고 있다. 아시아나항공 공식 홈페이지는 20일 오전 4시 35분쯤 해킹 공격을 받아 6시간 30분가량 접속 장애가 발생했다. 오전 11시 복구된 것으로 전해졌다. 온라인뉴스부 iseoul@seoul.co.kr

18일 밤 방송되는 SBS ‘그것이 알고싶다’에서는 2015년 7월 경기 용인시 야산에서 40대 남성이 자신의 차량 운전석에서 숨진 채 발견된 사건을 파헤친다. 이날 방송은 ‘작전; 설계된 게임-5163부대의 위험한 충성’이라는 주제로 전파를 탄다. ‘그것이 알고싶다’ 제작진에 따르면 당시 숨진 남성은 인근에 거주하고 있던 임씨였다. 차량문은 잠기지 않은 채로 닫혀 있었고 연기가 자욱한 차량 안에는 두 개의 번개탄, 그리고 유서 세 장이 남겨져 있었다. 가족 앞으로 남긴 두 장의 유서, 그리고 ‘원장님, 차장님, 국장님께’로 시작되는 유서 한 장. 여기에는 의미심장한 내용이 담겨져 있었다. 임씨의 유서 중에는 “정말 내국인에 대한, 선거에 대한 사찰은 전혀 없었습니다. 혹시나 대테러, 대북 공작활동에 오해를 일으킬 지원했던 자료를 삭제했습니다”라는 내용이 있었다. 숨진 채 발견된 임씨는 국정원의 팀장급 간부였다. 당시 ‘해킹팀 유출사건’의 중심에 있었다. 이탈리아 해킹 프로그램 판매업체 ‘해킹팀(Hacking Team)’이 누군가로부터 해킹을 당해 고객 명단이 모두 노출됐는데, 그 중 한국의 ‘5163부대’가 해당 프로그램을 구입한 사실이 드러났고, 추후 이 ‘5163부대’는 국정원의 대외용 명칭이었음이 밝혀졌다. 유출된 자료가 하나, 둘 분석되면서 국정원이 해킹프로그램을 통해 민간인을 사찰하고 선거에 개입한 것이 아니냐는 의혹이 한창 불거졌을 때, 책임자였던 국정원 직원 임씨가 갑작스럽게 사망한 것이다. 그의 죽음으로 국정원의 해킹 논란 대신, 임씨의 죽음에 대한 의혹들이 무성해지기 시작했다. 공정식 한국심리과학센터 교수는 “언어분석 기법 기준에 의하면 이거는 가짜 결백 유서에 해당해요. 이 유서에는 자살할 만한 분노가 없어요”라고 말했다. 결백하다던 임씨가 죽음을 통해 묻으려 했던 진실은 무엇이었을까? 국정원은 그 진실에 대한 명확한 답을 내놓지 않았다. 그러나 임씨의 유서와 해킹팀의 유출 자료를 통해 드러난 조그마한 진실의 조각들은 ‘선거’를 향해 맞추어지고 있었다. 우리에겐 국정원과 선거에 얽힌, 믿고 싶지 않은 추억이 하나 있었기 때문이다. 18대 대선을 며칠 앞두고 국정원 직원의 선거개입 의혹을 불러일으킨 ‘국정원 댓글 사건’이 터졌다. 제작진에 따르면 어쩌면 대선에도 큰 영향을 미칠 수 있는 사건이었지만, 축소·은폐된 수사 속에서 제대로 진상이 밝혀지지 않은 채 18대 대통령 선거가 치러졌다. 선거가 끝난 후 가려져있던 증거들이 드러나기 시작했고, 결국 국정원이 조직적으로 선거에 개입한 것이 아니냐는 강한 의혹이 제기됐지만 법의 심판은 4년 째 제자리를 맴돌고 있다. ‘국정원 댓글 사건’으로 인해 대한민국의 유일무이한 국가정보기관인 국정원의 명예는 바닥으로 떨어졌고 공교롭게도 한 달 후, 서울시 공무원이 간첩이었다는 충격적인 사건이 언론에 공개된다. 그러나 재판에서 국정원이 제출한 간첩의 증거는 조작된 것이었고, 국정원이 받아낸 자백은 강요된 것이었다. 결국 간첩혐의를 받았던 유우성씨는 3년 만에 무죄판결을 받았다. 왜 국정원은 확실한 증거가 없는 상황에서 무리하게 유우성씨에게 간첩혐의를 씌웠던 것일까? 당시 국정원의 증거조작에 참여했던 협력자들이 서서히 입을 열기 시작했다. 