“정태영 사장님, 틀렸습니다. 금융회사에서 공인인증서 사용은 반드시 강제되지 않습니다.” 이달 초 트위터에서는 정보기술(IT) 전문가와 금융회사 대표(CEO) 간 작은 설전이 있었다. 30만원 이상 전자상거래, 인터넷과 스마트폰을 활용한 은행 거래, 연말정산과 세금납부 등 국세청 업무에 활용되는 공인인증서에 관한 논쟁이다. 2010년 전후 치열했던 ‘공인인증서 사용 강제 규정 폐지 논쟁’의 재점화다. 한글과 컴퓨터 창업자인 이찬진 드림위즈 대표가 현대카드의 정태영 사장에게 “액티브X와 공인인증서 없이도 결제가 잘 되는 ‘알라딘’에서 조용필 앨범을 샀다”며 현대카드가 공인인증서 보안을 채택한 탓에 다른 카드를 썼다는 내용의 트위트로 포문을 열었다. 이에 정 사장이 “말씀하신 결제방법은 규제상 허용되는 안전한 방법이 아니다”라고 응수했다. 오픈넷의 김기창 고려대 법대 교수가 끼어들었다. 김 교수는 자신의 트위터와 오픈넷 홈페이지를 통해 “30만원 이상 결제는 공인인증서가 필수라는 ‘카더라 통신’이 보안업계에서 ‘구전’되고 있지만 이는 사실과 다르다”면서 “이런 오해로 인해 공인인증서 보안체계가 유지되면서 국내 웹 환경이 기형이 되고, 한국의 IT 기술이 정체됐다”고 주장했다. 김 교수는 법대 교수이면서 IT 분야인 웹상에서의 표현의 자유 확보, 공인인증서 폐지 운동 등을 하는 오픈넷을 이끄는 이색 이력의 소유자다. 1990년부터 영국 케임브리지대학에서 연구원과 교수를 지냈는데 2002년 귀국한 뒤 액티브X 보안 프로그램을 기반으로 한 한국 인터넷에서 은행 업무와 상거래 관련 업무를 전혀 처리하지 못했던 ‘생활의 불편’이 그를 오픈넷으로 이끌었다. 상거래에 공인인증서를 쓰는 한국만의 표준이 국제 보안 표준과 동떨어진 상황을, 육지와 멀리 떨어져 유일한 종이 많은 덕분에 다윈이 진화론을 연구할 수 있었던 섬에 빗대 ‘갈라파고스 한국’이라고 하는데, 이를 몸소 느꼈던 셈이다. 갈라파고스의 새들이 섬 안에서 독특함을 자각하지 못했듯 국내에서도 공인인증서가 한국의 독특한 보안체계라는 점을 2009년 11월 ‘아이폰’이란 외부충격이 가해질 때까지 자각하지 못했다. 애플이 만든 아이폰에는 인터넷브라우저로 마이크로소프트(MS)의 ‘인터넷익스플로러’(IE)가 아닌 애플의 ‘사파리’가 깔렸는데, 사파리에서 MS가 만든 보안장치인 액티브X가 가동되지 않았고 공인인증서도 작동되지 않았다. 결국 2011년 전자금융감독규정이 개정되며 금융회사들이 공인인증서 외 보안프로그램을 채택할 수 있는 길이 열렸다. 지난 5월 국회에서 공인인증제도를 폐지하는 내용의 법률안이 발의된 것은 전자금융감독규정 개정 2년 뒤인 현재까지 공인인증서가 여전히 금융회사의 유일한 보안법으로 유지되고 있어서다. 금융감독원 관계자는 15일 “금감원의 인증방식평가위원회를 통과한 공인인증서와 동등한 수준의 보안 기술을 금융회사가 쓸 수 있지만, 2년 동안 한 건의 기술 요청도 없었다”고 말했다. 이에 지난 5월 이종걸·최재천 민주당 의원은 “정부 주도 인증제도를 폐지해야 한다”며 한층 강화된 법안을 제출한 것이다. 공인인증서 폐지를 주장하는 이유는 2년 전과 크게 다르지 않다. 첫째, PC에 보안프로그램을 깔게 하는 공인인증서와 액티브X 체계로 인해 PC마다 악성코드가 난무하고 공인인증서 유출로 인한 금융피해가 빈번하다는 주장이다. 공인인증서 폐지론자들은 지난 2007년 공인인증서 5000여장이 유출되는 등 일단 PC에 깔린 공인인증서를 복사해 유출하는 범죄가 일어나고 있다고 지적했다. 둘째, 공인인증서 일변도 정책으로 국내 보안기술이 답보 상태라는 의견도 있다. 김 교수는 “기술진보 속도가 빠른 IT 분야에서 정부가 특정 기술과 서비스를 사용하도록 강요할 경우 새로운 기술 등장과 기술 혁신을 저해하게 된다”고 말했다. 셋째, 공인인증서 체계에서는 피싱 사기 등 사고 거래의 책임이 개인에게 지워진다는 점이 부당하다는 시각이다. 최근 ‘도난당한 패스워드’라는 웹툰 서적을 발간한 김인성 한양대 교수는 “해외에서 많이 쓰는 암호통신기술(SSL) 방식은 브라우저와 서버 간 통신에서 정보를 암호화해 도중에 해킹을 통해 정보가 유출되더라도 정보 내용을 보호해 주는 방식”이라고 설명했다. 이런 방식에서는 보안 사고가 터졌을 때 암호화 책임을 다하지 못한 기업 측에 책임을 물을 소지가 크다. 반면 PC에 까는 공인인증서 체계를 쓰는 국내에서는 보안 사고가 났을 때 인증서 관리를 제대로 못했다며 개인에게 책임을 묻는 판결이 나오고 있다. 넷째, 공인인증서 관리의 투명성 문제가 제기됐다. 공인인증서를 한국인터넷진흥원(KISA)이 관리하는 게 적절한지와 함께 최근에는 공인인증서 시장 점유율이 75%인 금융결제원과 관리·감독기관인 금융위 간 유착 의혹도 나왔다. 금융위 출신들이 금융결제원 감사로 가서 3년 동안 10억여원의 보수를 받는 관행 때문이다. 최근 전치형 한국과학기술원(KAIST) 교수 등 대학교수 300여명이 공인인증서 폐지를 위한 법률 개정안에 지지 의사를 밝혔고, 최문기 미래창조과학부 장관도 국회에서 정부 주도 공인인증제 폐지를 약속하며 공인인증서 폐지 논의가 힘을 얻어가고 있다. 하지만 이미 13년째 사용 중인 공인인증서 폐기 후 대혼란이 일어날 것이란 반론도 만만치 않다. 관련 법안이 국회를 통과하더라도 금융회사들이 공인인증서 대신 다른 보안 프로그램을 받아들일지 역시 불확실하다. ‘공인인증서 없는 세상’이 실현되기까지는 변수가 아직 많다는 얘기다. 홍희경 기자 saloo@seoul.co.kr

