2003년 1월 25일 오후 2시 대한민국의 인터넷망이 일시에 마비됐다. ‘1·25 인터넷 대란’이다. ‘슬래머 웜’이란 사상 초유의 공격은 전국의 PC를 감염시켰고, 트래픽의 폭증은 국가 중추 망센터인 KT 혜화전화국의 최상위 DNS(도메인네임서버)를 단번에 막아 버렸다. 대한민국 인터넷은 며칠간이나 암흑천지가 됐다. 정부도 이 같은 사태에 우왕좌왕했고 언론은 정부 발표마저 믿지 못하는 촌극이 빚어지기도 했다. 그로부터 10년. 지난달 20일 주요 방송사와 금융기관이 ‘디도스 공격’을 받으며 대한민국은 여섯 번째 대규모 사이버 공격을 받은 민망한 나라가 됐다. 정보 당국은 일련의 공격을 북한 소행으로 지목했고, ‘3·20 사태’는 현재 수사 중이다. 최근 국제 해커 집단인 어나니머스(Anonymous)가 북한의 대남 선전 사이트인 ‘우리민족끼리’를 공격했다고 주장하며 1만 5217명의 가입 명단을 공개해 파문이 일고 있다. 어나니머스는 김정은 북한 국방위원회 제1위원장과 저팔계를 합성한 사진과 조롱 섞인 문구로 2차 공격을 암시했다. 그동안 해킹이 누구의 소행인지 단정하기는 이르지만 우리가 ‘사이버 양상군자’의 주요 공격 대상이 된 것만은 분명해 보인다. 해커(hacker)란 용어는 1960년대 미국의 매사추세츠공과대(MIT)가 ‘모든 정보는 공개돼야 한다’는 슬로건을 걸고 컴퓨터 프로그램을 만들면서 처음 등장했다. 윤리강령도 만들었다. 해커는 이처럼 컴퓨터와 시스템 구조를 탐구하며 컴퓨터·통신 실력이 뛰어난 사람을 일컫는다. 요즘 널리 쓰이는 ‘화이트’(white) 해커가 바로 이들이다. 이와는 반대로 ‘블랙’(black) 해커와 ‘크래커’(cracker)도 있다. 둘은 방패와 창인 셈이다. 낮엔 정보기업에서 일하고 밤엔 해킹을 하는 ‘그레이’(Gray)란 다소 애매한 해커도 있다. 최고의 IT 기업가인 애플의 스티브 워즈니악과 스티브 잡스, MS의 빌 게이츠가 젊었을 때 해커로 활동한 것은 사뭇 흥미롭다. 요즘은 해킹 수법이 다양해져 ‘파밍’(pharming) ‘스미싱’(smishing) 등 개념도 알기 어려운 해킹 용어가 앞다퉈 등장해 어떻게 대응을 해야 할지 헷갈리는 시대다. 대한민국이 어느새 ‘해커들의 놀이터’가 됐나. ‘우리민족끼리’ 사이트의 해킹 사태가 한층 심각한 사이버 공격을 예고하는 것은 아닌지 두려움이 앞선다. 해커는 사이버상의 아웃사이더가 되길 싫어하는 속성을 갖고 있다. 세계 최고의 인터넷망과 스마트폰 보급률을 자랑하는 대한민국은 더 이상 해킹의 변방 지대가 아니다. 이들의 역습을 능히 막아낼 물적·정신적 토양을 갖추는 일이 시급하다. 정기홍 논설위원 hong@seoul.co.kr

공안당국이 국제 해커 집단 어나니머스(Anonymous)가 공개한 북한 대남 선전용 사이트 ‘우리민족끼리’ 회원 1만 5000여명의 실명 확인 작업에 착수했다. 경찰청 관계자는 7일 “어나니머스가 두 차례에 걸쳐 공개한 1만 5000여명의 가입자 정보를 분석 중”이라면서 “정식 수사 단계가 아닌 내사 단계로 보는 게 옳다”고 말했다. 국가보안법 등 국내법으로 처벌할 수 있는 사람을 가려내기 위해 기초 조사를 벌이고 있다는 것이다. 경찰은 우선 명단에 있는 1만 5000여명의 이름과 아이디, 이메일 계정 등을 토대로 내국인인지를 확인한 뒤 이메일을 도용했거나 가명으로 가입한 사람 등을 걸러낼 계획이다. 경찰 관계자는 “명단에 이름이 워낙 많아서 기초 분석작업에만 2~3개월은 걸릴 것으로 보인다”고 덧붙였다. 해당 사이트의 서버가 있는 중국은 회원 가입 때 실명 인증 절차를 요구하지 않아 회원 중 상당수가 가명으로 가입됐을 가능성도 있어 명단의 신뢰성이 의문시되고 있는 상황이다. 지난 4일 1차 공개된 사이트 가입자 명단에서는 한 남성이 이명박 전 대통령과 이회창 전 총리, 권영길 전 민주노동당 대표 등의 이메일 주소를 도용한 것으로 확인됐다. 또 6일 추가 공개된 명단에는 현직 경찰인 중앙경찰학교 A경사의 이름이 올라 있다. A경사는 언론과의 통화에서 “언제 가입했는지 모르겠다”면서 “가입했다면 첩보 입수가 목적이었을 것”이라고 말했다. 경찰과 검찰, 국정원 등은 각자 내사를 진행 중이며 필요하면 공조수사를 벌인다는 방침이다. 경찰은 일부 네티즌이 해킹으로 정보가 공개된 ‘우리민족끼리’ 사이트 회원을 ‘죄수’, ‘간첩’ 등으로 부르며 개인정보를 유포하는 것과 관련해 “명예훼손 등으로 고소가 접수돼야 수사에 착수할 수 있다”고 밝혔다. 한편 정부가 이적성을 이유로 접속을 차단한 사이트는 ‘우리민족끼리’ 등 모두 138개이며 이 가운데 실제로 운영되는 사이트는 70개 정도로 파악되고 있다. 유대근 기자 dynamic@seoul.co.kr

관급공사 발주를 담당하는 지방자치단체 재무관의 PC와 경쟁 건설업체 PC에 악성프로그램을 침투시켜 낙찰 하한가를 알아내는 수법으로 공사를 따낸 일당이 검찰에 적발됐다. 서울중앙지검 첨단범죄수사2부(부장 김석재)는 4일 프로그램 개발팀 운영자 김모(52)씨와 공사브로커 오모(55)씨, 건설업체 관계자 등 10명을 컴퓨터 등 사용 사기 및 입찰방해 혐의 등으로 구속기소하고, 15명을 불구속 기소했다고 밝혔다. 이들은 봉화군 등 경북 소재 지자체에서 291억원 상당의 공사 31건을 불법 낙찰받은 혐의를 받고 있다. 관급공사 입찰은 조달청의 ‘국가종합전자조달시스템’(나라장터)을 통해 이뤄진다. 지자체 재무관이 공사기초금액을 토대로 15개의 예비가격을 작성하면 건설업체들이 입찰과 동시에 이 중 2개를 무작위로 추첨하게 된다. 업체들이 가장 많이 추첨한 예비가격 4개의 평균값을 낙찰하한가로 정하게 된다. 통상 낙찰하한가에 근접한 가격을 제시한 업체가 선정되고, 낙찰하한가보다 낮은 금액을 써내면 입찰자격이 박탈된다. 이 때문에 무작위로 정해지는 낙찰하한가를 알아내면 공사 수주는 따놓은 당상인 것이다. 이들은 이점을 노리고 범행을 계획했다. 보안수준이 상대적으로 높은 나라장터 서버 대신 지자체 재무관 PC와 건설업체 PC를 노렸다. 평소 지자체 재무관들과 안면이 있는 점을 이용해 ‘입찰 관련 법령을 확인 좀 하자’는 식으로 PC에 접근, USB와 CD를 통해 담당 공무원 몰래 악성프로그램을 심었다. 200개가 넘는 건설업체에는 ‘입찰정보’ 등의 제목으로 피싱 이메일을 보내 악성프로그램을 설치했다. 이들은 악성프로그램을 통해 재무관 PC에서 15개의 예비가격이 생성되면 자신들이 이용하는 서버로 전송받았다. 업체들이 어떤 예비가격을 추첨하든 자신들이 정한 예비가격으로 선택되게끔 해 조달청 서버에 전송했다. 이를 통해 낙찰하한가를 알게 된 이들은 하한가가 16억 6300만원인 공사에서 이보다 3310원이 높은 금액을 제시하는 등 평균 1만원 정도 높은 가격을 써내 공사를 따냈다. 건설업체들은 낙찰을 받게 되면 수수료 명목으로 프로그램 개발팀과 브로커에게 낙찰 가격의 6~7%를 건넨 것으로 조사됐다. 검찰은 조달청을 통해 전국 지자체의 재무관 PC에 대한 보존조치를 요청하는 한편 다른 지역에서도 같은 방식의 불법낙찰이 있다고 보고 수사를 전국적으로 확대해 나갈 방침이다. 홍인기 기자 ikik@seoul.co.kr

