“‘사이버테러’ 부정선거를 저지른 한나라당은 즉각 해산하라.” 민주당은 6일 10·26 재·보궐선거 당일 중앙선거관리위원회와 박원순 서울시장 야권 단일후보의 홈페이지(원순닷컴)를 분산서비스거부(디도스) 공격한 한나라당 최구식 의원 비서의 배후 세력으로 한나라당을 지목하며, 한나라당 지도부 전원 사퇴와 당 해체를 요구하는 등 공격 수위를 한껏 끌어올렸다. 국가정보원이 디도스 공격을 방치한 것 아니냐며 청와대 등 윗선 개입 의혹도 제기했다. 김진표 원내대표는 원내대책회의에서 “정당해산 처분도 받을 수 있는 국기 문란 행위”라면서 “헌법에 따르면 정당의 목적이나 활동이 민주질서에 위배될 때 정부는 헌법재판소에 정당 해산을 제소할 수 있고, 정당은 실제로 해산될 수 있다.”고 압박했다. 민주당은 7일 오전 국회에서 ‘한나라당 사이버테러 규탄대회’에 이어 의원총회를 열어 향후 대응방안을 논의하기로 했다. 김유정 원내대변인은 “7일 열리는 의총에서 한나라당 지도부 총사퇴와 해체 요구가 있을 것”이라고 말했다. 민주당은 사건 당일 국정원 사이버안전센터의 늑장 대응 의혹을 거론하며 정보통신이용촉진법뿐만 아니라 공직선거법까지 적용해야 한다고 강조했다. 공직선거법을 적용할 경우 청와대, 국정원 등 업무 관련 해당 공직자들에 대한 처벌이 가능해진다. 박영선 정책위의장은 “디도스 공격에 대한 대응 능력과 시간이 충분했음에도 국정원 사이버안전센터는 투표 당일 2시간 동안 (다운된 사이트를) 방치했다. 분명히 짚고 넘어가야 한다.”고 목소리를 높였다. 국정원 사이버안전센터는 국가정보통신망을 사이버 공격으로부터 방어하는 기능을 담당하고 있다. 그는 한나라당이 국정원 예산을 직권상정해준 점을 언급하며 국정원의 ‘보은’ 가능성을 내비쳤다. 이에 대해 국정원은 “재·보선 당일 북한 등 외부의 불순세력으로 인한 선거방해 등 불의의 사고 발생에 대비해 선관위 홈페이지를 집중 모니터링했고 접속 지연 현상을 발견, 이를 선관위와 행정안전부에 통보해 조치하도록 했다.”고 반박했다. 국정원은 “전자정부법상 중앙선관위 같은 헌법기관이나 민간기관의 경우 요청이 있어야만 국정원이 기술 지원을 할 수 있고, 보안관제를 수행할 수 있다.”면서 “이 때문에 당시 홈페이지 접속 지연만 확인할 수 있었을 뿐 디도스 공격 사실을 곧바로 알 수는 없었던 상황”이라고 밝혔다. 이어 “2시간이 지나 디도스 공격 사실을 확인한 직후 선관위에 북한 소행 여부 등을 확인했으나, 공격에 사용된 좀비PC가 민간인 것이어서 더 이상 조사를 진행하지 못하고 경찰청에 넘긴 것”이라고 전했다. 민주당은 오후 선관위의 디도스 공격 접속 경로 등이 기록된 로그파일 공개가 법적으로 불가능함에 따라 선거 당일 동시 공격을 당한 ‘원순닷컴’ 디도스 공격 로그파일 시연회를 열었다. 원순닷컴은 선거일 새벽 5분간 불법 이행명령에 따른 ‘좀비’ 컴퓨터 72대로부터 1만 3000여건의 동시 접속 공격을 받았다. 강주리기자 jurik@seoul.co.kr