KT가 현재 전국에서 운영 중인 10개의 인터넷데이터센터(IDC)를 재해복구센터로 전환할 계획이다. 재해복구센터란 메인 전산센터가 해킹이나 자연재해 등으로 심각하게 손상되더라도 곧바로 평소와 다름없는 인터넷 서비스 등이 가능하도록 완벽한 백업(Back up)을 제공하는 데이터센터를 의미한다. 현재 대부분 기업의 데이터 백업 인프라는 50~60% 수준이어서 메인 센터가 심각한 해킹 피해를 봤을 때 데이터를 100% 복구하는 것이 사실상 불가능했다. KT가 재해복구센터로 서비스를 전면 전환하는 것은 최근 빈발하고 있는 해킹 사고 등과 무관하지 않다. 지난달 25일 청와대 홈페이지를 해킹한 공격은 무려 6일 뒤인 1일까지 이어졌다. 그사이 공격을 당한 기관 수는 67개까지 늘어났지만, 복구율은 여전히 80% 후반에 머무르고 있다. 지난 3월 금융권과 방송사의 전산망을 마비시킨 사이버 테러 이후 불과 3개월 만에 터진 대형 해킹 사고에 기업들 사이에선 자사와 고객 데이터를 보호해야 한다는 목소리가 높다. 데이터 손실이나 전산 마비가 단순히 업무 지연 등의 문제를 넘어 기업의 신뢰성 추락, 더 나아가 기업 도산으로까지 이어질 수 있다는 불안감 때문이다. 하지만 문제는 비용이다. 중요한 데이터를 모두 사설 IDC 등에 보관하면 좋다는 건 알지만 그만큼 고정비용이 만만치 않기 때문이다. KT 측은 천안과 김해 IDC를 국내 최초로 재해복구만을 전용으로 하는 ‘클라우드 재해복구센터’(CDC)로 바꿔 이런 비용 문제를 푼다는 계획이다. KT 관계자는 “필요성은 알지만 비용 문제 때문에 필수 데이터만 백업해 오던 기업들엔 기존 비용보다 최고 25%나 저렴한 클라우드 서비스가 큰 도움이 될 것으로 본다”고 말했다. KT는 안전성도 강화한다는 방침이다. KT는 100여년간 규모 3.0 이상의 지진이 한 번도 발생하지 않은 경남 김해 지역에 최근 데이터센터를 지었다. 진도 7.0까지 견딜 수 있도록 내진 설계를 하는가 하면 건물을 해발 85m 높이에 지어 쓰나미 등에도 대비했다. 안정적인 전력공급을 위해 전기도 발전소 2곳에서 따로 받는다. 발전소 2곳이 동시에 고장 날 것에 대비해 비상 전력 시설도 마련했다. 덕분에 일본 기업들도 김해 센터에 백업을 주문하는 일이 이어지고 있다. 배광호 KT IMO사업담당 상무는 10일 “재해복구센터를 이용하려는 기업 고객이 지속적으로 증가한다는 점은 안정성을 검증받고 있다는 방증”이라면서 “유·무선 회선과 데이터센터 모두를 갖춘 유일한 사업자로서 사고 대처가 가장 빠르다는 점 또한 KT의 강점이라고 본다”고 말했다. 유영규 기자 whoami@seoul.co.kr

국제 해킹 집단인 어나니머스를 꿈꿀 정도로 해킹 실력이 뛰어난 중학생과 이 학생을 통해 해킹 프로그램을 테스트하며 금융 해킹 범죄를 시도하려던 40대 캐나다 교포가 붙잡혔다. 서울지방경찰청 사이버수사대는 블로그를 통해 악성 프로그램을 유포·판매한 한국계 캐나다인 허모(48)씨를 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 구속하고, 중학생 배모(14)군을 같은 혐의로 불구속 입건했다고 4일 밝혔다. 배군은 올해 1월부터 4월까지 해킹 프로그램과 좀비 PC를 판매한다는 광고 글을 자신의 블로그에 올린 뒤 이를 보고 찾아온 누리꾼에게 건당 1만∼15만원씩 모두 100여만원을 받고 허씨가 제공한 해킹 프로그램 19개를 판매한 혐의를 받고 있다. 허씨는 중국 웹하드 사이트인 ‘화중제국’ 등에서 내려받은 2500여개의 해킹 프로그램 중 테스트를 거치지 않은 프로그램 19개를 배군에게 무료로 제공해 실제 해킹이 가능한 프로그램인지 테스트하도록 했다. 배군은 이 프로그램들을 누리꾼에게 판매하는 한편 음란 동영상으로 위장한 악성코드를 유포해 PC 사용자 모르게 원격으로 해당 PC를 조정할 수 있는 ‘좀비 PC’ 600여대도 확보했다. 배군은 자신의 블로그에 디도스 공격 대행 광고를 올린 뒤, 이 좀비 PC를 활용해 불법 성매매 사이트를 공격·협박하고 수십만원의 돈을 뜯어내기도 했다. 배군은 허씨를 3년 전 온라인 채팅방에서 만나 알게 됐으며, 30살이 넘는 나이 차이에도 둘 다 해킹에 관심이 있어서 가깝게 지냈다. 이들은 중국에서 개발한 메신저나 인터넷 전화만을 사용하고, 인터넷에 접속할 때도 해킹한 기업의 서버를 거치도록 해 혹시 있을지 모를 인터넷 프로토콜(IP) 주소 추적에 대비하는 치밀함을 보였다. 20여년 전 캐나다로 이민했다가 2005년 귀국한 허씨는 귀국 이후 주식 투자로 거액을 날리면서 선물·옵션사이트 해킹에 관심을 가졌다. 배군은 중학교에 입학하면서 컴퓨터 게임을 즐기다 해킹에 관심을 갖기 시작했으며 장래 꿈이 어나니머스라고 말할 만큼 해킹 실력이 상당한 수준인 것으로 전해졌다. 명희진 기자 mhj46@seoul.co.kr

지난 25일 청와대를 비롯한 국가 기관, 언론사 등을 대상으로 자행된 사이버 공격에 관한 정보가 별도 서버에 백업된 로그(Log) 파일에 모두 기록돼 있는 것으로 파악됐다. 또 이번 공격이 악성 스크립트를 이용한 신유형 해킹이라는 분석도 나왔다. 전문가들은 보안투자법안 등 민관 합동의 신속한 대책 마련을 주문했다. 26일 미래창조과학부 등에 따르면 전날 청와대 등에 사이버 공격을 했던 해커들은 홈페이지를 해킹한 뒤 서버 접속 및 작업 내역이 기록되는 로그 파일도 조작한 것으로 알려졌다. 이는 자신이 침입한 경로와 작업 내역 등을 지우기 위해 해커들이 흔히 쓰는 수법이다. 하지만 청와대 등 주요 기관은 로그 조작에 대비해 실시간으로 이를 별도 서버에 백업하는데 이번 공격 기록도 별도 서버에 있는 로그 파일에 남아 있는 것으로 전해졌다. 미래부는 이를 분석하면 이번 공격의 주체가 누구인지, 침투 경로는 무엇인지 파악할 수 있을 것으로 보고 있다. 미래부 관계자는 “여러 기관 자료를 비교해 침입 경로, 발생 경위 등을 중점적으로 분석하고 있다”며 “이번 공격에 방어하는 백신을 오늘 새벽 적용한 이후 추가 공격이나 피해는 없다”고 전했다. 특히 이번 공격에는 해커가 악성 스크립트를 설치해 놓은 웹사이트에 방문하면 미리 설정된 특정 사이트로 공격 트래픽을 발생시키는 새로운 유형의 해킹 방식이 사용됐다. 보안업체 안랩에 따르면 해커들은 악성 스크립트 방식과 기존의 좀비 컴퓨터를 이용한 디도스(DDoS·분산 서비스 거부) 공격을 함께 사용했다. 또 보안업체 잉카인터넷은 이번 공격에 극우 성향 인터넷 커뮤니티 일간베스트가 이용됐다는 분석도 내놨다. 미래부 관계자는 “확인되지는 않았으나 기술적으로 가능한 얘기”라고 가능성을 내비쳤다. 전문가들은 반복되는 사이버 테러를 막기 위해서는 다방면의 보안 수준을 높이는 게 중요하다고 지적한다. 조규곤 파수닷컴 대표는 “3·20 테러나 이번 사태에서도 보듯이 보안은 한쪽이 완벽해도 다른 쪽이 문제를 일으키면 소용이 없다”며 “공공기관뿐 아니라 민간이 함께 보안 투자를 늘려야 한다”며 “사고 후 일시적으로 투자하는 것이 아닌 지속적인 투자가 가능하도록 법안 제정 등이 필요하다”고 조언했다. 한편 안랩은 일반 사용자들을 위한 ‘좀비PC 예방 십계명’을 내놨다. 사용자 수가 적은 웹사이트 접속을 자제할 것, 소셜네트워크서비스(SNS) 사용 시 모르는 사람의 페이지에서 단축 경로를 클릭하지 말 것, 신뢰할 수 없는 프로그램에 대한 경고가 나오면 ‘예’ ‘아니요’ 어느 것도 선택하지 말 것 등이다. 강병철 기자 bckang@seoul.co.kr