금융 당국이 최근 ‘3·20 해킹’에 노출된 농협은행과 신한은행을 상대로 특별검사에 착수했다. 농협은행은 2011년에 이어 또 해킹을 당한 데다 당시 지적된 문제가 아직 고쳐지지 않아 고강도 제재를 받을 것으로 전망된다. 당국은 금융권 전반의 보안 실태를 점검한 뒤 관련 규정을 강화할 방침이다. 금융감독원은 27일부터 2주일 동안 농협·신한·제주은행과 농협금융지주 계열사인 농협생명보험·농협손해보험을 검사한다고 밝혔다. 이들 5개사는 내외부 전산망이 제대로 분리되지 않은 탓에 해킹 공격에 무방비로 당했던 것으로 알려졌다. 특히 농협은행은 2011년 전산망 마비 때도 내외부 망을 분리하지 않은 점이 지적됐지만 이를 여태껏 개선하지 않았다. 이런 탓에 농협은행 길동지점의 단말기로 침입한 악성 코드가 서버를 거쳐 각 지점의 컴퓨터와 자동화기기(CD·ATM)로 번졌다고 금감원은 밝혔다. 이런 이유 등으로 농협금융지주나 산하 계열사는 검사가 끝나면 제재가 불가피할 것으로 전망된다. 관리 의무를 심각하게 소홀히 하거나 규정을 위반하는 등 문제점이 드러나면 중징계도 내려질 가능성이 있어 보인다. 금감원은 검사를 마치는 대로 전 금융권의 정보기술(IT)·보안 실태를 점검한다. 이를 토대로 금융위원회는 ‘IT·보안 강화 종합대책’을 마련한다. 금융위는 이른바 ‘5%룰’로 불리는 ‘5·5·7 규정’을 ‘7·7·10’ 등으로 높이는 방안을 검토하는 것으로 알려졌다. 백민경 기자 white@seoul.co.kr

방송국과 금융기관의 전산망을 마비시킨 ‘3·20 사이버 테러’ 악성코드가 기업의 데이터 시스템과 개인용 PC에도 널리 유포된 징후가 포착됐다. 이에 따라 추가 해킹 피해를 막으려면 대응 시스템을 총괄하는 컨트롤타워가 신속히 필요하다는 지적이 나오고 있다. 보안업체 안랩은 25일 이번 해킹에 사용된 것과 유사한 악성코드가 더 배포돼 수백대 이상의 PC를 감염시킨 것으로 추정했다. 이 악성코드에는 부팅영역(MBR) 파괴 기능과 함께 명령제어(C&C) 서버와 통신하는 해킹 프로그램이 추가된 것으로 확인됐다. 특히 안랩은 1차 때의 경우 내부 타이머로 공격 시간대를 특정했지만, 신종 악성코드는 공격자가 원하는 시간대에 공격을 할 수 있도록 진화했다고 설명했다. 이날 일부 금융기관의 감염 전산 시스템을 점검하는 과정에서도 2차, 3차 공격을 예고하는 징후가 포착된 것으로 알려졌다. 이 금융기관은 장애 발생 이전 수준으로 전산망을 정상화했지만 악성코드가 아직 전산망 어딘가에 남아 있을 가능성이 있는 것으로 판단했다. 전문가들은 이번 해킹 사건을 계기로 사어버 공격을 종합적으로 지휘하는 국가 차원의 컨트롤타워를 만들어야 한다고 지적했다. 정부의 사이버 공격 대응 시스템은 여러 부처로 역할이 분산돼 있어 신속하고 체계적인 대응을 못 하고 있다는 것이다. 앞서 합동대응팀은 농협의 사설 인터넷 프로토콜(IP)을 중국 IP로 오인해 발표함으로써 혼란만 부추겼다. 김승주 고려대 정보보호대학원 교수는 “해킹 원인 파악에는 시간이 소요되고 그 사이에 추가 해킹이 발생할 수도 있다”며 “이 때문에 해킹 사건이 나면 신속한 결정을 내릴 수 있는 공공기관이 필요하다”고 말했다. 컨트롤타워 기관에 예산권 등 권한을 부여하는 대신 책임을 지도록 해야 한다는 것이다. 현재 정부의 사이버 공격 대응 체제는 국가정보원, 국방부, 경찰청, 방송통신위원회 산하 한국인터넷진흥원 등으로 분산돼 있다. 또 중앙행정기관에 대한 방어는 정부통합전산센터를 지휘하는 안전행정부 책임이다. 이번 사건을 계기로 청와대는 사이버비서관을 신설하기로 했지만 여기에도 한계가 있다. 김 교수는 “미국의 경우는 사이버안보보좌관이 정보를 취합해 대통령에게 보고한다”며 “사이버안보보좌관에 버금가는 지위와 책임을 주고 각 부처에 흩어져 있는 정보들도 모아서 공유해야 한다”고 강조했다. 정보보호 학계는 제18대 대통령직인수위원회에 ‘국가사이버안보정책보고서’를 제출한 바 있다. 보고서는 청와대에 사이버전담관 신설, 국가사이버안보법(가칭) 제정, 사이버 부문 예산 확대 등을 담고 있다. 하지만 아직 정책에 반영되지 않았다. 한편 경찰청은 지난 20일 사이버 공격을 받은 6개 기관 가운데 일부 PC에 악성코드를 심은 해외 IP 주소 목록을 확보하고, 미국과 유럽 일부 국가 등 4개국이 감염 경로로 확인됐다고 밝혔다. 그러나 중국은 포함되지 않았다. 홍혜정 기자 jukebox@seoul.co.kr

전산망이 해킹에 뚫린 방송사와 금융기관은 내부망과 외부망을 분리해야 하는 보안 규정을 지키지 않은 탓에 피해를 키운 것으로 확인됐다. 망 분리는 비용 부담과 작업 불편 등의 이유로 지켜지지 않았다. 24일 민·관·군 사이버테러 합동대응팀 등에 따르면 KBS, MBC, YTN 등 방송사와 농협, 제주은행은 내·외부 전산망을 통합 운영하고 있다. 망 분리는 직원이 업무용으로 사용하는 내부망과 인터넷 접속이 가능한 외부망을 따로 구축하는 것이다. 업무용 통신망의 속도를 높이고 외부인이 인터넷을 통해 사내 정보가 담긴 내부망에 침입하지 못하도록 하는 효과가 있다. 신한은행은 지난해 10월 말 망 분리 작업에 착수했으나, 하필 이번 해킹에 악용된 ‘업데이터관리서버’(PMS) 영역에는 적용하지 않았다. 농협은 2011년 전산 마비 해킹 때 망 분리를 지적받고도 개선하지 않았다. 국가·공공기관이 아닌 대부분의 민간에서는 망 분리 대신에 보안 소프트웨어를 사용하는 경우가 많다. 망 분리는 내·외부용 PC를 따로 써야 해 최소 2배 이상의 비용이 들기 때문이다. 또 방송사의 취재기자들처럼 외부와 자주 접속해야 하는 직군에서 망 분리를 꺼리는 것도 이유가 된다. 또 피해 금융기관은 정보보안인증제도(ISMS) 인증도 외면한 것으로 나타났다. 일정 규모 이상의 포털·쇼핑몰 등 주요 정보통신서비스 제공자들은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정에 따라 지난달 18일부터 보안에 관한 137개 항목, 446개 세부항목으로 구성된 ISMS 인증을 의무적으로 받아야 한다. 방송통신위원회는 은행도 ISMS 의무 대상으로 해석하고 지난주 전국은행연합회에 협조 공문을 발송하기도 했다. 하지만 은행 대부분은 “이미 전자금융거래법과 전자금융감독규정에 따라 높은 수준의 규제를 받는다”는 이유로 소극적인 태도를 보였다. 한편 합동대응팀은 피해 기관의 PC와 서버를 추가 확보해 분석하고 있지만 해킹의 주체나 공격 경로 등은 아직 밝혀내지 못하고 있다. 홍혜정 기자 jukebox@seoul.co.kr