지난 10·26 재·보궐 선거 당일 중앙선거관리위원회와 박원순 서울시장 후보 홈페이지에 가해진 디도스 공격을 두고 경찰과 전문가가 엇갈린 견해를 내놓고 있다. 사건을 수사 중인 경찰청 사이버테러센터는 “디도스 공격에 사용된 좀비PC는 전문적인 기술 없이도 만들 수 있어 전문가들에 의해서만 가능한 해킹과는 다르다.”고 밝혔다. 그러나 컴퓨터 전문가들은 “고도의 기술이 필요해 상당한 금전적 대가를 지불했을 것”이라는 분석을 내놨다. 정보기술(IT) 전문가들은 “이번 디도스 공격이 하룻밤 사이 급조된 범행”이라는 주장에 대해서도 “급조가 아니라 치밀하게 계획한 범행”이라는 입장을 나타냈다. 특히 일부 전문가들은 당일 선관위 홈페이지가 모두 다운된 것이 아니라 ‘투표소 위치 찾기’ 페이지만 열리지 않은 것에 의문을 제기했다. IT보안기술 전문가인 권석철 큐브피아 대표는 “통상 디도스 공격을 당하면 서버 전체가 다운되고 홈페이지에 접속조차 안 되는데, 이번 범행 때는 투표소 검색 페이지만 열리지 않았다.”고 지적했다. 권 대표는 “특정 DB서버만 차단시킨 점, 범행 수개월 전부터 1500대 이상의 좀비PC를 준비했던 점 등으로 미뤄 아마추어의 소행은 아닌 것으로 보인다.”고 말했다. 윤샘이나기자 sam@seoul.co.kr

서울시장을 선출한 지난 10월 26일 재·보궐 선거 당일, 중앙선거관리위원회 홈페이지(www.nec.go.kr)와 박원순 서울시장 후보의 ‘원순닷컴’(www.wonsoon.com)홈페이지를 분산서비스거부(디도스·DDoS) 공격해 마비시킨 주범이 한나라당 최구식(경남 산청) 의원의 수행비서로 확인됐다. 선거 당시 서울의 경우 투표율이 낮으면 야당 측에 불리할 것이란 분석이 있었던 상황에서 여당 의원실 직원이 상대 측 후보자 및 선관위 홈피를 공격한 것으로 드러남에 따라 정치권뿐 아니라 사회적 파장도 만만찮다. 경찰청 사이버테러대응센터는 2일 좀비PC(악성 코드에 감염돼 해커 뜻대로 움직이는 컴퓨터) 200여대를 동원, 선관위와 박 후보의 홈페이지를 다운시켜 선거관리 업무를 방해한 최 의원의 수행비서 공모(27·9급 상당)씨에 대해 정보통신망 이용촉진 및 정보보호법 위반 혐의로 구속영장을 신청했다. 또 공씨의 지시를 받고 실제로 디도스 공격한 정보기술(IT)업체 대표 강모(25)씨 등 3명에 대해서도 같은 혐의로 구속영장을 신청했다. 이들은 초당 263MB 용량의 대량 트래픽을 유발하는 디도스 공격으로 선관위 홈페이지를 약 2시간 동안 마비시킨 혐의 등을 받고 있다. 경찰은 지난달 30일 서울 삼성동 사무실에서 강씨 등을 체포했다. 경찰은 공씨가 투표율을 낮추기 위해 디도스 공격을 했는지, 윗선의 지시를 받았는지 등 정치적 배후를 수사하고 있다. 최 의원은 “사태 내용을 잘 모르는 상황이며 수사는 물론 진상규명에 필요한 어떤 일에도 적극 협조하겠다.”면서 “(내가) 연루된 사실이 드러나면 즉각 의원직을 사퇴하겠다.”고 말했다. 민주당 측은 “초유의 투표 방해 공작이 벌어졌다.”면서 경찰청을 항의 방문했다. 경찰은 공씨가 선거 전날인 25일 밤 홈페이지 제작업체 및 도박 사이트를 운영하는 지인 강씨에게 전화해 선관위 홈피 공격을 요구했다고 밝혔다. 조사 결과 필리핀에 체류 중이던 강씨는 한국에 있는 직원 김모(27)씨에게 디도스 공격을 지시했다. 같은 회사 직원인 황모(25)씨도 공격 진행 과정을 점검하며 범행에 가담했다. 공씨 등 4명은 모두 경남 진주의 한 지역 출신으로 친분이 있는 것으로 알려졌다. 공씨는 현재 범행사실을 강력하게 부인하고 있다. 백민경기자 white@seoul.co.kr