25일 발생한 해킹은 한국전쟁이 발발한 6·25에 맞춰 청와대 및 정부 부처, 정당, 언론사 등 16개 기관을 대상으로 광범위하게 이뤄졌다는 점이 특징이다. 안랩은 이번 디도스(DDoS) 공격을 유발한 악성코드가 25일 0시부터 배포됐으며 오전 10시에 디도스 공격을 수행하도록 서버로부터 명령을 받은 것으로 확인했다고 밝혔다. 프로그래밍대로 공격은 오전 10~11시에 집중됐다. 안전행정부, 미래창조과학부, 통일부 홈페이지가 줄줄이 문제를 일으켰고 오후 2시 40분쯤 보건복지부 홈페이지에도 접속 장애가 발생했다. 안랩은 또 지난 2011년의 3·4 디도스 공격 때와 마찬가지로 웹하드를 통해 악성코드가 배포된 것으로 분석했다. 이번 해킹 피해는 단순 홈페이지 위·변조나 접속 장애 외에 개인 정보 유출로까지 이어진 것으로 보인다. 해킹을 당한 새누리당 일부 시·도당에서는 당원 명부가 유출됐다는 의혹이 나오고 있다. 박재문 미래부 정보화전략국장도 이날 브리핑에서 “유출된 개인정보를 유포하는 사이트 3곳을 발견해 차단했다”면서 “유출된 정보의 진위 여부와 유출 기관 등을 파악 중”이라고 설명했다. 정부는 이번 해킹을 ‘한 단체의 소행’으로 의심하고 있지만 어떤 단체인지, 목적이 무엇인지를 특정하지 못하고 있다. 해킹된 홈페이지에는 국제 해커그룹으로 알려진 어나니머스(Anonymous)의 이름이 쓰여 있으나 정부는 단정하기는 이르다는 입장이다. 이번 해킹은 북한 소행이라는 주장도 나온다. 6월 25일에 맞춰 대대적인 해킹 공격이 이뤄졌다는 점, 공격수법이 2009년과 2011년 북한이 벌인 디도스 공격과 유사하다는 점 등이 근거다. 그러나 박 국장은 “아직 단정할 단계가 아니다”라면서 “해킹의 경로나 방법, 로그 기록 등을 분석해서 유사성이 발견돼야 하는데 아직 조사하고 있다”고 말했다. 이런 가운데 방송사·금융사 정보전산망이 공격받은 3·20 사이버 테러 이후 석 달 만에 청와대 등의 보안망이 뚫리면서 그간 대책 마련이 소홀했던 게 아니냐는 지적도 나온다. 한편 어나니머스 소속 일부 해커들은 이날 낮 12시를 기해 북한 관련 사이트 46곳을 디도스 공격하겠다고 밝혔다. 일부 사이트는 접속 장애 등을 일으킨 것으로 전해졌다. 어나니머스 측은 이날 북한 웹사이트의 해킹을 통해 확보한 명단을 공개했다. 어나니머스는 이를 “북한 군 고위간부”라고 주장했다. 이 명단에는 곽종구, 권덕기, 김석일, 리철석 등 13명의 이름과 생년월일, 전화번호, 주소 등이 적혀 있다. 하지만 명단 속 주소지가 대부분 북한이 아닌 중국인 데다 일부 인사들은 1982년, 1989년생 등으로 표기돼, ‘고위 간부’란 주장은 무리라는 지적이 나온다. 강병철 기자 bckang@seoul.co.kr

청와대와 국무조정실 홈페이지가 외부세력에 해킹당한데 이어 보건복지부 홈페이지도 25일 해킹으로 추정되는 공격으로 오후 한때 마비됐다. 복지부 홈페이지에는 이날 오후 4시 현재 ’불편을 드려 죄송합니다’라는 문구가 걸려 접속이 되지 않고 있다. 복지부 관계자는 “오후부터 서버가 정상적으로 작동하지 않고 있다. 현재 원인을 파악하고 있다”고 밝혔다. 한편 해커그룹 어나니머스가 이날 북한의 사이트를 잇달아 해킹했다고 밝힌 가운데 정체 불명의 세력이 청와대와 국무조정실 등 정부 기관 사이트를 잇달아 공격해 논란이 일고 있다. 온라인뉴스부 iseoul@seoul.co.kr