지난 20일의 사이버 공격은 시기적으로나 규모면에서 주목할 만하다. 북한과의 갈등이 최고조에 달한 상황에서, 지능형지속가능공격(APT)이란 이름조차 낯선 유형의 사이버 공격으로 인한 충격과 불편은 매우 컸다. 주요 언론사와 금융기관의 서버가 집중공격을 당했고, 그에 연결된 수많은 컴퓨터가 피해를 입었다. 의도적 공격이란 점은 분명했고, 목표가 사전에 설정돼 있었다는 점만으로도 두려움은 배가됐다. 이번의 공격이 새로운 유형의 것이지만 2009년의 디도스 사태나 2011년의 농협 전산망 해킹사건 등을 돌이켜볼 때 새삼스러운 것은 아니다. 그럼에도 사이버 공격에 대한 국민과 정부, 언론의 반응을 보면 서로 간에 미묘한 차이가 느껴진다. 공격 대상이 대형 기관의 서버였기 때문에 은행 거래를 제외하곤 국민들이 직접 피해를 입지 않았다는 점에서 그나마 다행이다. 대다수의 국민은 가슴을 쓸어내리면서 사이버 안보의 중요성을 새삼 인식했을 것이다. 하지만 정부와 언론의 반응에는 주목할 만한 점이 있다. 먼저 새 정부가 갓 출범한 상황에서 상대적으로 사이버 위기를 봉합하고 해소해 가는 데 있어 정부의 존재감이 약했다. 사이버 안보가 복잡한 정보기술의 발전을 바탕으로 한 최근의 현상이라는 점을 감안하더라도, 전문성을 갖춘 정부 책임자가 나서 국민을 안심시키는 모습을 기대하는 것은 무리였을까? 물론 사이버 공격과 방어의 속성상 정부의 대응태세를 공개적으로 밝히기 어려운 점이 있을 것이다. 하지만 오래전부터 사이버 공격이 반복돼 왔는데, 정부의 대응은 여전히 제자리걸음인 듯하다. 이런 점에서 이번 사이버 공격 사태는 기술보다 정책의 관점에서 짚어봐야 할 점이 더 많다. 사이버 공격은 어떤 형태로든 지속적으로 반복될 것이고 새로운 방식으로 시도될 것이다. 하지만 지금까지 정부의 대응이 상대적으로 약했던 데에는 관련 부처들의 역량이 분산돼 있다는 점이 크게 영향을 미쳤다. 정보기관, 군, 경찰, 검찰, 안전행정부, 방송통신위원회 등으로 권한과 기능이 나뉘어 있어 대형 사건이 일어날 때마다 누구를 바라보아야 할지 막막하다. 관련된 부처 간 조정과 통합 문제는 오랫동안 논의돼온 이슈임에도 여전히 가시적인 성과가 없다. 정치적 결단이 필요한 사안이다. 언론의 반응은 좀 더 심각했다. 무엇보다도 보도 행태에 있어 신중함을 엿보기 힘들었다. 언론기관이 집중 공격을 받은 탓도 있지만, 보도의 내용은 흥분에 가까웠다. 여러 가지 면에서 북한이 공격의 배후로 의심될 수 있지만, 정부나 신뢰 있는 기관의 공식적인 조사와 발표가 없는 상황에서 지나친 추측성 기사가 쏟아져 나왔다. 사실관계를 확인하는 모습보다는 그럴듯한 시나리오를 엮어내는 모습이 더 두드러졌다. 사건의 속성상 원인과 책임을 밝혀내는 데 오랜 시간이 걸리기 때문에 예단하는 일은 가급적 삼갈 필요가 있다. 정보강국으로서 우리의 위상은 높다. 초고속인터넷과 모바일기기들이 일상화되고 전자정부와 전자상거래는 국민의 삶의 질을 높여 왔다. 사이버 공격은 이런 변화의 이면에 불가피하게 동반되는 해악으로 인식돼야 하며, 이전의 위협과는 전혀 다른 성질을 띠고 있다. 고혈압과 당뇨와 같은 선진국형 질병처럼 사이버 안보는 이제 선진국형 위협이 되고 있다. 평소에 관리를 잘하면 큰 문제를 예방할 수 있지만 완전히 제거하기는 쉽지 않다. 방만한 자세로 대응하다간 큰 화를 자초한다. 이런 맥락에서 이번의 사이버 공격은 우리의 대응태세를 재정비하는 데 중요한 계기를 마련해주고 있다. 정부의 관리능력 제고를 위한 조직 개편과 권한 재설정, 특히 컨트롤타워의 구축이 시급하며 사건을 대하는 언론의 자세에도 변화가 요구된다. 사이버 안보의 중요성에 대한 국민의 인식과 대비도 한층 더 강화돼야 한다. 남북한 간 긴장이 고조된 상황에서 사이버 위협은 이제 최우선의 안보 현안이 되고 있다. 정보강국의 위상이 높아질수록 사이버 위협에 대한 취약성도 비례해 증가하며, 국가 전체에 미치는 영향은 상상을 초월한다. 이 모든 것을 다시금 되새기고 재정비하는 데 있어 이번 사이버 공격은 최선의 전초전이 돼야 할 것이다.

방송통신위원회가 지난 20일 주요 방송·금융기관의 전산망을 마비시킨 악성코드가 중국발 인터넷(IP) 주소가 아닌 국내 컴퓨터에서 전파됐다고 번복하면서 정부의 정보 보안 위기 대응 능력에 의문이 제기되고 있다. 국내 최고의 전문가들로 이뤄졌다는 정부 합동대응팀이 기본적인 사안조차 제대로 확인하지 못한 것이다. 2008년 정보통신부 해체로 인한 ‘정보기술(IT) 컨트롤 타워’의 부재가 ‘사이버전(戰)’ 대처 능력을 현저히 떨어뜨렸다는 비판이 거세지고 있다. 방통위는 22일 해킹을 유발한 악성코드가 애초 정부 발표와 달리 농협 내부의 컴퓨터에서 전파된 것으로 나타났다고 밝혔다. 전날 정부가 중국 IP로 공식 발표했다는 점에서 ‘정확한 조사 없이 다른 나라를 거론해 외교적 결례를 범했다’는 비난을 피할 수 없게 됐다. 전날 방통위는 신원이 밝혀지지 않은 해커가 중국 인터넷을 경유해 피해 기관의 백신 소프트웨어(SW)를 배포하는 업데이트관리서버(PMS)에 접속해 악성파일을 심어 놓은 뒤 정해진 시간에 하위 컴퓨터의 부팅 영역을 파괴하도록 했다고 밝혔다. 이런 발표에 따라 청와대는 북한의 소행일 수 있다는 데 무게를 두고 조사를 진행해 왔다. 2011년 3월 디도스 공격 등 과거 북한이 중국 IP를 사용해 사이버 테러를 자행한 사례가 있기 때문이다. 하지만 결과적으로 방통위가 대통령에게 부정확한 보고를 해 정부가 잘못된 판단을 내리게 했다. 섣부른 발표로 국민에게 혼란만 가중시켰다는 비난 또한 피하기 어려워 보인다. 이번 ‘3·20 대란’과 같은 비상사태에 신속하고 주도적으로 대응할 ‘컨트롤 타워’가 없다는 게 이번에도 발목을 잡았다. 이명박 정부가 들어서면서 정보통신부를 해체해 정보 보안 위기 대응 분야를 주도한 ‘플랜B’(대안)를 구축하지 않은 게 결정적이었다. 이와 함께 사이버 대란 때마다 매번 주요 원인으로 거론되는 ‘액티브X’가 이번 사태에도 한국 정보 보안의 발목을 잡았다는 지적이 대두되고 있다. 액티브X란 미국 마이크로소프트(MS)가 자사 웹브라우저인 ‘인터넷 익스플로러’(IE)에서 쓰기 위해 1996년부터 상용화한 기술로, 다양한 응용 프로그램들을 PC에 자동으로 설치할 수 있게 도와준다. 하지만 원래 의도와 달리 현재는 여러 악성 프로그램들의 유통 경로로 악용되면서 골칫거리로 전락했다. 사용자가 별 생각 없이 ‘OOO가 배포한 XXX에서 추가 기능을 수행하려 합니다’라는 표현에 ‘예’(혹은 ‘YES’)를 클릭하는 것만으로도 PC에 악성코드가 설치돼 활동할 수 있게 된 것이다. 심지어 악성코드를 잡아내야 할 백신들조차도 액티브X를 쓰고 있어 언제든 악성코드를 퍼뜨리는 숙주로 돌변할 가능성이 높다. 이번 사태에도 해커가 농협의 백신 소프트웨어 배포 관리 서버에 접속한 뒤 액티브X를 활용해 악성코드를 확산시켰다. 하지만 IE의 국내 시장 점유율이 90%가 넘다 보니 액티브X를 쓰지 말라고 하기도 어려운 실정이다. 지난해 4월 방송통신위원회와 행정안전부의 조사에 따르면 민간 및 행정기관의 주요 웹사이트 200곳 가운데 84%인 168곳이 액티브X를 사용하는 것으로 나타났다. 특히 액티브X 사용을 전제해 만든 공인인증서 시스템 때문에 금융권이나 쇼핑몰의 경우 거의 모두가 액티브X를 쓰고 있다. 여기에 일부 백신에 지나치게 의존한 국내 보안시장 구조도 약점으로 거론된다. 현재 업계에서 추정하는 기업용 백신의 시장 점유율은 ▲V3(한국) 55~60% ▲하우리(한국) 12~155% ▲카스퍼스키(러시아) 7~10% 순으로, 이 셋만 합쳐도 전체의 80%를 넘는다. 해외 해커들이 이 세 백신만 연구하면 손쉽게 보안벽을 열 수 있어 한국이 상대적으로 공략하기 쉬운 국가로 여겨질 수 있다는 게 업계의 설명이다. 실제로 해커들이 V3의 소스코드만 확보해도 이를 기반으로 백신 우회기술을 적용한 악성코드를 만들어내 국내에 절반이 넘는 컴퓨터에 곧바로 배포할 수 있게 된다. 류지영 기자 superryu@seoul.co.kr