10·26 재·보궐선거 과정에서 발생한 분산서비스거부(디도스·DDos) 공격에 대한 경찰 수사의 초점은 주범으로 드러난 한나라당 최구식 국회의원의 수행비서인 공모(27)씨의 단독 또는 조직적 범행, 윗선의 개입, 당과의 연관성 등에 맞춰지고 있다. 이에 따라 엄청난 사건을 저지른 배경과 동기도 수사 대상일 수밖에 없다. 민주당 측은 정치적 공세에 나섰다. 한나라당 홍보기획본부장인 최 의원이 서울시장 선거 때 나경원 후보 측 선거 캠프에서 적잖은 역할을 맡았던 만큼 “조직적인 차원에서 이뤄진 불법 선거방해 행위”라며 철저한 수사를 요구했다. 또 “1960년 ‘3·15사건’ 이후 최대 부정선거 시도”라고 목소리를 높였다. 더욱이 선거당일 오전 5시 50분~8시 32분 선관위 홈페이지가 마비되면서 ‘출근 전 투표소를 확인하려는 야당 성향의 젊은 직장인들의 선거 참여를 방해하려는 의도적 해킹’이라는 음모설이 꾸준히 제기되어 온 상황인 탓에 네티즌들은 “음모론이 현실로 드러났다.”고 주장했다. 정치권의 후폭풍뿐만 아니라 사회적 파장이 만만찮다. 경찰은 현재 공씨가 범행사실 일체를 부인하고 있기 때문에 정치적 연관성 부분에 대해서는 추가 조사가 필요하다는 입장을 견지하고 있다. 그러나 신분상 공무원인 국회의원 비서관이 공공기관을 공격했다는 점에는 사안의 중대성이 매우 크다. 때문에 적잖은 의문을 낳고 있다. 문제는 무엇을 위해, 왜, 누구의 지시에 따라, 이같이 엄청난 짓을 저질렀느냐는 부분이다. 경찰은 현재 공씨가 입을 다문 탓에 공씨의 계좌추적과 압수수색한 자료의 분석에 매달리고 있다. 조사 결과, 공씨의 의뢰로 디도스 공격을 지시한 강모(25)씨는 평소 좀비 PC 등을 이용해 홈페이지를 무력화시킬 수 있다는 사실을 지인들에게 공공연히 과시하고 다녔던 것으로 드러났다. 강씨는 “선관위 홈피를 해킹할 수 있겠느냐.”라는 공씨의 요청에 선거 당일 새벽 1시쯤 실제로 선관위 홈페이지를 공격, 마비가 되는 것을 확인시켜 주며 ‘실력’을 자랑하기까지 했다. 실제 정보기술(IT)업에 종사하는 강씨를 비롯한 3명은 상당한 수준의 해킹 전문가인 것으로 알려졌다. 정석화 경찰청 사이버테러대응센터 실장은 “범인들이 추적을 피하기 위해 무선인터넷만 활용하는 등 수준이 굉장히 높았다.”고 말했다. 경찰은 디도스 공격이 이뤄진 당일 수사에 착수, 지난달 30일 강씨 등 공범 3명을 체포한 뒤 지난 1일 공씨를 긴급체포했다. 정 실장은 “공씨가 이번 주 월요일 사표를 냈다고 했는데 알아 보니 아직 현직이 유지되고 있는 상태”라고 밝혔다. 경찰은 강씨 등이 ‘박원순 서울시장 후보의 홈페이지도 공격했다.’는 진술을 확보, 박 시장 측에 관련 자료를 요청하고 정확한 피해 상황 등을 추가로 조사하고 있다. 박 시장의 홈페이지 역시 당시 외부접속이 차단되는 등 불편을 겪었지만 박 시장 측은 이 사건에 대한 수사를 의뢰하지 않았다. 백민경기자 white@seoul.co.kr