당시 국정원 협력자는 “국정원의 존재감에 대해가지고 뭐 댓글만 하고 이렇게 한가하게 앉아 있는 사람들이 아니다 이런 것을 반박하는 차원에서... 이것을 너무 일찍 터트렸다라는 이야기를 하더란 말이지”라고 밝혔다. 그리고 더욱 놀라운 것은 국정원 댓글 사건과 간첩조작 사건 등 국정원과 관련된 사건에서 국정원 반대편에 섰던 인물들이 하나같이 이해할 수 없는 경험을 했다는 것이다. 국정원 댓글 사건 참여 변호사는 “고소·고발장을 작성하는 과정에서 누군가가 우리 서버에 들어와 모든 문서를 다 복사해 갔었죠”라고 말했다. ‘해킹팀 유출사건’으로 인해 제기된 국정원의 민간인 사찰·선거 개입 의혹, 국정원 댓글 사건, 유우성 간첩 조작 사건 그리고 국정원 직원 임씨의 죽음. 어쩌면 별개의 사건처럼 보일 수 있는 이 사건들에 보이지 않는 연결고리가 존재하고 있는 것은 아닐까? 이번주 방송에서는 지난 대선을 중심으로 벌어진 국정원과 관련된 사건들을 추적하고, 관련자들로부터 당시에 미처 꺼내지 못했던 이야기들을 들어본다. 온라인뉴스부 iseoul@seoul.co.kr

온라인 시대가 되면서 인터넷 보안에 대한 요구도 갈수록 높아지고 있다. 정보 유출 위험이 높은 일반 웹페이지 통신 방식인 HTTP에 비해 최근에는 서버와 브라우저가 주고받는 정보를 암호화하는 HTTPS 방식을 사용하는 웹사이트가 늘고 있는 것도 그런 이유 때문이다. 하지만 국내 대표 포털 사이트인 네이버와 다음조차 HTTPS를 불완전하게 적용하는 것이 국내 현실이라는 점에서 제도개선이 시급하다. 구글 보안 전문가 파리사 타브리즈는 13일 서울 강남구 구글 코리아에서 열린 ‘인터넷과 보안’ 구글 특별 포럼에서 암호화 접속 방식인 HTTPS 없이는 사이트 보안을 담보할 수 없다며 “모든 웹페이지에 HTTPS 접속을 적용해야 한다”고 밝혔다. 그는 “궁극적으로 HTTPS를 적용하지 않은 모든 페이지에는 ‘안전하지 않다(Not Secure)’는 메시지를 표시할 것”이라고 덧붙였다. HTTP의 강화된 버전인 HTTPS는 통신의 인증과 암호화를 위해 개발됐으며, 전자 상거래에서 널리 쓰인다. HTTPS를 사용하는 웹페이지의 통신자원식별자(URI)를 ‘http://’대신 ‘https://’로 시작한다. 구글은 HTTPS가 정보 송신자와 수신자 사이에서 이들이 주고받는 정보를 빼돌리는 ‘중간자(man in the middle) 공격’을 막는 해법이 될 수 있다고 주장한다. 이런 공격은 해커뿐만 아니라 인터넷 서비스 업체, 통신사, 심지어 정보기관도 시도한다는 게 구글의 설명이다. 통신사의 경우 개인정보 보호 정책을 일부 수정해서 고객 데이터를 추출해 수익화 기반으로 사용하는 사례도 있었다. 이런 공격을 방지하기 위해 구글이 만든 웹브라우저 크롬은 지난달 말부터 로그인을 요구하는 웹사이트가 HTTPS 접속을 지원하지 않을 경우 주소창 앞에 ‘안전하지 않다’는 뜻으로 느낌표 아이콘을 띄우고 있다. 타브리즈는 “경고 메시지는 과거에 우리가 사용자에게 솔직하지 못했다는 점에서 출발했다”면서 “경고 메시지를 통해 사용자에게 사이트의 보안 위험에 대해 솔직하게 알리고자 한 것”이라고 설명했다. 타브리즈는 “HTTPS가 모든 보안 문제를 해결할 수 없지만, 문제를 해결하기 위한 필수 기반”이라며 “아직 대다수 웹페이지가 HTTPS를 적용하지 않아 단계별로 점진적으로 전환할 수 있도록 지원하고자 한다”고 밝혔다. 