방송사와 금융기관의 내부 전산망 마비 사태를 일으킨 악성코드가 중국에서 유입된 것으로 확인됐다. 중국을 경유한 북한의 소행일 가능성에 무게가 실리고 있다. 청와대 고위 관계자는 21일 “북한의 소행일 가능성에 강한 의구심을 갖고 모든 가능성에 대해 면밀히 추적하고 있다”며 “국가안보실을 중심으로 대처하고 있다”고 말했다. 그는 이어 “정부 관계 부처와 민간이 참여하는 가칭 ‘국가사이버안전전략회의’를 신설하는 방안도 검토되고 있다”고 밝혔다. 전날 구성된 민·관·군 사이버 위협 합동대응팀은 PC·서버 로그 기록과 악성코드에 대한 추가 분석을 통해 해커의 실체를 밝히는 데 주력하고 있다. 방송통신위원회는 공식 자료를 통해 “농협시스템을 분석한 결과 중국 IP(101.106.25.105)가 내부 업데이트 관리 서버에 접속, 악성코드를 생성했다”며 “피해 기관 6곳 모두 동일 조직에 의해 공격이 자행된 것으로 판단하고 있다”고 설명했다. 중국 인터넷을 경유해 피해 기관의 백신 소프트웨어(SW) 배포 관리 서버(PMS)에 접속, 악성코드를 심어 놓은 뒤 정해진 시간에 하위 컴퓨터의 부팅 영역을 파괴하도록 명령했다는 것이다. 이번 해킹 사건으로 방송사와 금융기관의 PC와 서버 3만 2000여대가 피해를 본 것으로 집계됐다. 피해 기관의 내부 전산망이 완전히 정상화되는 데는 최소 4~5일이 걸릴 것으로 예상된다. 한편 중국 외교부의 훙레이(洪磊) 대변인은 이날 정례 브리핑에서 “다른 나라의 IP 주소를 이용해 공격하는 것은 해커들이 통상 사용하는 수법”이라면서 자국과는 상관없는 일이라는 견해를 피력했다. 훙 대변인은 한국 정부의 수사 요청에 협조할 수 있느냐는 질문에는 구체적인 답변 대신 “중국은 국제사회와 상호 존중, 신뢰의 기초 위에서 건설적 협력을 할 것”이라고만 답했다. 홍혜정 기자 jukebox@seoul.co.kr 이지운 기자 jj@seoul.co.kr 베이징 주현진 특파원 jhj@seoul.co.kr

방송사와 금융기관의 전산망 해킹에 사용된 악성 코드가 중국에서 유입된 것으로 확인되면서 북한 소행 여부에 관심이 집중되고 있다. 민·관·군 사이버위협 합동대응팀이 21일 피해 금융기관 시스템을 분석한 결과 중국 IP(101.106.25.105)를 경유한 해커가 내부 업데이트관리서버(PMS)에 접속한 뒤 악성 코드를 생성했음을 확인했다. 하지만 다른 피해 회사의 해킹 경로와 최초 공격지점, 공격자 등 사건의 전모는 여전히 미궁 속에 있다. 다만 중국 인터넷을 이용하는 북한의 해킹 수법을 염두에 두고, 그 가능성을 배제하지 않고 있다. 합동대응팀은 피해 기관의 PMS에서 ‘트로이 목마’ 방식의 악성 코드가 유포돼 서버와 연결된 PC의 부팅 영역을 감염시킨 것으로 보고 있다. 트로이 목마는 정상적인 프로그램으로 위장해 컴퓨터 시스템을 파괴하는 악성 코드다. 트로이 목마 중에는 공격자의 명령에 따라 감염된 PC를 원격제어하고 필요한 정보를 마음먹은 대로 빼내 갈 수 있는 강력한 기능을 갖춘 경우도 있어 위험성이 높다는 게 업계 전문가들의 분석이다. 트로이 목마의 특성상 짧게는 수일부터 길게는 수개월 전에 이미 악성 코드를 침투시켜 놨을 가능성이 높다는 관측도 나온다. 그러나 악성 코드가 보안회사의 업데이트 서버를 경유한 것인지, 일부 백신업체의 주장대로 해커가 지능형지속공격(APT)으로 해당 서버의 관리자 계정을 탈취했는지 등에 대해서는 명확한 결론을 내리지 못했다. 원인 규명이 쉽지 않은 것은 이번 해킹 공격이 기존과는 다른 방식으로, 그것도 치밀한 계획을 통해 이뤄졌기 때문이다. 방송통신위원회 관계자는 “악성 코드 분석에서 피해 기관에 대한 공격 주체는 동일 조직인 것으로 파악됐으나 구체적으로 누구인지는 아직 확인되지 않았다”며 “중국 IP가 발견돼 여러 추정이 나오게 됐지만 현 단계에서는 모든 가능성을 열어놓고 해커 실체 규명에 최선을 다하고 있다”고 말했다. 동일 조직 소행으로 추정하는 이유에 대해서는 “악성 코드가 하드디스크를 손상시킨다는 특징이 피해 사이트에서 공통적으로 나타나고 악성 코드 고유의 문자열이 보이고 있다”고 설명했다. 동일 조직 소행이라는 점을 뒷받침해 주는 다른 정황도 나왔다. 합동대응팀에 참여하고 있는 보안전문기업 잉카인터넷은 6개 피해 기관에서 수집한 악성 코드 표본에 ‘후이즈’에 대한 언급이 있었다고 밝혔다. 잉카인터넷이 표본 악성 코드를 분석한 결과에 따르면 ‘후이즈 팀이 해킹했다’(Hacked by Whois Team)는 글귀와 같은 이메일 주소가 내용에 포함된 것으로 조사됐다. 이 내용은 6개 피해 기관 전산망 마비와 비슷한 시기에 발생한 이동통신사 해킹 사건 증거 화면인 후이즈 메시지와 같은 것이다. 잉카인터넷 관계자는 “후이즈 공격 메시지가 지난해 6월 발생한 중앙일보에 대한 공격과도 유사하다”면서 “올해 경찰청 사이버테러대응센터가 중앙일보 서버의 공격자를 북한으로 결론지은 바 있다”고 말했다. 일각에서는 이번 해킹 공격에 이용된 악성 코드 파일에 2차 공격을 암시하는 문자열이 있기 때문에 추가 피해에 대한 우려를 하고 있다. 신화수 한국인터넷진흥원(KISA) 침해대응센터 단장은 “추가적인 2차 해킹 피해가 있을 수 있다는 얘기가 나오고 있어서 모니터링을 강화했다”고 말했다. 이 때문에 공공기관 보안 모니터링을 담당하는 정보당국도 공공기관에 대한 2차 해킹 공격에 대비해 감시 수준을 강화한 것으로 알려졌다. 홍혜정 기자 jukebox@seoul.co.kr