경찰이 지난 26일 재·보궐선거 당일 중앙선거관리위원회 홈페이지를 디도스(DDoS) 공격했던 좀비PC 2대를 확보, 본격적인 수사에 나섰다. 다만 유사한 시간대에 비슷한 공격을 받은 박원순 서울시장의 홈페이지에 대해서는 접속 기록 확보가 쉽지 않아 공격 경로 등 구체적 사실을 파악하기까지 적잖은 시간이 걸릴 전망이다. 경찰청 사이버테러대응센터는 27일 “선관위로부터 받은 100여개의 IP 주소를 토대로 좀비PC를 찾아내 하드디스크 2개를 확보했다.”고 밝혔다. 또 공격을 촉발시킨 악성코드를 확인하기 위해 일단 좀비PC를 더 많이 확보한 뒤 일정 수 이상이 되면 분석에 들어가기로 했다. 경찰은 “좀비PC에 포함된 악성코드가 어떤 것이냐에 따라 북한이 배후인지 아닌지도 파악할 수 있을 것”이라고 설명했다. 경찰은 공식 수사를 의뢰한 선관위로부터 홈페이지에 접속한 IP주소를 받아 밤샘 수사를 진행했다. 접속 기록은 디도스 공격이 발생한 시간대에 해당 서버에 접속한 IP 정보로 좀비PC의 존재를 밝히고 배후를 추적하는 데 가장 기본적인 단서가 된다. 비슷한 시간대에 디도스 공격을 받았던 박 시장의 ‘원순닷컴’(www.wonsoon.com)의 경우 아직 공식 수사 의뢰가 없는 데다 로그 기록 확보가 어려워 수사에 난항이 예상된다. 사이버테러대응센터 관계자는 “현장에 수사관을 보내 확인한 결과 박 시장의 홈페이지는 호스팅 업체를 두고 운영하는 곳이라 로그 기록이 남지 않는 구조”라면서 ”접속 기록이 없으면 좀비PC와 악성코드의 존재를 확인하는 것이 어렵다.”고 말했다. 경찰은 일단 디도스 공격이 일상화돼 있는 만큼 동일범의 소행이라고 단정하지 않고 여러 가능성을 두고 수사 중이다. 백민경기자 white@seoul.co.kr

10·26 재·보궐선거 당일 새벽부터 박원순 당선자와 중앙선거관리위원회의 홈페이지가 디도스(DDoS·분산서비스거부)로 추정되는 사이버 공격을 받은 것으로 나타났다. 경찰청 사이버테러대응센터는 26일 오전 박 당선자와 선관위의 홈페이지가 디도스 공격을 받고 있다는 첩보를 입수, 현장에 수사관 2명씩을 급파했다. 경찰에 따르면 박 당선자 홈페이지는 오전 1시 47분~1시 59분 1차 공격을 받은 데 이어 5시 50분~6시 52분 2차 공격을 받았고 선관위 홈페이지는 6시 15분~8시 32분 공격을 받아 접속이 되지 않았다. 오전 9시 이후에는 공격이 없었다. 박 당선자 측 홈페이지인 ‘원순닷컴’(www.wonsoon.com)은 2차 공격 이후 한국인터넷진흥원의 ‘사이버 대피소’로 옮겨 오전 9시 30분쯤 접속이 재개됐다.사이버 대피소는 디도스 공격 트래픽을 차단하고 정상적인 접속만 골라 연결해 주는 곳이다. 경찰은 선관위와 박 당선자 측이 선거가 끝나고 수사 의뢰 여부를 결정할 방침이라고 밝힘에 따라 곧 수사 착수 여부를 검토할 예정이다. 박 당선자 캠프의 송호창 대변인은 “데이터 손실은 없었고 피해 규모는 확인되지 않은 상황”이라며 “선거가 끝나지 않은 상태에서는 경찰에 서버를 보낼 수 없어 서버와 홈페이지를 보호하는 임시 조치만 했다.”고 밝혔다. 경찰청 사이버테러대응센터는 선관위와 박 당선자 측 홈페이지의 접속기록 등 100여개의 IP주소를 건네받아 분석 작업을 진행하는 등 수사 중이다. 경찰이 수사하는 접속기록은 디도스 공격이 발생한 시간대에 해당 서버에 접속한 IP 정보로 좀비PC의 존재를 밝히고 배후를 추적하는 기초 단서다. 경찰청 관계자는 “디도스 공격이 맞는 것으로 보이지만 누구 소행인지는 정밀 조사를 해야 알 수 있다.”면서 “현재로서는 얼마나 많은 좀비PC들이 동원됐는지를 설명할 수 없다.”고 말했다. 이 관계자는 “좀비PC를 찾아 확보하고 여기에 깔린 악성코드를 풀어내야 조사가 본격화될 수 있다.”면서 “악성코드의 수준에 따라 수사 기간도 달라질 것”이라고 설명했다. 백민경·허백윤기자 baikyoon@seoul.co.kr