경기 하남시 덕풍동에 둥지를 튼 킹스정보통신㈜은 세계 모바일 보안시스템 시장을 이끌고 있는 몇 안 되는 기업 중 하나이다. 특히 이 회사가 일궈낸 성과물은 지방자치단체가 주도하는 산·학·관 협력사업을 통해 만들어낸 것이어서 의미를 더해주고 있다. 23일 경기도 산하기관인 경기도지역협력연구센터(GRRC)에 따르면 킹스정보통신은 최근 모바일 정보 유출방지 솔루션 ‘팜박스’(Palm Box)를 출시하며 시스템 관련 국제특허 10개를 동시에 출원해 관련 업계의 주목을 받고 있다. KT, LG, 롯데 등 국내 대기업과 금융, 증권사 등이 이 솔루션을 채택하는 등 실력을 인정받고 있다. 손바닥이란 의미를 따온 팜박스는 스마트폰, 태블릿 등 스마트 기기의 모바일 데이터를 주고받는 과정에서 정보유출을 방지하는 프로그램이다. 스마트 기기의 사용 과정에 개인영역과 업무영역이란 가상공간을 설정하고 업무영역에 암호를 걸어 제3자에 의한 해킹, 또는 모든 경로의 의도하지 않은 접속을 차단하는 것이다. 팜박스의 고유한 기술은 이처럼 가상영역을 설정해 보안을 설정했다는 점에서 비상한 관심을 끈다. 국내 유명 전자회사가 스마트폰 하드웨어에서 개인영역과 업무영역을 구분한 제품을 선보인 적은 있지만 소프트웨어상에서 가상영역을 구분해 암호화하는 개념은 팜박스가 국내에서 처음이다. 킹스정보통신은 지난 4월 ‘클라우드 서버와 네트워크를 통해 접속된 사용자 단말기에 설치되는 보안 파일 구조’ 등 10개의 국제 특허 출원을 마쳤다. 관련 업계에서는 “특허 출원 자체가 이미 고유 기술임을 확인한 것으로, 킹스정보통신이 세계 모바일 보안시장에서 독보적인 기술을 확보하고 있다는 사실을 인정받은 셈”이라고 평가한다. 회사는 특허 출원과 함께 미국에 현지법인을 설립하는 등 미국 시장 개척에도 적극 나서고 있다. 모바일 보안솔루션은 전 세계적으로 스마트 워크가 확대되면서 존재감을 더해주고 있다. 국내 모바일 보안시스템 시장 규모는 현재 200억~300억원에서 2015년 500억~600억원으로 연간 20% 이상 성장할 것으로 업계는 예측하고 있다. 미국 정부는 원격근무 활성화 법안을 제정하며 스마트 워크를 권장하는 등 기업의 업무 스타일이 급속히 모바일화되고 있다. 1999년 설립한 이 회사는 초창기에는 PC 내부정보 유출방지 솔루션인 ‘가드존(Guard Zone)’, 온라인 보안솔루션 ‘케이 디펜스’(K-Defence) 등 PC 위주의 정보유출 방지 시스템 개발에 공을 들였으며 적지 않은 성과도 올렸다. 한때는 자금난에 봉착해 위기를 맞기도 했다. 그러나 도전 정신을 앞세워 날로 확장하는 스마트 워크 트렌드에 편승한 모바일 보안 솔루션 개발에 역량을 집중하면서 위기를 극복해 나갔다. 이 과정에서 GRRC의 도움이 컸다. 경기도는 지역 중소기업의 기술경쟁력을 높이고자 대학의 전문 기술을 기업에 접목한다는 취지로 가천대, 아주대, 중앙대 등 13개 대학에 지역협력연구센터를 설립, 해마다 70억원 내외의 예산을 지원하고 있다. 킹스정보통신은 경기대 지역협력연구센터 김희열(컴퓨터과학과) 교수팀의 지원을 받아 세계 모바일 보안솔루션 실태, 개발 방향 등을 설정할 수 있었다. 팜박스 적용 범위를 구글, 안드로이드뿐 아니라 애플 i-OS, 마이크로소프트 윈도 등으로 확장할 수 있었던 것도 GRRC 지원 덕분이다. 대학의 기술을 중소기업으로 이전하겠다는 경기도의 산·학·관 협력체계가 결실을 맺은 것으로 평가받고 있다. 지난해에는 지역협력연구센터를 통해 특허 등록 38건, 기술이전 12건, 실용화 38건 등의 실적을 올리는 등 원천기술 확보에 적지 않은 공언을 했다. GRRC 관계자는 “킹스정보통신은 스마트 워크라는 트렌드를 읽고 보안 솔루션을 앞서 개발함으로써 세계 시장을 선점할 수 있게 됐다”며 “경기도 산업분포가 굴뚝산업에서 IT산업으로 전환하고 있는 가운데 벤처기업들이 지역을 대표하는 향토기업으로 성장할 수 있도록 지원을 아끼지 않겠다”고 말했다. 김병철 기자 kbchul@seoul.co.kr

컴퓨터라면 개인용, 업무용을 불문하고 1개 이상씩은 꼭 설치돼 있는 ‘백신’, 우리는 백신을 얼마나 잘 알고 있을까. 7일 보안 솔루션 업체 안랩에 따르면 백신에 대한 대표적인 오해 중 하나는 ‘백신만 깔면 안전하다’다. 그러나 진실은 그렇지 않다. 백신의 기본 원리는 새로운 악성코드가 발견되면 이를 분석한 뒤 업데이트를 통해 침투를 막는 방식이기 때문에 알려지지 않은 ‘신규 악성코드’에는 사실 무용지물이다. 한 예로 올해 초 미국 뉴욕타임스가 해커의 공격을 당했을 때, 여기에 백신을 공급하던 업체는 내부에 침투한 악성코드 45개 중 딱 1개밖에 잡아내질 못했다. 해커들이 백신이 모르는 새로운 악성코드를 만들어 침투시켰기 때문이다. 안랩은 우리나라에서만 신종·변종 악성코드가 하루 최고 50만개까지 만들어지고 있다고 전했다. 그렇다면 백신은 무용지물일까. 그것도 오해다. 백신은 이미 알려진 보안 위협에 대한 기본 방어막으로, 백신이 없다면 인터넷에 떠도는 초보 수준의 해킹 도구에도 컴퓨터가 뚫릴 수 있다. 내 컴퓨터가 악성코드에 걸렸다고 ‘포맷해 버리면 그만’인 걸까. 아니다. 전문가들은 최근 개인 컴퓨터에 대한 보안 공격은 기업 등 조직 서버에 침투하기 위한 예비 동작으로 보고 있다. 내 컴퓨터의 취약한 보안이 여기 연결된 회사나 정부 네트워크에 크나큰 피해를 줄 수도 있는 셈이다. 인치범 안랩 커뮤니케이션팀장은 “보안에는 100%가 있을 수 없다”며 “내 컴퓨터를 지키는 게 사회 보안을 지킨다는 생각으로 꾸준한 백신 업데이트, 의심스러운 메일 클릭 자제, 소프트웨어 보안 패치 등을 해야 한다”고 전했다. 한편 안랩은 보안 지식 공유·이해를 위해 이달부터 ‘보안 바로 알기 캠페인’을 벌이고 있다. ‘백신에 대한 오해와 진실’은 그 첫 번째 주제다. 안랩은 다음 달 31일까지 사용자 스스로가 참여하는 과정에서 보안에 대한 이해도를 높일 수 있도록 고등학생, 대학생을 대상으로 ‘보안 지식 사용자제작콘텐츠(UCC) 콘테스트’를 진행한다. 강병철 기자 bckang@seoul.co.kr

시중은행 공인인증서 212개가 해킹으로 유출돼 금융 당국이 일괄 폐기한 것으로 확인됐다. 2일 금융권에 따르면 한국인터넷진흥원은 지난달 20일 은행 고객 컴퓨터에서 유출된 공인인증서 파일 212개가 모여 있는 국외 서버를 발견해 금융결제원에 통보해 폐기했다. 폐기된 공인인증서는 국민·신한 등 시중 은행 고객의 인증서였다. 해커들은 파밍 수법을 이용한 것으로 추정됐다. 금융 당국 관계자는 “외국 서버에 국내 은행 공인인증서가 가는 것을 우연히 발견해 금융결제원을 통해 212개를 일괄 폐기했다”고 말했다. 김진아 기자 jin@seoul.co.kr