지난 20일 외부 공격에 의해 국내 주요 방송사와 일부 금융기관의 전산망이 일제히 마비되면서 ‘3·20 대란’이 우리나라 정보 보안 능력의 현주소를 그대로 보여줬다는 냉정한 평가가 나오고 있다. 특정 세력이 불순한 의도를 갖고 대대적인 공격에 나설 경우 청와대를 비롯한 정부기관과 철도 등 기간시설 전산망도 절대 안전하지 않다는 것이 다시 한번 입증됐다. 2003년 ‘1·25 대란’ 때부터 정부와 기업들은 사고 당시에는 “정보 보호를 최우선시하겠다”며 대책 마련에 나섰지만, 10년 넘게 지난 지금까지도 여전히 허점이 많다는 지적이 나온다. 21일 보안업계에 따르면 최근 세계적 해커집단들은 장기적인 계획에 따라 짧게는 6개월, 길게는 3년 이상 준비해 대상을 공격한다. 지난해부터 본격화된 지능형지속위협(APT) 공격을 통해 특정 기업과 기관의 네트워크 시스템을 파괴하는 공격이 더욱 빈번해질 수 있다는 의미다. 특히 전 세계의 거의 모든 PC들이 초고속 인터넷으로 연결되면서 이번처럼 중국 등을 경유해 노트북 한 대로 한국의 금융기관 등을 공격할 수 있는 시대가 됐다. 정보 당국이 어렵사리 용의자를 찾아내도 금세 자취를 감춰 버린다. 사이버 공격은 이처럼 갈수록 지능화, 고도화되고 있지만 평소 보안 시스템을 잘 갖춰 놓은 ‘준비된 기업’이라면 절대 뚫리지 않는다는 게 업계의 설명이다. 김홍선(53) 안랩 대표는 “전 세계 해커집단이 ‘공격 1순위’로 삼는 구글이나 아마존, 페이스북과 같은 업체들이 건재한 것도 이런 이유”라면서 “보안 업체가 서버와 PC 등에 제공하는 보안 패치를 꾸준히 업데이트하고 비밀번호를 수시로 바꿔 주는 등 최소한의 조치만 해도 쉽게 공격당하지 않는다”고 말했다. 이 때문에 국내 금융 전산망과 방송국 서버들이 뚫린 것을 두고 보안의식 부재를 성토하는 의견이 쏟아지고 있다. 2003년 대란 이후 10년이 지났지만 달라진 게 별로 없다는 것이다. 특히 금융 거래망은 창구 거래를 위한 영업점 단말기는 물론 현금자동입출금기(CD·ATM)와 인터넷뱅킹 등 금융 거래 전부가 연결돼 하루 226조원이 거래되는 한국 경제의 ‘핏줄’이다. 악성코드를 통한 해킹으로 여러 은행이 공동으로 공격당할 수 있다는 점은 지난해부터 경고됐지만 이번에도 은행들은 눈 뜨고 당했다. 어떤 공격에도 견뎌내야 하는 네트워트여서 이번 사태가 더욱 뼈아프다. 현재 금융 당국은 금융회사의 정보 보호 예산 비중을 전체 정보기술(IT) 예산의 5% 이상으로 유지하는 ‘5%룰’을 권하지만 이를 지키는 업체는 많지 않다. 보안 관련 업무를 최고경영자(CEO) 직속에 두고 직접 챙겨야 한다는 지적도 끊이지 않지만 실제로 이를 실천한 곳은 현대캐피탈 등 일부에 불과하다. 2011년 4월 이후 2년 만에 또다시 전산망 마비 사태를 빚어 망신을 산 농협은 지금도 서버 관리를 외주 직원에게 맡기고 있다. ‘소 잃고도 외양간 고칠’ 생각조차 없어 보인다. 정부의 대응 능력 미숙도 아쉬운 대목이다. 정부는 2003년 1·25 대란 이후 인터넷 이상 징후를 모니터링하고 대응할 수 있는 ‘인터넷침해대응센터’(KISC)를 설립해 모니터링 체계를 구축했고 정보통신망법도 개정했다. 2009년 ‘7·7 대란’ 이후에는 ‘국가 사이버 안전체제’가 구축돼 한국인터넷진흥원(KISA)을 중심으로 방송통신위원회, 국가정보원, 국방부 등 정부 기관과 백신·이동통신업체 등 민간 사업자들을 실시간으로 연결해 주는 시스템도 갖춰졌다. 그럼에도 3·20 대란과 같은 비상사태에 신속하고 주도적으로 대응할 ‘컨트롤타워’가 없다는 게 약점으로 지적된다. 이명박 정부가 들어서면서 정보통신부를 해체한 게 영향이 컸다. 여기에 올해 정부의 정보보호 예산은 2400억원으로 지난해 2633억원보다 10% 가까이 줄었다. 행정안전부와 방송통신위원회가 이 예산 가운데 1000억원 이상을 쓰는 점을 감안하면 나머지 부처들은 그야말로 ‘면피성’ 수준에 머물고 있다. 특히 일관성 없이 짝수 해에는 예산을 크게 늘렸다 홀수 해에는 다시 줄이는 ‘갈짓자’ 행보를 반복해 비판받고 있다. 2009년(7·7 대란)과 2011년(3·4 대란)에 사이버 대란이 발생하자 여론을 의식해 다음 해 예산을 크게 늘리지만 이듬해 별 문제가 없으면 곧바로 예산을 줄이는 행태가 반복되고 있다. 류지영 기자 superryu@seoul.co.kr

20일 해킹으로 전산망이 마비됐던 KBS와 MBC, YTN 등이 대부분 안정을 되찾았다. 내부 전산망이 복구되고 손상된 개별 PC를 수리 중이지만 일부 지역사들은 제작시스템이 정지하는 등 여전히 어려움을 겪고 있다. KBS와 MBC, YTN 등 방송 3사에 따르면 훼손된 전산망은 21일 대부분 복구됐다. 피해 방송사들은 밤샘 복구작업을 벌여 이날 오전 업무용 인터넷망을 정상화했다. KBS 관계자는 “오늘 오전 업무용 전산망과 보도, 편성, 광고 등 주요 서버에 대한 복구작업을 마쳤다”면서 “직원들이 배포된 백신을 이용해 개별 PC의 바이러스를 치료하는 중”이라고 말했다. MBC의 경우 밤새 사내 전산망의 복구를 마쳤다. YTN 역시 인터넷망을 복구하고, 손상된 제작 장비의 하드디스크 복구 작업을 벌이고 있다. 하지만 해킹의 범위가 워낙 광범위해 피해를 입은 PC의 복구에는 시간이 걸리고 있다. KBS는 5000대, MBC는 800대, YTN은 500대의 PC가 각각 피해를 본 것으로 알려졌다. 한편 이런 가운데 지방 MBC 등은 일부 시스템이 정지돼 골치를 썩이고 있다. 춘천MBC 등 기타 지역은 본사와 달리 자체 서버를 사용해 전날 전산망 장애에서 큰 피해를 입지 않아 기사 작성이나 인터넷 접속에 문제는 없었다. 하지만 통합정보시스템이나 인트라넷 등 본사와 연결된 시스템은 현재까지 접속이 불안한 상황이다. 전주 MBC의 한 관계자는 “본사에서 복구 과정 중에 2차 피해를 우려해 서버를 차단해 일시적으로 제작 시스템 사용이 중단되고 있다”고 말했다. 다행히 이들 방송사들이 제작이나 방송 송출 관련 시스템은 별도의 폐쇄망을 이용해 아직까지 방송사고는 발생하지 않았다. 이런 가운데 공영방송사의 보안시스템을 우려하는 목소리도 나오고 있다. 재난방송 주관방송사인 KBS는 정보보호 대응지침에 따라 조치했다고 밝혔지만 내부 전산망 마비로 지침이 제때 공유되지 못했고, 대응지침의 존재조차 모르는 직원들도 있었다. 오상도 기자 sdoh@seoul.co.kr

국내 방송사 및 금융기관의 전산망을 마비시킨 악성코드가 중국에서 유입된 것으로 21일 확인됨에 따라 전날 발생한 사이버테러가 북한의 해킹일 가능성에 무게가 실리고 있다. 전문가들은 북한의 사이버전 수행 능력과 공격 형태를 감안할 때 개연성은 높지만 배후 확증은 쉽지 않을 것으로 보고 있다. 수사당국은 2004년 6·21 국방연구원 해킹, 2009년 7·7 및 2011년 3·4 디도스(DDoS) 공격과 농협 전산망 마비, 지난해 6월 중앙일보 서버 해킹 등 주요 사이버 테러의 배후로 북한을 지목해왔다. 그동안 일련의 공격에 동원됐던 해외 서버가 같은 경우가 많았고, 일부 공격의 경우 북한 체신성의 조선체신회사(KPTC)가 중국에서 할당받은 IP 대역에 접속된 게 포착됐다. 이번 3·20 전산망 마비에도 동일한 해외 서버들과 IP 대역이 활용됐다면 북한이 연관됐을 가능성은 한층 높아진다. 북한은 1980년대 후반부터 사이버전에 대비해 기술장교 육성기관인 ‘김일자동화대학’(옛 미림대학)에 전자전 양성반을 두고 전문 해커를 양성해왔다. 정보당국은 북한의 해킹 등 사이버전 능력이 높은 수준으로, 미국 중앙정보국(CIA) 수준 이상인 것으로 평가하고 있다. 특히 2009년 2월 인민무력부 산하 정찰국과 노동당 산하 작전부, 35호실 등 3개 기관을 통합해 대남·해외업무를 총괄하는 정찰총국을 신설했고, 휘하의 사이버전지도국(일명 121국)에 3000여명의 전문 인력을 배치한 것으로 전해진다. 군 관계자는 “북한은 사이버 방호력은 높지만 국가 기간시설의 사이버 의존도는 낮아 전략적으로 사이버테러를 강행하기에 유리하다”고 진단했다. 이동훈 고려대 사이버국방학과 교수는 “북한에서 해킹 공격을 시도하려면 경유지가 필요하고 가장 손쉬운 경로가 중국”이라면서 “2009년 디도스 테러가 무작위적 공격에 가까웠다면 이번 해킹은 목표물을 미리 정해 최적화된 공격을 기획한 것으로 진화된 행태”라고 분석했다. 이번 해킹의 정치적 목적성을 감안 하면 북한일 가능성이 높다는 분석도 제기된다. 북한은 지난 15일 조선중앙통신을 통해 자국 인터넷 서버가 해킹당하고 있다고 밝히며 보복을 예고했었다. 이상진 고려대 사이버국방학과 교수는 “이번 공격은 악성코드가 하드디스크를 망가뜨리는 형태로 추후 우리 측에서 백신을 만들어 배포할 것”이라면서 “백신을 만들면 이는 더 이상 쓸모 없게 되므로 경제적 이득보다 정치적 시위의 목적이 더 큰 것으로 추정된다”고 설명했다. 하지만 이 교수는 “전 세계 해킹 공격이 중국 IP를 경유하는 사례가 많아 악성코드를 정밀 분석하기 전에는 배후를 단정하기 어렵다”고 밝혔다. 하종훈 기자 artg@seoul.co.kr