네이트와 싸이월드 회원의 개인정보가 유출된 사태에 대해 위자료를 지급하라는 법원 결정이 처음으로 나왔다. 이 같은 결정에 따라 개인정보 유출 사태는 집단 소송으로 비화될 가능성이 높아졌다. 서울중앙지법은 회원 정모(25)씨가 지난 1일 SK커뮤니케이션즈를 상대로 위자료 100만원을 지급하라며 낸 소송에 대해 SK컴즈 측에 지급명령을 내렸다고 14일 밝혔다. 지급명령은 법원이 신청인의 일방적 주장에 따라 돈을 지급하도록 명령하고 상대방이 이의를 제기하지 않으면 확정되는 간이 소송절차로, 명령 이후 2주일 이내에 이의 제기가 없으면 확정판결이 내려진 것과 같은 효력을 갖는다. SK컴즈는 이의를 신청할 방침이라고 밝혔다. SK컴즈 관계자는 “아직 경찰 수사도 끝나지 않았고 과실 여부가 정확히 드러나지 않은 상황인 만큼 이의를 제기하겠다.”고 말했다. 이에 따라 향후 정식 재판 절차가 진행될 전망이다. 정씨는 신청서에서 “SK컴즈는 회원의 정보를 보호할 책임이 있는데도 언론에 보도된 뒤에야 사실을 인지했다.”면서 “개인정보 관리 소홀로 헌법에서 보장하는 개인정보 자기결정권, 사생활의 자유, 인격권 등이 침해됐다.”고 주장했다. 개인정보가 유출된 네이트와 싸이월드 회원은 3500만명으로 추산된다. 해커들은 SK컴즈의 컴퓨터에 악성코드를 감염시켜 만든 좀비PC를 이용해 지난달 26일과 27일 네이트와 싸이월드 회원의 개인정보를 빼낸 것으로 알려졌다. 개인정보 유출 사태에 대한 위자료 지급명령이 확정될 경우 SK컴즈를 상대로 한 집단소송이 제기될 것으로 예상된다. 앞서 변호사 이모(40)씨가 SK컴즈를 상대로 “300만원을 지급하라.”면서 손해배상 청구소송을 제기하기도 했다. 이민영기자 min@seoul.co.kr

싸이월드와 네이트 해킹 사건으로 유출된 SK커뮤니케이션즈의 3500만명 회원 정보가 이미 중국으로 빠져나간 것으로 확인됐다. 해킹 공격의 근원지 역시 중국이었다. 게다가 악성코드 및 해킹 수준으로 미뤄 역대 최고 수준의 해커 짓인 것으로 드러났다. 자칫 1400만명에 달하는 알집 사용자가 좀비 PC로 해킹에 이용당할 뻔했다. 경찰청 사이버테러대응센터는 11일 SK컴즈와 이스트소프트(알집 제작·배포사), 관련업체의 PC와 서버 등 40여대를 분석한 결과, 이스트소프트의 알집 업데이트 서버를 통해 SK컴즈 사내망을 악성코드로 감염시킨 뒤 빼낸 3500만명의 개인 정보가 중국에 할당된 인터넷 주소(IP)로 유출됐다고 밝혔다. 일반 공개 프로그램인 알집의 업데이트를 이용한 해킹은 처음이다. 때문에 사이버 보안의식 강화와 함께 통합적인 법률 관리와 기구를 통해 범죄에 대응해야 한다는 지적이 나오고 있다. 유출된 주요 항목은 사용자식별기호(ID), 비밀번호와 주민등록번호, 이름, 생년월일, 성별, 이메일주소, 전화번호, 주소, 닉네임 등이다. 