지난달 20일 발생한 방송사·금융기관에 대한 대규모 해킹은 그동안의 사이버 공격과 마찬가지로 북한의 소행으로 결론났다. 정부가 그제 발표한 ‘3·20 해킹’ 내용에 따르면, 북한은 8개월 전부터 우회접속 경로를 통해 이들 기관의 전산망에 악성코드를 심은 뒤 공격을 감행했다. 이전보다 더 치밀하게 대비해야 한다는 경각심을 갖기에 충분하다. 무엇보다 미사일 발사 징후, 개성공단 폐쇄 등 북한의 잇단 위협과 맞물려 사이버 도발이 이뤄졌다는 점에서 그 심각성을 더하고 있다. ‘3·20 해킹’ 합동대응팀이 공격 주체로 지목한 북한의 정찰총국 산하에는 1만 2000여명의 해커가 있고, 이 중 1000여명은 중국 등 해외에서 암약하고 있다고 한다. 이들은 그간 4만 8000여건의 국내 사이트를 공격했다. 국내 전산망을 풀방구리에 쥐 드나들듯 자유자재로 유린한 셈이다. 이처럼 어느 나라보다 촘촘히 연결된 우리의 인터넷망은 사이버 공격에 매우 취약하다. 북한은 심각한 경제적 궁핍 속에서도 2000년대 중반부터 돈은 덜 들고 공격 효과가 큰 사이버 인력 양성에 주력해 왔다. 이른바 ‘사이버 전사들’이다. 이들은 군사적인 목적 외에도 기업체 해킹을 통한 외화벌이에도 투입된다고 한다. 2009년 디도스 공격과 2011~12년 농협 및 언론사 전산망 마비 사태에서도 우리는 북한의 지능화한 사이버 공격 수법을 여실히 보았다. 이번 사태는 총체적인 사이버 안전망이 하루속히 구축돼야 한다는 점을 보여주었다. 특히 악성코드에 대한 보안대책으로 마련한 기업의 배포 서버가 해킹의 도구로 악용돼 민·관·군의 합동 대응만이 피해를 줄일 수 있다는 것을 입증했다. 서버들이 전산망을 마비시키는 ‘숙주 역할’을 했다는 점에서다. 또한 해외 서버를 활용한 공격 경유지도 다양해져 만일 주요 사회간접자본에 대한 동시다발적 사이버 공격이 이뤄진다면 사회적 대혼란을 겪을 수 있음을 확인케 했다. 사이버 방어는 휴전선 철책을 지키는 일 못지않게 중요해졌다. 숭숭 뚫린 사이버망을 방치했다간 제2의 사이버 테러는 언제든지 발생한다. 우리는 사이버 공격이 발생할 때마다 실효성 있는 대책을 세우라고 주문한 바 있다. 정부는 미국과 중국이 사이버 공격을 새로운 유형의 전쟁으로 간주하고 예산 증액에 잇따라 나서고 있는 사례를 본보기로 삼아야 할 것이다. 국민들도 일상 생활에서 사이버 안보의식을 가져야 대형 참사를 막을 수 있다.

국내 방송·금융사의 전산망을 마비시킨 이른바 ‘3·20 사이버테러’가 북한 소행이라고 정부가 판단한 이유는 무엇일까. 또 북한이 어떻게 국내 기업들의 방화벽을 뚫었는지에 대한 궁금증도 커지고 있다. 우선 북한의 소행으로 드러난 것은 역추적 과정에서 북한 내부 인터넷프로토콜(IP)이 발견되는 등 다양한 근거들이 제시됐기 때문이다. 10일 미래창조과학부 등 민·관·군 합동대응팀의 조사 결과에 따르면 3·20 사이버테러 한 달 전인 지난 2월 22일 북한의 내부 IP 주소가 감염 PC 원격 조작 등 명령 하달을 위해 국내 경유지에 처음 시험 접속한 흔적이 발견됐다. 이 공격 경유지에서 안랩과 같은 보안프로그램의 패치서버 등을 통해 국내 업체에 공격을 시도한 것으로 보인다. 북한은 이들 피해 PC에서 자료를 빼내가는 한편 전산망의 취약점을 파악해오다 지난달 20일 오후 2시를 기해 이들 PC에 위장 백신프로그램을 자동으로 설치해 중앙배포 서버를 통해 악성코드를 뿌린 것으로 확인됐다. 보안에 구멍이 뚫리기 쉬운 지점을 오랫동안 살핀 뒤 가장 취약한 곳을 노려 동시 다발적으로 공격을 감행한 것이다. 3·20 사이버테러 닷새 뒤 발생한 ‘날씨닷컴’ 사이트를 통한 악성코드 유포나 지난달 26일의 14개 대북·보수단체 홈페이지 자료 삭제, YTN 계열사 홈페이지 자료서버 파괴 등도 북한에 의해 이뤄진 것으로 추정됐다. 이는 전형적인 ‘지능형 지속 해킹’(APT) 방식이다. APT는 한 그룹이 특정 대상을 정해 놓고 취약점을 지속적으로 공격하는 수법으로 조직적이고 치밀한 작전이 선행돼야 가능하다. 전길수 한국인터넷진흥원(KISA) 침해대응센터 단장은 “지난달 20일 이뤄진 첫 공격에서 대부분의 파괴가 같은 시간대에 PC 하드디스크를 ‘HASTATI’ 또는 ‘PRINCPES’ 등 특정 문자열로 덮어쓰기하는 방식으로 수행됐다”며 “악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장 경로가 일치했다”고 설명했다. 또 다른 근거로는 최소한 6대 이상의 북한 내부 PC가 지난해 6월 28일부터 금융사에 1590회 접속해 악성코드를 유포했는데, 이 중 13회에서 북한의 IP가 드러난 점을 꼽을 수 있다. 이미 9개월 전부터 피해 기관들의 PC를 북한이 좌우하고 있었던 셈이다. 정부도 주요 민간시설인 방송사와 금융기관의 전산망이 9개월이나 북한에 뚫려 있다는 것을 모른 채 속수무책 당한 것이다. 북한은 공격 다음 날인 지난달 21일 해당 공격 경유지를 파괴해 흔적을 제거하는 치밀함을 보였다. 대응팀은 해커가 방화벽과 웹서버를 거치면서 남긴 로그를 모두 지웠지만 원격 터미널에 접속한 로그가 일부 남아 있었다고 설명했다. 통신상의 문제 때문에 최대 몇 분간 북한의 IP가 노출됐다는 것이다. 대응팀은 이 IP가 위조된 것일 가능성도 있다고 보고 조사를 진행했으나 이번 공격이 단방향 공격이 아니라 양방향 통신을 바탕으로 한 공격이라는 점에서 위조 가능성이 거의 없다는 결론을 내렸다. 전 단장은 “위조된 IP를 쓰면 답변이 엉뚱한 곳으로 갈 수 있다”며 “IP 세탁 가능성을 0%라고 할 수는 없겠지만 가능성이 매우 낮다”고 설명했다. 대응팀은 지금까지 북한 소행으로 결론이 난 과거 공격과 이번 사이버테러의 경유지와 수법이 일치하거나 상당 부분 유사하다는 점도 증거로 들었다. 이번 공격에 사용된 국내외 공격 경유지는 국내 25곳과 해외 24곳 등 모두 49곳으로, 이 중 국내 18곳과 해외 4곳 등 22곳이 과거 북한의 대남 해킹에 이미 사용된 것으로 대응팀은 파악했다. 또 대응팀은 이번 해킹에서 사용된 악성코드 76종 중 과거의 것을 재활용한 것이 30종 이상이었다고 밝혔다. 홍혜정 기자 jukebox@seoul.co.kr