20일 해킹에 의한 전산망 공격으로 금융권과 방송가는 초비상이 걸렸다. 특히 은행 거래와 체크카드 사용이 한때 전면 차단되면서 고객들의 불편과 혼선이 극에 달했다. 금융감독원은 고객 피해가 발생하면 금융회사가 전액 보상하도록 지시했다. 신한은행은 오후 2시 15분부터 갑자기 내부망 접속이 끊겼다. 영업점 창구업무가 마비됐고 인터넷뱅킹·현금자동입출금기(CD·ATM) 등이 모두 작동하지 않았다. 서울 중구 태평로의 신한은행 본점은 ‘전산장애로 업무처리에 불편을 드려 대단히 죄송합니다. 장애가 복구되는 대로 금일 중 처리가 필요한 업무에 대해서는 업무시간과 상관없이 처리해 드리도록 하겠습니다’라는 내용의 안내문을 입구에 붙였다. 이창석(58)씨는 “급하게 처리할 업무가 있어 을지로 근처의 신한은행 세 곳을 갔는데 모두 안 돼서 화가 난다”면서 “예금한 돈이 없어지는 게 아닌지 걱정도 된다”고 했다. 온라인에서도 마찬가지. 트위터 아이디 ‘@ove**’는 “전 재산이 신한은행에 있는데”라고 했고, ‘@ocs**’는 “오늘 월급날인데 신한은행 마비ㅠㅠ”라고 썼다. 오후 4시쯤 전산망이 복구됐지만 신한은행은 영업시간을 평소보다 두 시간 늘린 오후 6시까지로 했다. 신한은행 관계자는 “컴퓨터 시스템상 문제일 뿐 예금이나 대출한 돈에는 이상이 없으니 안심하라”면서 “정보개발부에서 원인 파악과 복구에 최선을 다하고 있다”고 말했다. 2011년 대규모 전산 장애로 홍역을 치렀던 농협은 전산 공격에 노출되자 사색이 되다시피 했다. 오후 2시 15분쯤 중앙회와 은행 영업점에서 일부 PC가 바이러스에 감염돼 마비됐다. 농협은 즉각 영업점을 포함한 모든 사무소의 PC, 단말기 및 자동화기기의 랜선을 분리시켜 피해 확산을 막았다. 농협 측은 “메인 서버에는 이상이 없다”고 밝혔다. 오후 3시 45분쯤 전산망이 복구됐지만 신한은행과 마찬가지로 영업시간을 연장했다. 전산망이 마비될 경우 가장 치명적인 타격을 받는 증권사들은 이날 공격을 받지 않았으나 만약의 사태에 대비해 비상조치에 들어갔다. 하나대투증권은 사내 메신저와 이메일 시스템 접속 등을 차단했다. 메리츠종금증권은 이번 사태의 원인이 밝혀질 때까지 공용 단말기나 사용자가 없는 컴퓨터의 전원을 끄기로 했다. SK증권은 21일 오전 8시까지 고객용 컴퓨터를 한시적으로 멈춘다. KBS, MBC, YTN 등 방송 3사는 오후 2시 10분쯤부터 사내 전산망이 마비돼 업무처리에 어려움을 겪었다. 방송 송출은 정상적으로 이뤄졌으나 사무실 전산망은 물론 일부 방송용 편집기기까지 다운돼 긴급 복구 작업이 진행됐다. KBS 관계자는 “재부팅을 하라는 메시지에 따라 PC를 재부팅하면 ‘파일이 삭제됐다’는 신호가 떴다”면서 “긴급한 상황으로 판단해 외부 전산망을 차단하고 모든 PC의 전원을 껐다”고 전했다. 각 방송사의 보도국 기자들은 휴대전화로 원고를 부르거나 손으로 써 팩스로 전송했다. 24시간 생방송 뉴스를 진행하는 YTN의 피해가 가장 컸다. YTN 관계자는 “뉴스 진행 도중 사내 PC가 다운되더니 재부팅이 안 됐다”며 “컴퓨터 500대 정도가 불능상태”라고 전했다. 라디오국과 드라마국 등 제작 분야도 피해를 봤다. 한 지상파 방송의 라디오국 관계자는 “디지털 아카이브에서 음원을 가져와 신청곡을 틀어주는데, 전산망 마비로 해당 가수의 CD를 직접 찾아 방송했다”며 “온라인으로 청취자 사연과 문자를 받는 게 불가능했고 생방송 진행을 위한 ‘큐시트’를 볼 수 없어 원고를 직접 손으로 써 전달했다”고 말했다. 다만 SBS는 이번 사태와 관련, 어떤 피해도 입지 않아 궁금증을 더하고 있다. SBS 관계자는 “내부 전산망 장애 같은 이상 징후는 없었다”면서 “피해를 입은 방송사들과 달리 우리는 다른 통신망을 주로 사용하는 게 이유가 아닐까 생각한다”고 밝혔다. 이번 해킹과 관련, 한 지상파 방송 관계자는 “KBS와 MBC는 공영방송이고 YTN은 24시간 보도 전문채널이라 표적이 된 것 같다”고 분석했다. 일각에선 국가기간방송이자 재난방송인 KBS가 피해를 입어 공영방송의 보안에 허점이 있는 것 아니냐는 지적도 일고 있다. KBS 관계자는 “이번 해킹으로 10%의 인터넷 전산망만 피해를 입었다”면서 “나머지 90%의 방송망은 뚫리지 않았고 방송도 정상적으로 이뤄졌다. 인터넷 해킹을 기술적으로 완벽하게 차단하는 것은 현실적으로 어렵다”고 설명했다. 조은지 기자 zone4@seoul.co.kr 이민영 기자 min@seoul.co.kr 오상도 기자 sdoh@seoul.co.kr