정석화 경찰청 사이버테러대응센터 수사실장은 “해커가 처음부터 SK컴즈 직원들이 알집을 사용할 것으로 예상하고 이스트소프트를 거쳐 SK컴즈를 표적 해킹한 것으로 판단된다.”고 설명했다. 경찰은 해킹 수준으로 미루어 이미 비밀번호나 주민등록번호에 설정된 암호가 해독됐을 가능성이 있다고 보고 있다. 경찰 관계자는 “악성코드의 수준이나 보안업체인 이스트소프트를 대담하게 해킹한 점 등으로 비춰 이 사건에 역대 최고 수준의 해커가 개입된 것 같다.”고 말했다. 조사 결과, 해커는 지난달 18~19일 이스트소프트의 알집 업데이트 서버를 해킹해 정상 업데이트 파일을 악성코드 파일로 바꿔 치기했다. 또 SK컴즈 직원들이 접속할 때를 기다려 SK컴즈 사내망을 파고 들어가 PC 62대를 좀비PC로 만들었다. 같은 달 18∼25일에는 악성코드에 감염된 사내망 좀비PC로부터 데이터베이스(DB)서버망에 접근할 수 있는 관리자의 ID와 비밀번호 등 접속정보를 추가로 수집했다. 이어 좀비PC를 원격조종해 관리자 권한으로 DB서버에 접속한 뒤 회원정보를 빼냈다. 해커는 일단 SK컴즈를 노려 악성코드를 내려받은 것으로 밝혀졌다. 경찰은 “일반인을 해킹 표적으로 겨냥했더라면 알집 프로그램을 사용한 회원 대부분이 악성코드에 감염됐을 수 있었을 것”이라고 말했다. 이에 다른 IT기업에 대해서도 악성코드 감염 및 개인정보 유출 피해가 있는지를 조사하고 있다. 네이버와 다음 등도 대규모 해킹이 발생할 가능성을 배제할 수 없다. 경찰은 “네이버와 다음 등의 일부 직원이 개인용 무료 알집 프로그램을 사용한 의혹이 있다는 점에서 해킹 사건이 재발할 가능성이 있다.”고 강조했다. SK컴즈는 “직원이 개인적으로 내려받는 것을 모두 관리·감독하기란 한계가 있다.”고 해명했다. 경찰 측은 “기업들이 백신에만 의존하지 말고 악성코드 감염사실을 신속히 탐지해 좀비PC로 동작하지 못하도록 하는 데 초점을 맞춰 대응해야 한다.”고 당부했다. 백민경기자 white@seoul.co.kr

2008년 미래에셋 그룹 홈페이지와 증권사이트에 분산서비스거부(디도스·DDos) 공격을 하고 거액을 요구했던 주범이 도피 3년 만에 검거됐다. 이 사건은 금융회사 사이트가 디도스 공격으로 마비된 첫 사례였다. 경찰청 사이버테러대응센터는 지난 20일 인천공항을 통해 귀국하던 양모(34)씨를 붙잡아 정보통신기반보호법 위반 등의 혐의로 구속했다고 29일 밝혔다. 경찰은 ‘대포통장’ 조달을 담당한 양씨의 형(37)도 붙잡아 입건했다. 양씨는 9인조 조직을 만들어 2008년 3월 미래에셋 그룹 홈페이지와 증권사이트에 접속 장애를 일으킨 뒤 “2억원을 송금하면 공격을 멈추겠다.”며 전화와 인터넷 메신저를 통해 회사를 협박한 혐의를 받고 있다. 경찰 조사 결과 필리핀에서 범행을 주도한 양씨는 악성코드를 심은 좀비PC 1만여대 가운데 270여대를 미국에 있는 공격명령 서버를 통해 조종, 그룹 홈페이지를 4시간 동안 접속불능 상태에 빠뜨린 것으로 드러났다. 이 때문에 이 증권사 사이트는 30분간이나 마비됐다. 미래에셋 측의 신고를 받은 경찰은 같은 해 7월 국내에 머물던 악성코드 제작자 2명과 유포자 2명, 대포통장 조달자 1명 등 5명을 검거해 이 가운데 2명을 구속했다. 하지만 양씨는 필리핀에서 불법 체류자로 3년간 도피 생활을 해 왔다. 그는 최근 생활고가 겹친 데다 한국에 있는 부모의 병환 때문에 귀국을 결심한 것으로 알려졌다. 양씨는 미래에셋을 공격하기 전 소규모 사이트 11곳을 공격해 7곳의 운영자들에게 공격을 중단하는 대가로 550만원을 챙겼다. 이후 협박 대상을 대형 사이트로 확대했으나 정작 미래에셋 측으로부터는 한 푼도 뜯어내지 못했다고 경찰은 전했다. 경찰은 필리핀에 남아 있는 주범 노모(35)씨와 한모(33)씨 등 2명의 행방을 쫓고 있다. 백민경기자 white@seoul.co.kr