전세계 인터넷을 선도하는 구글과 달리 국내에선 네이버와 다음조차도 메인 화면에 HTTPS를 적용하지 않고 있다. 이미 공개된 정보만 있는 웹페이지이기 때문에 적용하지 않았다는 게 해당 사이트 측의 해명이다. 네이버와 다음은 로그인과 검색 등 정보를 입력하는 단계부터 HTTPS를 적용하고 있다. 이에 대해 타브리즈는 “네이버의 트래픽이 가장 몰리는 화면이 메인 화면인데 HTTPS를 적용하지 않으면 중간자 공격에 노출될 수 있다”면서 “개인정보가 입력되지 않는 데이터라 하더라도 여러 주 동안 누적되면 식별 가능한 정보가 된다”고 지적했다. HTTPS를 적용하면 접속 속도가 느려지고 추가 비용이 들어간다는 지적에 대해서는 “다양한 지원 수단이 있다”며 “사용자의 보안을 생각한다면 전체 페이지에 HTTPS를 적용할 필요가 있다”고 재차 강조했다. 구글은 이밖에 안전한 인터넷 사용을 위해 비밀번호를 재사용하거나 공유하지 말고, 공용 컴퓨터에 되도록 로그인을 피해야 한다고 조언했다. 아울러 인증 단계를 추가한 2단계 인증을 사용하고, 소프트웨어나 앱은 신중하게 설치하며 최신 버전의 브라우저를 사용하는 것도 해킹 위험을 줄이는 방법으로 제시했다. 이날 발표자로 나선 타브리즈는 ‘보안 공주’(Security Princess)라는 독특한 직함을 가진 보안 전문가다. 구글 보안팀의 ‘고용된 해커’인 소프트웨어 엔지니어로 시작해 약 10년간 구글에서 정보 보안 업무를 담당하고 있다. 백악관의 디지털 컨설턴트로 활동하며 정부 보안 개선 과제에 참여하기도 했다. 강국진 기자 betulo@seoul.co.kr

일본 최대 해커대회인 ‘세쿠콘’(SECCON)에서 한국팀인 ‘CyKor’가 대상을 차지했다. 니혼게이자이신문은 30일 한국 고려대 사이버국방학과의 동아리인 CyKor가 도쿄 덴키대에서 28~29일 이틀 동안 열린 결승전에서 우승을 차지했다고 보도했다. 예선을 거쳐 열린 결승전에서 한국, 일본 등 세계 9개국의 24팀은 12시간 동안의 열전을 펼쳤다. 이틀 동안 주최측이 준비한 6대의 서버를 공략해 점령한 팀이 다시 다른 팀의 공격으로부터 서버를 방어하는 방식으로 대회가 진행됐으며 공격과 방어 양쪽에 포인트가 주어지고 이를 종합해 승부를 결정했다. CyKor는 지난해 11월 한국인터넷진흥원이 국내에서 개최한 13회 해킹방어대회(HDCON)에서도 대상을 받는 등 국내외 대회에서 최강을 자랑하고 있다. 일본 NPO법인 네트워크시큐리티협회가 개최한 이 대회는 올해 5회째로 정보보안 기술자 및 관련 기술 육성을 목표로 하고 있다. 도쿄 이석우 특파원 jun88@seoul.co.kr

보수단체로 가장… 관심 유도 美서버 거쳐 軍기밀 등 노린 듯 “현재 대한민국의 상황은 실로 커다란 우려를 자아내고 있다. 최순실 국정 농단으로 정국이 뒤집히고 박근혜 대통령의 하야를 노골적으로 외치고 있다. 변변한 말 한마디 없던 야당이 때를 만난 듯이 정부를 공격하고 비방하고 정권탈취를 시도하고 있다.(중략) 해법은 무엇인가? 바로 박 대통령을 지키는 일이다.”누가 보더라도 박 대통령 탄핵 반대를 외치는 보수시민단체가 작성했을 법한 내용이다. 그러나 이 글을 담은 이메일을 작성한 주체는 놀랍게도 북한인 것으로 경찰 수사 결과 드러났다. 친정부적이고 강한 보수 색채의 주장으로 우리나라 정부 및 통일연구원 관계자들의 관심을 끌어 해킹 악성코드를 심으려는 시도로 풀이된다. 남한 정부를 비방하며 남남 갈등을 조장하던 그간의 기조와 정반대의 형태다. 북한의 해킹 수단이 빠르게 진화하고 있는 셈이다. 