20일 주요 방송사(KBS, MBC, YTN)와 금융권(농협, 신한은행)의 전산망 마비 사태는 ‘악성코드에 의한 해킹’ 때문에 발생한 것으로 밝혀졌다. 정부 사이버 위협 합동대응팀이 피해 기업에서 채증한 악성코드를 분석한 결과 악성코드는 업데이트 관리서버(PMS)를 통해 유포됐으며 PC 부팅영역(MBR)을 파괴시킨 것으로 드러나고 있다. 악성코드의 유포 경로가 유명 백신업체 두 곳의 업데이트 서버일 가능성이 제기된 가운데 유포 경로로 지목된 한 업체가 이번에 발견된 악성코드가 자사의 백신 프로그램의 구성모듈 파일로 위장한 사실을 인정했다. 보안전문업체 하우리는 “자사의 백신 프로그램 ‘바이로봇’의 구성모듈 파일인 ‘othdown.exe’로 위장한 악성코드가 특정 언론사와 금융기관에 침투했다”며 “악성코드가 침투한 뒤 하위 클라이언트 사용자까지 내려가 실행돼 전산망 마비를 일으켰다”고 설명했다. 하우리는 파괴된 정보를 복구하는 것은 불가능할 것으로 진단했다. 하지만 누가 어떤 이유로 해킹 공격을 감행했는지에 대해서는 밝혀지지 않았다. 이 때문에 ‘북한 해킹설’에서부터 ‘제3국 소행설’까지 다양한 추측이 나오고 있다. 특히 북한에서 지난 13일 원인 모를 행정망 마비 사태가 발생한 것과 무관치 않다는 지적도 있다. 피해 기업들에 통신망을 제공하고 있는 KT, SK브로드밴드, LG유플러스 등 통신사들의 자체 네트워크는 이상 징후가 감지되지 않았다. 과거 북한이 국내 주요 기관에 감행한 디도스 공격은 일부 컴퓨터를 좀비 PC로 확보한 뒤 다른 컴퓨터에 명령을 내려 특정 사이트를 다운시켰다. 그러나 이날 발생한 전산망 마비는 사이트는 운영되면서 은행 거래를 위한 내부 전산망만 다운됐거나 PC 부팅이 안 되는 등 디도스 공격과는 다른 양상을 보이고 있다. 이동통신 관계자는 “네트워크 트래픽에 이상 징후가 없다”며 “일부 홈페이지에 해골 모양이 뜨는 등 해킹이 의심된다”고 말했다. 전문가들은 이번 전산망 마비 사태는 고도의 해킹 기술을 가진 해커의 소행으로 보고 있다. 이상진 고려대 사이버국방학과 교수는 “별개의 조직이 동시에 다운되는 건 사이버 테러가 아니고서는 있을 수 없는 일”이라며 “특정기관의 취약점을 찾아 핵심 시스템을 공격하는 지능형 지속해킹(APT)이라는 최신 해킹수법을 계획적으로 쓴 것으로 보인다”고 말했다. 일부에서는 해킹 공격을 감행한 것이 북한일 가능성도 조심스럽게 제기한다. 북한은 그동안 여러 차례에 걸쳐 ‘특별행동’, ‘조준타격’ 등의 단어를 사용하며 한국 언론의 보도 행태를 비판한 바 있다. 지난해 4월과 6월 두 차례에 걸쳐 동아일보와 KBS, MBC, YTN, 조선일보, 중앙일보 등에 대해 ‘특별행동’을 하겠다고 위협했다. 이정남 동국대 국제정보대학원 겸임교수는 “대한민국 시스템을 마비시키기 위해 은행과 방송국을 공격한 사이버 테러일 가능성이 크다”면서 “북한 소행일 가능성이 크지만 다른 나라에서 우리나라 사이버 상황을 체크하기 위해 시범적으로 해본 것일 수도 있다”고 말했다. 해킹 공격을 자처하는 ‘후이즈’(Whois)라는 단체도 나왔다. 이들은 해킹 화면에서 이마에 총상 흔적이 있는 해골 그림과 함께 “후이즈 팀에 해킹당했다”는 문구를 적시했다. 한편 사이버 위협 합동대응팀은 감염된 PC와 감염되지 않은 PC를 수거해 분석하고 있다. 이승원 방송통신위원회 네트워크정보보호팀장은 “조만간 분석을 마친 뒤 백신을 최우선으로 배포할 것”이라며 “백신은 보통 (악성코드 공격) 다음 날 나온다”고 말했다. 홍혜정 기자 jukebox@seoul.co.kr 배경헌 기자 baenim@seoul.co.kr [용어 클릭] ■악성코드 악성 프로그램 또는 비바이러스 악성코드. 컴퓨터 바이러스와 달리 다른 파일을 감염시키지는 않지만 악의적인 용도로 사용될 수 있다. 트로이목마, 스파이웨어, 해킹툴, 악성 자바스크립트 등이 있다. ■DDoS(Distributed Denial of Service) 다수의 PC를 이용, 특정 사이트에 대량의 트래픽을 전송함으로써 시스템상에 과부하를 유발시켜 정상적인 서비스를 방해하는 사이버 공격을 말한다.

국내에 국가 단위의 해킹 피해가 처음으로 발생한 것은 2003년이다. 그해 1월 25일 마이크로소프트(MS)의 데이터베이스용 소프트웨어인 ‘SQL 서버’가 공격당하면서 인터넷을 마비시킨 이른바 ‘1·25 대란’이 발생했다. 전 세계에 인터넷 접속장애를 호소하는 신고가 폭주했고, 불과 수십분 만에 전 세계 7만 5000여개의 시스템이 감염됐다. 한국에서는 8800여개의 서버가 공격당하면서 7시간 동안 전국적으로 인터넷이 두절되는 등 국가적 혼란 사태가 나타났다. 한국이 피해가 컸던 것은 통신사업자들의 보안의식이 결여됐기 때문이었다. MS가 배포한 보안패치만 업데이트했더라도 충분히 막을 수 있는 사건이어서 정보기술(IT) 강국이라는 자존심에도 큰 상처를 입었다. 1·25 대란 이후 인터넷 이상 징후를 모니터링하고 대응할 수 있는 ‘인터넷침해대응센터’(KISC)가 설립돼 모니터링 체계가 구축됐고 정보통신망법이 개정되는 등 법체계도 정비됐다. 2009년 7월 7일에는 청와대와 국방부, 금융기관 등 22개 국내 주요 인터넷 사이트가 ‘디도스’(DDoS·분산서비스 거부) 공격으로 최장 72시간까지 마비되는 ‘7·7 대란’이 벌어졌다. 당시 피해액만 500억원이 넘는 것으로 추산됐다. 정보통신부 해체로 ‘IT 컨트롤타워’가 사라지면서 정부의 초기 대응이 늦어진 게 화를 키웠다. 방송통신위원회는 사고 발생 이후 6시간이 지나서야 ‘주의’ 경보를 내렸다. 웹사이트 장애의 원인을 파악하는 데 보통 2시간 정도가 걸린다는 점을 감안하면 대처가 늦어도 너무 늦었다. 긴급 대란에 맞설 정부 대응 매뉴얼이 사실상 부재했다고 볼 수 있다. 그나마 1·25 대란 이후 개인과 기업들의 보안의식이 커지면서 더 이상의 피해를 막을 수 있었던 게 다행이었다. 2011년 3월 4일에도 파일공유 사이트의 업데이트 파일을 바꿔치기하는 수법으로 악성코드를 유포해 국내 주요 기관들을 공격한 ‘3·4 디도스 공격’이 발생했지만 피해는 크지 않았다. 2009년 디도스 대란 이후 ‘국가 사이버 안전체제’가 구축되면서 KISA를 중심으로 방송통신위원회, 국가정보원, 국방부 등 정부 기관과 백신·이동통신업체 등 민간 사업자들을 실시간으로 연결해 주는 시스템이 만들어진 덕분이다. 하지만 4월에 농협 전산망이 마비되면서 ‘보안에 완벽은 없다’는 점을 다시금 일깨웠다. 서버 유지 보수를 관리하는 협력업체 직원의 노트북을 통해 악성코드를 심는 데 성공한 해커가 7개월 이상 농협 전산망 관리를 위한 정보를 빼내거나 획득하고 공격 명령을 통해 서버를 파괴했다. 정부는 2009년 이후 발생한 국가적 디도스 공격을 모두 북한의 소행으로 발표했다. 7·7 대란 당시에는 북한이 61개국에서 435대의 서버를 이용해 미국과 한국 주요기관 35개 사이트를 해킹했고 공격 근원지는 북한 조선체신청이 할당받은 중국의 한 인터넷주소(IP)인 것으로 확인됐다고 밝혔다. 류지영 기자 superryu@seoul.co.kr

일단의 해커 그룹이 조 바이든 미국 부통령을 비롯하여 유명 정치, 연예인의 사생활 정보를 해킹해 충격을 주고 있다고 미 언론들이 11일(이날 현지시각) 보도했다. 이번에 해킹을 당한 유명인은 가수 비욘세를 비롯하여 유명 래퍼 제이 지, 배우 킴 카다시안 등 연예인은 물론 힐러리 클린턴 전 미국 국무장관, 에릭 홀더 법무 장관 등 13명에 이르며 로버트 뮐러 미 연방수사국(FBI) 수장도 포함되어 있어 파문이 일고 있다. 이들 해커 그룹은 이들 유명인의 재산 상태를 포함하여 주거지 주소, 사회보장번호, 신용 카드 정보 등 개인 사생활 정보를 한 사이트(exposed.us)에 게재했다. 이 사이트는 ‘비밀 파일’이라는 제목으로 좀비 모습을 한 십 대 소녀의 얼굴 사진을 싣고 있으며 해당 유명인의 이름을 클릭하면 중요한 사생활 정보가 모두 노출되었다. 이 사이트는 러시아에 있는 서버에 근거를 둔 것으로 알려졌으며 FBI는 현재 관련 사건에 관한 조사 여부를 공식적으로 확인하고 있지는 않고 있으나 수사 당국은 해킹 주모자들을 추적하고 있다고 언론들은 전했다. 11일 밤 현재 이 사이트는 1만 5000명 이상의 방문자 수를 기록하고 있다. 다니엘 김 미국 통신원 danielkim.ok@gmail.com