지난달 발생한 사상 초유의 농협 금융전산망 마비 사태는 북한의 소행으로 결론이 났다. 북한 정찰총국 소속 해커들이 장기간 치밀하게 준비한 뒤 실행한 ‘사이버테러’라는 것이 검찰이 내린 결론이다. 서울중앙지검 첨단범죄수사2부(부장 김영대)는 3일 이 사건이 2009년 7·7디도스(DDoS·분산서비스거부) 및 지난 3·4디도스 공격 주체와 같은 집단의 소행으로 ‘북한이 관여한 사이버테러’라고 밝혔다. 검찰에 따르면 농협 서버 삭제 명령이 내려진 한국IBM 직원 노트북은 지난해 9월 4일쯤 악성코드에 감염돼 ‘좀비PC’(해커가 원격제어하는 PC)가 됐으며, 해커들은 7개월 가까이 이 노트북을 집중 모니터링했다. 그러다 지난달 12일 오전 8시 20분쯤 공격명령 파일이 설치됐고, 같은 날 오후 4시 50분쯤 원격제어 방식으로 삭제 명령이 실행됐다. 특히 악성코드 중에는 도청 프로그램도 포함돼 있어 해커들은 삭제 명령 실행 당일에 농협 측의 반응과 피해 규모까지 모두 도청했던 것으로 조사됐다. 또 이들은 정보 유출용 해킹 프로그램인 ‘백도어’(backdoor)와 ‘키로깅’(key logging)을 통해 최고관리자 비밀번호까지 빼냈다. 검찰은 해당 노트북 ‘맥 주소’(MAC Address·랜카드 고유 식별 번호)를 북한 측이 관리하고 있었고, 악성코드 유포 경로와 작동 방식이 과거 사건과 비슷하며, 공격에 사용된 IP주소 한 개가 3·4디도스 때와 동일하다는 점 등을 근거로 이 사건을 북한의 소행으로 보고 있다. 하지만 검찰은 중국에서 암약하는 해커들이 농협 서버를 해킹했을 수도 있다고 보고 IP 추적 등 관련 수사를 계속할 계획이다. 김승훈·강병철기자 bckang@seoul.co.kr

농협 전산망 마비 사태를 3주 동안 수사한 검찰은 이 사건을 ‘북한 정찰총국이 주체가 돼 치밀하게 준비한 사이버 테러’라고 결론지었다. 과거 7·7 디도스(DDoS·분산 서비스 거부), 3·4 디도스 공격 대란 때와 같은 결론이다. 검찰은 국가정보원이 축적한 자료를 바탕으로 이와 같이 판단했다. 하지만 여기에는 농협의 허술한 보안도 한몫한 것으로 드러났다. 3일 검찰 등에 따르면 농협 사태를 북한 소행으로 보는 가장 주요한 근거는 농협 서버 삭제 명령이 내려진 한국IBM 직원 노트북의 ‘맥 주소’(MAC Address·랜카드 고유 번호)가 북한 측에서 관리하는 ‘좀비PC’ 맥 주소 목록에 포함돼 있다는 사실이다. 국정원은 지난해 9월쯤 북한이 국내에 대대적으로 악성코드를 유포하고, 여기에 감염된 좀비PC들의 맥 주소를 목록으로 정리·관리해 왔다는 사실을 포착했다. 국정원은 해당 목록을 입수해 보관해 왔는데, 이번 사건에 활용된 노트북 맥 주소가 이 목록에 포함돼 있었던 것이다. 