▲3월 20일 오후 2시쯤 KBS·MBC·YTN 등 3개 방송사와 신한·농협·제주 등 3개 은행, NH생명·NH손해 등 2개 보험사 전산망에서 동시다발 장애 발생, PC 4만 8000여대 손상 ▲3월 21일 합동대응팀 “악성코드, 중국서 유입” 발표 ▲3월 22일 합동대응팀 “중국 아닌 국내에서 전파” 발표 ▲3월 25일 ‘날씨닷컴’ 홈페이지 통한 악성코드 유포 ▲3월 26일 지방자치단체 통합전산센터, 기획재정부 홈페이지, YTN 및 계열사 홈페이지, 탈북자 단체인 ‘자유북한방송’과 대북 인터넷 매체인 ‘데일리NK’ 홈페이지 등에 동시다발 전산 마비 ▲4월 3일 합동대응팀, 피해 서버에서 악성코드 60종 확인 ▲4월 10일 정부, ‘북한 정찰총국 소행’ 결론

지난달 20일 KBS·MBC·YTN 등 방송사와 농협·신한·제주은행·NH생명보험·NH손해보험 등 금융기관의 내부 전산망 마비 사태를 일으킨 ‘3·20 사이버테러’는 북한의 소행이라는 공식 조사결과가 나왔다. 정부는 이번 공격이 북한 정찰총국의 소행일 가능성이 큰 것으로 보고 있다. 민·관·군 사이버위협 합동대응팀은 10일 과천 미래창조과학부 브리핑실에서 “피해기관의 감염장비 및 국내 공격 경유지 등에서 수집한 악성코드 76종과 수년간 국가정보원과 군에서 축적한 북한의 대남 해킹 조사결과를 종합적으로 반영해 이렇게 추정했다”고 밝혔다. 합동대응팀에 따르면 공격자는 최소한 9개월 이전부터 목표 기관 내부의 PC나 서버를 장악해 자료를 절취하고 전산망의 취약점을 파악하는 등 지속적인 침투를 해왔다. 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포하거나 서버 저장장치 삭제 명령을 실행한 것으로 드러났다. 실제로 지난해 6월 28일부터 최소한 6대의 북한 내부 PC가 1590회의 접속을 통해 금융기관에 악성코드를 유포하고 PC에 저장된 자료를 절취한 것으로 확인됐다. 또 올해 2월 22일 북한 내부 인터넷프로토콜(IP)주소(175.45.178.XXX)에서 감염 PC를 원격으로 조작하는 등 국내 경유지에 시험 목적으로 처음 접속한 흔적도 발견됐다. 이는 2009년 7·7 디도스(DDoS·분산서비스 거부), 2011년 3·4 디도스, 농협(2011년), 중앙일보 전산망 파괴(2012년) 등 북한의 이전 해킹수법과 일치한다. 또 사이버테러의 공격 경로를 추적한 결과 북한 내부의 인터넷 주소가 나왔고 접속 흔적을 제거하려고 시도한 사실도 발견됐다. 한편 정부는 11일 국가정보원장 주재로 미래부, 금융위원회 등 15개 정부기관 관계자가 참석하는 ‘국가사이버안전전략회의’를 열어 재발 방지 대책을 논의키로 했다. 홍혜정 기자 jukebox@seoul.co.kr

농협은행의 인터넷뱅킹이 또 마비됐다. 농협은행은 10일 오후 6시 20분부터 9시 45분까지 인터넷뱅킹 서비스가 중단되는 사태가 발생했다고 밝혔다. 다만 현금인출기(CD)·자동입출금기(ATM) 등 자동화기기는 정상 작동했다. 농협 관계자는 “서울시 양재동에 있는 인터넷 뱅킹 데이터베이스(DB)서버 2대 중 1대가 하드웨어 부품의 갑작스러운 고장으로 다운됐다”면서 “해킹은 아닌 것으로 파악됐다”고 말했다. 서버를 점검하기 위해 전원을 껐다가 다시 작동하는 과정에서 서비스가 중단됐다는 게 농협 측의 설명이다. 지난 3월 20일 발생한 전산망 마비 사태를 검사하기 위해 상주하고 있는 금융감독원 검사역은 “서버가 2개인데 평소 가동 중인 액티브 서버에 문제가 생기면 대기하고 있는 서버로 넘어가야 하는데 전환도 안 됐다”고 말했다. 이어 “서버가 다 가동된 후 로그를 분석해봐야 정확한 사고 원인을 알 수 있다”고 덧붙였다. 한편 이날 KBS 홈페이지도 접속이 3차례나 차단되는 장애가 발생했다. KBS 관계자는 “작업 과정에서 발생한 과부하인지, 다른 문제인지는 아직 파악되지 않았다”고 밝혔다. 이민영 기자 min@seoul.co.kr

2003년 1월 25일 오후 2시 대한민국의 인터넷망이 일시에 마비됐다. ‘1·25 인터넷 대란’이다. ‘슬래머 웜’이란 사상 초유의 공격은 전국의 PC를 감염시켰고, 트래픽의 폭증은 국가 중추 망센터인 KT 혜화전화국의 최상위 DNS(도메인네임서버)를 단번에 막아 버렸다. 대한민국 인터넷은 며칠간이나 암흑천지가 됐다. 정부도 이 같은 사태에 우왕좌왕했고 언론은 정부 발표마저 믿지 못하는 촌극이 빚어지기도 했다. 그로부터 10년. 지난달 20일 주요 방송사와 금융기관이 ‘디도스 공격’을 받으며 대한민국은 여섯 번째 대규모 사이버 공격을 받은 민망한 나라가 됐다. 정보 당국은 일련의 공격을 북한 소행으로 지목했고, ‘3·20 사태’는 현재 수사 중이다. 최근 국제 해커 집단인 어나니머스(Anonymous)가 북한의 대남 선전 사이트인 ‘우리민족끼리’를 공격했다고 주장하며 1만 5217명의 가입 명단을 공개해 파문이 일고 있다. 어나니머스는 김정은 북한 국방위원회 제1위원장과 저팔계를 합성한 사진과 조롱 섞인 문구로 2차 공격을 암시했다. 그동안 해킹이 누구의 소행인지 단정하기는 이르지만 우리가 ‘사이버 양상군자’의 주요 공격 대상이 된 것만은 분명해 보인다. 해커(hacker)란 용어는 1960년대 미국의 매사추세츠공과대(MIT)가 ‘모든 정보는 공개돼야 한다’는 슬로건을 걸고 컴퓨터 프로그램을 만들면서 처음 등장했다. 윤리강령도 만들었다. 해커는 이처럼 컴퓨터와 시스템 구조를 탐구하며 컴퓨터·통신 실력이 뛰어난 사람을 일컫는다. 요즘 널리 쓰이는 ‘화이트’(white) 해커가 바로 이들이다. 이와는 반대로 ‘블랙’(black) 해커와 ‘크래커’(cracker)도 있다. 둘은 방패와 창인 셈이다. 낮엔 정보기업에서 일하고 밤엔 해킹을 하는 ‘그레이’(Gray)란 다소 애매한 해커도 있다. 최고의 IT 기업가인 애플의 스티브 워즈니악과 스티브 잡스, MS의 빌 게이츠가 젊었을 때 해커로 활동한 것은 사뭇 흥미롭다. 요즘은 해킹 수법이 다양해져 ‘파밍’(pharming) ‘스미싱’(smishing) 등 개념도 알기 어려운 해킹 용어가 앞다퉈 등장해 어떻게 대응을 해야 할지 헷갈리는 시대다. 대한민국이 어느새 ‘해커들의 놀이터’가 됐나. ‘우리민족끼리’ 사이트의 해킹 사태가 한층 심각한 사이버 공격을 예고하는 것은 아닌지 두려움이 앞선다. 해커는 사이버상의 아웃사이더가 되길 싫어하는 속성을 갖고 있다. 세계 최고의 인터넷망과 스마트폰 보급률을 자랑하는 대한민국은 더 이상 해킹의 변방 지대가 아니다. 이들의 역습을 능히 막아낼 물적·정신적 토양을 갖추는 일이 시급하다. 정기홍 논설위원 hong@seoul.co.kr