경찰청은 지난해 11월 악성코드에 감염된 ‘우려되는 대한민국.hwp’ 파일을 유포한 이메일의 인터넷 프로토콜(IP)을 추적한 결과 평양 류경동에서 발송된 것을 확인했다고 25일 밝혔다. 류경동은 조선 체신성, 중국 랴오닝(遼寧)성과 함께 북한의 대표적인 사이버테러 진원지다. 메일에는 ‘모든 종북파들, 야당파들이 나라의 모든 공권력을 틀어쥔다고 생각해 보라. 그들은 김정은을 대통령직에 모셔올지도 모른다’, ‘아직 특검도 끝나지 않고 여론으로만 문제가 불거진 상황에서 어제 박원순 서울시장의 인터뷰를 보니 더욱 기가 막힌다’, ‘북한에 더이상 기회를 줄 수 없음을 말하고 싶다’ 등의 내용이 포함됐다. 경찰은 북측이 사회 갈등을 부추기려는 목적보다, 사회적 관심이 큰 주제를 실어 메일을 열도록 해 악성코드를 확산시키려 했던 것으로 봤다. 쉽게 말해 스스로를 비판하면서까지 해킹 툴을 확산하려 했다는 의미다. 이달 초에 북측이 유포했던 ‘2017년 북한 신년사 분석.hwp’의 경우에는 통일부가 지난 1일 실제 배포한 보도자료에 북측이 악성코드를 심었던 것으로 밝혀졌다. 가상 단체인 ‘통일연구원 산하 북한연구학회’ 명의로 온 메일에 첨부된 보도자료를 열면 자동으로 컴퓨터에 악성코드가 설치돼 정보들을 유출한다. 이번 메일들은 국방부 관계자 3명, 외교부 관계자 1명, 통일연구원을 비롯한 북한·국방·안보 관련 연구기관 관계자, 북한 관련 민간단체 관계자 등 총 40명에게 발송됐다. 하지만 실제 악성코드에 감염된 건은 없었다. 경찰은 북한이 군사·외교 기밀 및 탈북자 정보 등을 빼내려 한 것으로 봤다. 이번 사건과 별도로 경찰은 중국 랴오닝성 IP를 쓰는 북한 해커 조직이 2012년 5월부터 지난해 말까지 우리나라 정부 기관, 유엔, 포털사이트 보안팀을 사칭한 이메일 계정 58개로 정부기관, 언론사 직원 등 785명에게 악성 메일을 보낸 사실도 확인했다. 경찰은 발송자가 분명치 않은 이메일의 첨부 파일을 실행할 때 주의를 당부했다. 강신 기자 xin@seoul.co.kr

최순실 국정농단 사태를 수사하고 있는 박영수 특별검사팀에 외부 세력의 해킹 시도가 있었다는 보도가 나왔다. 16일 한국일보에 따르면 이번 해킹은 특검팀에서 일하고 있는 특별수사관의 개인 계정을 통해 일어났다. 이 관계자는 “수사관이 사용하던 네이버 계정이 침투 경로로 이용됐던 것으로 보인다”며 “다행히 해킹 시도는 사전에 차단돼 수사 정보가 유출되진 않은 것으로 안다”고 말했다. 신문은 해외 서버를 거쳐 침투했다고 밝혔지만 그러나 해외서버가 어느나라인지, 해킹 공격이 언제, 몇차례 있었는지는 밝히지 않았다. 지난해 12월 21일 서울 대치동의 한 빌딩에 입주한 특검팀은 사무실 내부에서만 접속이 가능한 인트라넷을 별도로 운영하고 있다. 특검팀 내 자료 공유는 내부 메신저를 이용한다. 또 인터넷 접속을 위한 단말기로는 보안 인증이 완료된 노트북PC를 쓰고 있다. 이에 따라 해킹 시도한 세력은 이 수사관이 네이버 이메일 계정에 접속했을 때를 노려 해당 노트북에 악성코드를 심은 뒤, 이를 통해 특검팀 내부망 접근을 시도했던 것으로 추정된다고 한국일보는 분석했다. 이 신문은 박근혜 대통령을 겨냥하고 있는 수사의 특성을 언급하며 ‘수사 방해 목적일 가능성도 적지 않다’고 분석했다. 해킹 세력의 정체는 해외 서버를 이용해 침투를 노린 것 까지만 파악됐다고 밝혔다. 특검팀은 수사에 불만을 가진 세력이 해킹을 시도했을 가능성도 있는 것으로 보고 있다. 온라인뉴스부 iseoul@seoul.co.kr