일본 외무성과 미국 연방준비제도이사회(연준)가 해킹을 당한 것으로 알려져 양국의 정보 당국에 비상이 걸렸다. 6일 마이니치신문 등 일본 언론에 따르면 일본 외무성의 개인용 컴퓨터(PC) 한 대가 사이버 공격을 받아 기밀을 포함해 최소 20통의 문서가 유출됐다. 외무성은 내부 공용 PC 한 대가 바이러스에 감염된 채 외부 서버와 통신한 사실을 내각 관방정보보안센터(NISC)를 통해 확인했다고 밝혔다. 이 과정에서 유출된 문서 20통에는 내부 회의자료 등 정부의 3단계 비밀 분류 기준 가운데 2단계에 해당하는 ‘취급주의’ 문서도 포함됐다고 전했다. 일본 경찰과 외무성은 공격 주체가 국외에 있는지, 외무성 내 다른 PC도 공격했는지 등을 조사하고 있다. 일본 중앙 부처가 사이버 공격을 받은 사실이 알려진 것은 올 들어 두 번째다. 지난달 환태평양경제동반자협정(TPP) 협상 관련 기밀문서 20건을 포함한 농림수산성 문서 3000건 이상이 사이버 공격을 받아 외부로 유출된 정황이 포착됐다. 미국 연준의 내부 웹사이트 한 곳도 일시적으로 해킹 공격을 당했으나 은행의 주요 기능에는 문제가 생기지 않은 것으로 알려졌다. 국제적 해킹 집단인 ‘어노니머스’(Anonymous)로 자처한 해커들은 자신들이 지난 3일(현지시간) 연준을 공격해 은행 중역 4000여명의 정보에 접근했으며, 이를 온라인상에 공개했다고 주장했다. IT 전문 매체 지디넷은 어노니머스가 이날 밤 공개한 자료에 은행 중역 4000여명의 로그인 정보와 자격 증명, IP 주소, 연락처 정보 등이 포함된 것으로 보인다고 보도했다. 이들은 최근 스스로 목숨을 끊은 ‘천재 해커’ 에런 스워츠의 죽음에 항의하기 위해 정부기관 홈페이지 해킹을 시도해 왔다. 이에 대해 연준 대변인은 “웹사이트의 일시적인 취약성을 악용해 정보가 빠져나간 것으로 알고 있다”며 “연준 시스템의 중요한 작업에는 영향을 미치지 않았다”고 밝혔다. 그러면서 “정보가 누출됐다는 사실을 발견한 지 얼마 지나지 않아 손을 썼으며 더는 문제 될 것이 없다”고 말했다. 도쿄 이종락 특파원 jrlee@seoul.co.kr

대통령직인수위원회가 17일 난데없는 ‘북한 해킹설’로 곤욕을 치렀다. 인수위 측 관계자가 이날 오전 “인수위가 북한 측의 해킹에 뚫린 흔적이 포착됐다”고 호들갑을 떨었다가 오후에 “북한 측의 소행으로 확인된 바 없다”며 갑자기 말을 바꿨기 때문이다. 국민들은 혼란을 겪을 수밖에 없었다. 이 과정에서 인수위가 해킹 사실을 은폐하고 있는 것 아니냐는 의혹도 제기됐다. 인수위 서버 피해 여부를 떠나 해킹에 취약하다는 것이 사실로 확인되면서 철통 보안을 강조하며 국민들에게 혼란을 주지 않겠다는 인수위는 결국 두 가지 약속 모두를 지키지 못했다는 지적을 받고 있다. 오전 9시 45분쯤 인수위가 입주해 있는 서울 종로구 삼청동 한국금융연수원 본관 2층 기자실의 인터넷 서버가 북한 측 해킹에 노출됐다는 소식이 전해졌다. 이원기 인수위 대변인 실장은 “보안 당국에서 보안점검을 했는데 북한 측 해킹 흔적이 감지됐다고 한다”고 말했다. 이어 “해킹당한 장소는 기자실 근처 서버이며 정보 당국으로부터 해당 내용을 이날 오전에 전달받았다”며 구체적인 내용도 덧붙였다. 그러자 상당수 언론이 “인수위가 북한의 해킹에 뚫렸다”는 소식을 앞다퉈 보도했다. 그러나 북한의 인수위 서버 해킹설은 6시간 만에 일단 ‘해프닝’으로 끝났다. 윤창중 인수위 대변인은 “상업망을 쓰는 인수위 기자들의 노트북 보안이 취약해 보안 당국에서도 철저하게 감시해 온 것으로 알고 있다”면서 “인수위와 관련해서는 보안 문제가 없었다”고 말했다. 그럼에도 의문점은 여전히 남았다. 인수위 측에서 이미 해킹 여부를 파악하고 있었을 가능성도 제기된다. “북한 소행이 아니다”라는 판단을 하기 위해서는 인수위가 해킹을 당했다는 사실 여부가 전제돼야 하기 때문이다. 또 보안 당국이 새 정부 통수권자가 꾸린 인수위에 해킹 여부를 알리지 않았을 리 없다는 게 중론이다. 그렇다면 인수위의 “해킹 여부를 알 수 없다”는 주장은 거짓말이 된다. 이영준 기자 apple@seoul.co.kr

북한은 해킹 공격 당일 10개국으로 분산된 17개 해외 경유지 서버를 활용해 중앙일보 신문제작시스템을 삭제하는 악성코드를 재전송하는 수법을 사용했다. 위장을 위해 이용된 해외 경유지 서버 중 1대는 2011년 3월 4일부터 이틀간 벌어진 이른바 3·4 디도스 공격과 같은 해 4월 농협 전산망 해킹 사건 때 이용된 서버와 같았다. 경찰 관계자는 16일 “전 세계 IP 주소 약 40억개 중에서 한 IP가 우연히 서로 다른 3개 사건에 동시에 공격 경유지 서버로 사용될 가능성은 0％에 가깝다”고 설명했다. 경찰이 북한을 주범으로 꼽는 이유다. 북한 소행이라는 근거로 경찰은 악성코드가 동일하다는 점도 들었다. 중앙일보 해킹에 사용된 16자리 숫자·영문자·특수문자 조합 악성코드가 과거 북한 소행 해킹 사건 때 사용된 악성코드와 똑같았다. 경찰 관계자는 “16자리 관리자 정보 암호 해독에 사용되는 악성코드 키값은 문자와 숫자, 특수문자 조합으로 이뤄지며 제작자가 마음대로 부여한 값이기 때문에 동일 공격자만이 알 수 있다”고 전했다. 북한이 우리나라 웹사이트에 사이버테러를 감행하다가 적발된 것은 다섯 번째다. 앞서 북한은 2009년 7·7디도스 공격, 2011년 3·4 디도스 공격, 같은 해 농협 전산망 해킹과 고려대 이메일 악성코드 유포 등의 사이버 테러를 감행한 바 있다. 7·7 디도스 공격 당시 북한은 체신성 아이피 대역을 이용하는 27만대 좀비 PC를 동원, 전 세계 61개국 435대 서버를 활용해 한국과 미국 주요 기관 등 모두 35개 주요 사이트를 공격했다. 3·4디도스 공격 때는 좀비 PC 10만대를 동원, 해외 70개국 746대 서버를 활용해 청와대, 국회, 언론사 등 국내 정부기관 40개의 사이트를 공략했다. 북한 사이버 테러 대상은 점차 다양해져 한 달여 만에 다시 농협 전산망까지 손댔다. 북한은 해외 13개국에서 27대의 서버를 활용해 농협 금융전산망을 뚫었고 악성코드에 감염된 농협 PC 273대가 파괴됐다. 지난해 4월에는 북한에 대한 비판기사를 썼다는 이유로 국내 보수 언론사 몇 곳에도 선전포고를 했다. 경찰이 분석한 해킹 접속기록을 보면 북한 해커는 지난해 4월 21일부터 약 두 달간 중앙일보의 주요 피해 서버에 집중적으로 접속했다. 이 기간 북한이 악성코드를 심었고, 관리자 PC에 저장된 서버 관리 정보를 해외를 거쳐 이즈원으로 송출했다. 이 정보는 직접적인 해킹 공격에 이용됐다. 이즈원은 공격 당일 10개국으로 분산된 17개 해외 경유지 서버를 활용해 신문제작시스템을 삭제하는 악성코드를 다시 전송했다. 이 명령은 6월 9일 신문 제작에 필요한 일부 서버를 타격했다. 한편 북한의 사이버테러능력은 상당 수준에 올랐다는 것이 전문가들의 평가다. 이동훈 고려대 정보보호대학원 교수는 “북한은 전자전과 서비스 거부 공격, 해킹, 심리전 등 다양한 사이버 공격력을 갖춘 것으로 보인다”고 말했다. 정부기관이나 금융기관, 언론사 등으로 해킹 대상이 갈수록 다양화되고 있어 해당 기관들의 보안대책이 시급하다는 지적이다. 김정은 기자 kimje@seoul.co.kr