공안당국이 국제 해커 집단 어나니머스(Anonymous)가 공개한 북한 대남 선전용 사이트 ‘우리민족끼리’ 회원 1만 5000여명의 실명 확인 작업에 착수했다. 경찰청 관계자는 7일 “어나니머스가 두 차례에 걸쳐 공개한 1만 5000여명의 가입자 정보를 분석 중”이라면서 “정식 수사 단계가 아닌 내사 단계로 보는 게 옳다”고 말했다. 국가보안법 등 국내법으로 처벌할 수 있는 사람을 가려내기 위해 기초 조사를 벌이고 있다는 것이다. 경찰은 우선 명단에 있는 1만 5000여명의 이름과 아이디, 이메일 계정 등을 토대로 내국인인지를 확인한 뒤 이메일을 도용했거나 가명으로 가입한 사람 등을 걸러낼 계획이다. 경찰 관계자는 “명단에 이름이 워낙 많아서 기초 분석작업에만 2~3개월은 걸릴 것으로 보인다”고 덧붙였다. 해당 사이트의 서버가 있는 중국은 회원 가입 때 실명 인증 절차를 요구하지 않아 회원 중 상당수가 가명으로 가입됐을 가능성도 있어 명단의 신뢰성이 의문시되고 있는 상황이다. 지난 4일 1차 공개된 사이트 가입자 명단에서는 한 남성이 이명박 전 대통령과 이회창 전 총리, 권영길 전 민주노동당 대표 등의 이메일 주소를 도용한 것으로 확인됐다. 또 6일 추가 공개된 명단에는 현직 경찰인 중앙경찰학교 A경사의 이름이 올라 있다. A경사는 언론과의 통화에서 “언제 가입했는지 모르겠다”면서 “가입했다면 첩보 입수가 목적이었을 것”이라고 말했다. 경찰과 검찰, 국정원 등은 각자 내사를 진행 중이며 필요하면 공조수사를 벌인다는 방침이다. 경찰은 일부 네티즌이 해킹으로 정보가 공개된 ‘우리민족끼리’ 사이트 회원을 ‘죄수’, ‘간첩’ 등으로 부르며 개인정보를 유포하는 것과 관련해 “명예훼손 등으로 고소가 접수돼야 수사에 착수할 수 있다”고 밝혔다. 한편 정부가 이적성을 이유로 접속을 차단한 사이트는 ‘우리민족끼리’ 등 모두 138개이며 이 가운데 실제로 운영되는 사이트는 70개 정도로 파악되고 있다. 유대근 기자 dynamic@seoul.co.kr

관급공사 발주를 담당하는 지방자치단체 재무관의 PC와 경쟁 건설업체 PC에 악성프로그램을 침투시켜 낙찰 하한가를 알아내는 수법으로 공사를 따낸 일당이 검찰에 적발됐다. 서울중앙지검 첨단범죄수사2부(부장 김석재)는 4일 프로그램 개발팀 운영자 김모(52)씨와 공사브로커 오모(55)씨, 건설업체 관계자 등 10명을 컴퓨터 등 사용 사기 및 입찰방해 혐의 등으로 구속기소하고, 15명을 불구속 기소했다고 밝혔다. 이들은 봉화군 등 경북 소재 지자체에서 291억원 상당의 공사 31건을 불법 낙찰받은 혐의를 받고 있다. 관급공사 입찰은 조달청의 ‘국가종합전자조달시스템’(나라장터)을 통해 이뤄진다. 지자체 재무관이 공사기초금액을 토대로 15개의 예비가격을 작성하면 건설업체들이 입찰과 동시에 이 중 2개를 무작위로 추첨하게 된다. 업체들이 가장 많이 추첨한 예비가격 4개의 평균값을 낙찰하한가로 정하게 된다. 통상 낙찰하한가에 근접한 가격을 제시한 업체가 선정되고, 낙찰하한가보다 낮은 금액을 써내면 입찰자격이 박탈된다. 이 때문에 무작위로 정해지는 낙찰하한가를 알아내면 공사 수주는 따놓은 당상인 것이다. 이들은 이점을 노리고 범행을 계획했다. 보안수준이 상대적으로 높은 나라장터 서버 대신 지자체 재무관 PC와 건설업체 PC를 노렸다. 평소 지자체 재무관들과 안면이 있는 점을 이용해 ‘입찰 관련 법령을 확인 좀 하자’는 식으로 PC에 접근, USB와 CD를 통해 담당 공무원 몰래 악성프로그램을 심었다. 200개가 넘는 건설업체에는 ‘입찰정보’ 등의 제목으로 피싱 이메일을 보내 악성프로그램을 설치했다. 이들은 악성프로그램을 통해 재무관 PC에서 15개의 예비가격이 생성되면 자신들이 이용하는 서버로 전송받았다. 업체들이 어떤 예비가격을 추첨하든 자신들이 정한 예비가격으로 선택되게끔 해 조달청 서버에 전송했다. 이를 통해 낙찰하한가를 알게 된 이들은 하한가가 16억 6300만원인 공사에서 이보다 3310원이 높은 금액을 제시하는 등 평균 1만원 정도 높은 가격을 써내 공사를 따냈다. 건설업체들은 낙찰을 받게 되면 수수료 명목으로 프로그램 개발팀과 브로커에게 낙찰 가격의 6~7%를 건넨 것으로 조사됐다. 검찰은 조달청을 통해 전국 지자체의 재무관 PC에 대한 보존조치를 요청하는 한편 다른 지역에서도 같은 방식의 불법낙찰이 있다고 보고 수사를 전국적으로 확대해 나갈 방침이다. 홍인기 기자 ikik@seoul.co.kr