안랩 연구원 출신 오서호씨 “인터파크 사건 진로 바꾼 계기” 넥슨 프로그래머 출신 이상엽씨 “4차 산업혁명 금융 전문가 꿈” 올해 우리은행 신입 행원이 된 오서호(29)씨. 그는 전직 화이트해커다. 오씨는 백신 소프트웨어 개발 및 인터넷 보안 시스템 업체인 안랩에서 2년 3개월간 악성코드 분석 연구원으로 근무했다. 대기업, 인터넷쇼핑몰, 은행, 정부기관이 그의 고객이었다. 신종 악성코드의 패턴을 분석해 ‘V3’ 백신이 늘 새로운 적에 대항할 수 있도록 하는 역할을 맡았다. 해킹 등 정보 침해 사고가 발생하면 악성코드가 어떻게 숨어들어와 동작했는지 분석해 재발 방지 보고서를 작성하는 일도 주된 업무였다. 과거엔 동시다발적으로 여러 기업이나 기관을 노리는 악성 해커 공격이 많았지만, 최근엔 한 놈(특정 기업)만을 노리는 ‘맞춤식 공격’으로 전환됐다. 그만큼 기업 스스로 얼마나 방어할 준비가 돼 있는지가 중요하다는 것이 오씨의 설명이다. 지난해 5월 터진 ‘인터파크 고객 정보 유출’은 오씨가 진로를 바꾸는 전환점이 됐다. 당시 인터파크는 전문 해커의 사이버 공격으로 1094만건의 개인정보가 유출됐다. 악성코드에 감염된 직원 PC를 무단 폐기한 것이 화근이었다. 오씨는 “백번 보안업체가 막는다 한들 기업이 사명감과 책임감을 느끼고 고객 금융자산과 개인정보에 대한 일차적인 방어를 하지 않으면 소용없다”며 “처리 과정을 보면서 직접 기업으로 들어가 보안 사고를 막는 일을 하고 싶어졌다”고 말했다. 오씨는 결국 고심하다 은행 문을 두드렸다. 그는 금융과 정보기술(IT)을 아우르는 전문가가 되는 것이 현재의 꿈이라고 말했다. 우리은행은 올해 처음으로 IT 분야 전문가를 대대적으로 공식 채용했다. 신입 150명 가운데 30명이 IT 전공자다. 게임 프로그래머부터 화이트해커까지 IT 계열 이색 경력자들이 즐비하다. 온라인 게임업체 ‘넥슨’의 서버 개발 및 관리자였던 이상엽(28)씨도 금융권으로 직(職)을 옮겼다. 이씨는 1인칭 슈팅게임인 ‘카운터스트라이크2’의 온라인 서버 프로그래머였다. 넥슨에서 그는 ‘매칭 시스템’을 만들었다. 비슷한 실력의 게임 이용자끼리 온라인상에서 만나 싸우게 해 주는 ‘보이지 않는 손’이었다. 이씨는 “엇비슷한 능력을 갖춘 캐릭터들이 만나 싸울 수 있게 만들어 줘야 이용자의 재미가 배가되고 체류 시간도 늘어난다”고 설명했다. 그는 게임 캐릭터들끼리 직접적으로 대화할 수 있는 창구도 만들어 넣어 줬다. 낯선 금융회사로의 이직에는 현대사회를 보는 20대의 소신이 담겨 있다. 그는 머지많아 전방위적으로 정보통신기술(ICT)의 융합이 이뤄지는 4차 산업혁명이 도래할 것이라고 믿는다. 그는 “빅데이터 등 수치를 이용한 기술이 미래를 이끌어 나갈 것”이라면서 “인터넷은행 등 금융 역시 4차 산업혁명을 맞게 될 것”이라고 말했다. 이씨는 향후 빅데이터를 이용해 보다 구체적인 고객 미래를 예측하는 것이 어렵지 않아질 것으로 본다. 게임처럼 즐거운 개인별 맞춤 금융 시대를 여는 전문가가 되는 게 그의 목표다. 우리은행 관계자는 “기존에도 출신 학교를 따지지 않는 열린 채용이나 블라인드 면접 등을 통한 능력 위주의 채용을 해 왔지만 특히 이번에는 예정보다 이공계나 IT 전공자 비율을 획기적으로 늘렸다”고 밝혔다. 신입 행원들은 지난 12월 12일부터 시작된 7주간의 연수를 거쳐 1월 각 영업점에 배치될 예정이다. 백민경 기자 white@seoul.co.kr