금융 당국이 최근 ‘3·20 해킹’에 노출된 농협은행과 신한은행을 상대로 특별검사에 착수했다. 농협은행은 2011년에 이어 또 해킹을 당한 데다 당시 지적된 문제가 아직 고쳐지지 않아 고강도 제재를 받을 것으로 전망된다. 당국은 금융권 전반의 보안 실태를 점검한 뒤 관련 규정을 강화할 방침이다. 금융감독원은 27일부터 2주일 동안 농협·신한·제주은행과 농협금융지주 계열사인 농협생명보험·농협손해보험을 검사한다고 밝혔다. 이들 5개사는 내외부 전산망이 제대로 분리되지 않은 탓에 해킹 공격에 무방비로 당했던 것으로 알려졌다. 특히 농협은행은 2011년 전산망 마비 때도 내외부 망을 분리하지 않은 점이 지적됐지만 이를 여태껏 개선하지 않았다. 이런 탓에 농협은행 길동지점의 단말기로 침입한 악성 코드가 서버를 거쳐 각 지점의 컴퓨터와 자동화기기(CD·ATM)로 번졌다고 금감원은 밝혔다. 이런 이유 등으로 농협금융지주나 산하 계열사는 검사가 끝나면 제재가 불가피할 것으로 전망된다. 관리 의무를 심각하게 소홀히 하거나 규정을 위반하는 등 문제점이 드러나면 중징계도 내려질 가능성이 있어 보인다. 금감원은 검사를 마치는 대로 전 금융권의 정보기술(IT)·보안 실태를 점검한다. 이를 토대로 금융위원회는 ‘IT·보안 강화 종합대책’을 마련한다. 금융위는 이른바 ‘5%룰’로 불리는 ‘5·5·7 규정’을 ‘7·7·10’ 등으로 높이는 방안을 검토하는 것으로 알려졌다. 백민경 기자 white@seoul.co.kr

방송국과 금융기관의 전산망을 마비시킨 ‘3·20 사이버 테러’ 악성코드가 기업의 데이터 시스템과 개인용 PC에도 널리 유포된 징후가 포착됐다. 이에 따라 추가 해킹 피해를 막으려면 대응 시스템을 총괄하는 컨트롤타워가 신속히 필요하다는 지적이 나오고 있다. 보안업체 안랩은 25일 이번 해킹에 사용된 것과 유사한 악성코드가 더 배포돼 수백대 이상의 PC를 감염시킨 것으로 추정했다. 이 악성코드에는 부팅영역(MBR) 파괴 기능과 함께 명령제어(C&C) 서버와 통신하는 해킹 프로그램이 추가된 것으로 확인됐다. 특히 안랩은 1차 때의 경우 내부 타이머로 공격 시간대를 특정했지만, 신종 악성코드는 공격자가 원하는 시간대에 공격을 할 수 있도록 진화했다고 설명했다. 이날 일부 금융기관의 감염 전산 시스템을 점검하는 과정에서도 2차, 3차 공격을 예고하는 징후가 포착된 것으로 알려졌다. 이 금융기관은 장애 발생 이전 수준으로 전산망을 정상화했지만 악성코드가 아직 전산망 어딘가에 남아 있을 가능성이 있는 것으로 판단했다. 전문가들은 이번 해킹 사건을 계기로 사어버 공격을 종합적으로 지휘하는 국가 차원의 컨트롤타워를 만들어야 한다고 지적했다. 정부의 사이버 공격 대응 시스템은 여러 부처로 역할이 분산돼 있어 신속하고 체계적인 대응을 못 하고 있다는 것이다. 앞서 합동대응팀은 농협의 사설 인터넷 프로토콜(IP)을 중국 IP로 오인해 발표함으로써 혼란만 부추겼다. 김승주 고려대 정보보호대학원 교수는 “해킹 원인 파악에는 시간이 소요되고 그 사이에 추가 해킹이 발생할 수도 있다”며 “이 때문에 해킹 사건이 나면 신속한 결정을 내릴 수 있는 공공기관이 필요하다”고 말했다. 컨트롤타워 기관에 예산권 등 권한을 부여하는 대신 책임을 지도록 해야 한다는 것이다. 현재 정부의 사이버 공격 대응 체제는 국가정보원, 국방부, 경찰청, 방송통신위원회 산하 한국인터넷진흥원 등으로 분산돼 있다. 또 중앙행정기관에 대한 방어는 정부통합전산센터를 지휘하는 안전행정부 책임이다. 이번 사건을 계기로 청와대는 사이버비서관을 신설하기로 했지만 여기에도 한계가 있다. 김 교수는 “미국의 경우는 사이버안보보좌관이 정보를 취합해 대통령에게 보고한다”며 “사이버안보보좌관에 버금가는 지위와 책임을 주고 각 부처에 흩어져 있는 정보들도 모아서 공유해야 한다”고 강조했다. 정보보호 학계는 제18대 대통령직인수위원회에 ‘국가사이버안보정책보고서’를 제출한 바 있다. 보고서는 청와대에 사이버전담관 신설, 국가사이버안보법(가칭) 제정, 사이버 부문 예산 확대 등을 담고 있다. 하지만 아직 정책에 반영되지 않았다. 한편 경찰청은 지난 20일 사이버 공격을 받은 6개 기관 가운데 일부 PC에 악성코드를 심은 해외 IP 주소 목록을 확보하고, 미국과 유럽 일부 국가 등 4개국이 감염 경로로 확인됐다고 밝혔다. 그러나 중국은 포함되지 않았다. 홍혜정 기자 jukebox@seoul.co.kr

전산망이 해킹에 뚫린 방송사와 금융기관은 내부망과 외부망을 분리해야 하는 보안 규정을 지키지 않은 탓에 피해를 키운 것으로 확인됐다. 망 분리는 비용 부담과 작업 불편 등의 이유로 지켜지지 않았다. 24일 민·관·군 사이버테러 합동대응팀 등에 따르면 KBS, MBC, YTN 등 방송사와 농협, 제주은행은 내·외부 전산망을 통합 운영하고 있다. 망 분리는 직원이 업무용으로 사용하는 내부망과 인터넷 접속이 가능한 외부망을 따로 구축하는 것이다. 업무용 통신망의 속도를 높이고 외부인이 인터넷을 통해 사내 정보가 담긴 내부망에 침입하지 못하도록 하는 효과가 있다. 신한은행은 지난해 10월 말 망 분리 작업에 착수했으나, 하필 이번 해킹에 악용된 ‘업데이터관리서버’(PMS) 영역에는 적용하지 않았다. 농협은 2011년 전산 마비 해킹 때 망 분리를 지적받고도 개선하지 않았다. 국가·공공기관이 아닌 대부분의 민간에서는 망 분리 대신에 보안 소프트웨어를 사용하는 경우가 많다. 망 분리는 내·외부용 PC를 따로 써야 해 최소 2배 이상의 비용이 들기 때문이다. 또 방송사의 취재기자들처럼 외부와 자주 접속해야 하는 직군에서 망 분리를 꺼리는 것도 이유가 된다. 또 피해 금융기관은 정보보안인증제도(ISMS) 인증도 외면한 것으로 나타났다. 일정 규모 이상의 포털·쇼핑몰 등 주요 정보통신서비스 제공자들은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정에 따라 지난달 18일부터 보안에 관한 137개 항목, 446개 세부항목으로 구성된 ISMS 인증을 의무적으로 받아야 한다. 방송통신위원회는 은행도 ISMS 의무 대상으로 해석하고 지난주 전국은행연합회에 협조 공문을 발송하기도 했다. 하지만 은행 대부분은 “이미 전자금융거래법과 전자금융감독규정에 따라 높은 수준의 규제를 받는다”는 이유로 소극적인 태도를 보였다. 한편 합동대응팀은 피해 기관의 PC와 서버를 추가 확보해 분석하고 있지만 해킹의 주체나 공격 경로 등은 아직 밝혀내지 못하고 있다. 홍혜정 기자 jukebox@seoul.co.kr