또 동일 집단이 아니고서는 불가능할 정도로 비슷한 수법으로 같은 프로그램이 활용됐다는 것도 중요한 정황 증거다. 검찰 관계자는 이를 두고 “수법이 같다는 건 사람의 필적이 같은 것과 비슷한 이치”라고 표현했다. 우선 악성코드를 ‘A로 시작하는 45자의 암호키’를 사용해 숨겨둔 수법이 이전과 똑같았고, 공격에 활용한 인터넷 프로토콜(IP) 주소 1개는 3·4 디도스 때와 완전히 일치하는 것으로 조사됐다. 여기다 일부 악성코드는 3·4 디도스 때와 이름이 같았고, 삭제 명령 대상이 된 30여 개 파일 확장자도 7·7 디도스 때와는 93%, 3·4 디도스 때와는 100% 일치했다. 이번 공격이 상당한 규모의 인적·물적 지원 없이는 불가능한 범죄라는 점도 검찰이 북한의 소행이라고 추정하는 간접적인 이유다. 그러나 검찰은 이번 사건을 북한이 주도했다는 ‘확실한 증거’는 제시하지 못했다. 검찰은 한국IBM 직원의 노트북에서 27개 해외 IP를 발견했으나, 어느 IP를 통해 삭제 명령이 내려졌는지는 특정하지 못했다. 또 7·7 디도스, 3·4 디도스 사건 당시 “북한 개입으로 추정한다.”는 결론을 내리고서는 이번에 다시 그 사건들과의 공통점을 근거로 북한 소행으로 결론내리는 것에 대해 논리성이 떨어진다는 비판을 피할 수 없을 것으로 보인다. 또 국정원이 해당 악성코드 유포 사실을 지난해 9월 확인해 치료 작업에 들어갔는데도 주요 금융기관인 농협의 서버 관리 컴퓨터가 반년 넘게 치료되지 않았다는 점도 의문이다. 검찰은 향후 추가 범죄가 발생할 가능성도 있다고 보고 있다. 검찰은 이와 함께 이번 사건에서는 농협의 허술한 보안 정책도 한 원인이 됐다고 밝혔다. 농협 직원의 컴퓨터라면 반드시 깔려 있어야 하는 보안 프로그램이 한국IBM 직원의 노트북에는 깔려 있지 않았고, 해당 직원은 서버 관리용 노트북으로 자유롭게 인터넷 서핑이나 웹하드 자료 다운로드를 즐겼다. 강병철기자 bckang@seoul.co.kr

농협 전산 장애를 촉발한 원인으로 북측의 사이버 테러 도발이 지목된 가운데 주대준 한국과학기술원(카이스트) 부총장은 3일 “청와대를 중심으로 국가 전체를 컨트롤하는 사이버 보안시스템 구축이 시급하다.”고 지적했다. 주 부총장은 “농협 전산망을 공격한 주체가 누구인지에 관계없이 우리가 사이버 테러를 당했다는 것은 명백한 사실”이라면서 “수력·전력·교통 등 국가 기반 시설망이 사이버 테러에 노출될 경우 상상할 수 없는 피해가 올 것”이라고 경고했다. 주 부총장은 6공화국 시절부터 현 정부까지 20여년간 청와대 경호실에서 사이버 보안 체제를 구축했다. 지난 2008년 대통령실 경호처 경호차장으로 정년 퇴직한 뒤 카이스트 사이버보안연구소장으로 사이버 해킹 탐지 원천 기술 개발과 후학 양성에 전념하고 있다. →2009년 7·7디도스 공격 뒤 사이버 테러가 고도화되고 있다. -삼풍백화점이나 성수대교 붕괴는 세월이 지나도 생생하다. 눈에 보이기 때문이다. 디도스 공격과 같은 사이버 테러는 실감하기 어렵다. 사이버 테러가 동시다발적으로 국가 기간산업망까지 무력화시킬 수 있는 파괴력을 갖고 있음에도 경각심이 일어나지 않는 이유다. 해킹을 당하고도 모르는 경우도 많다. 전문가들이 ‘폴스 네거티브 에러’(False Negative Error)라고 하는 상황이다. 최근 해커들은 특정 사이트를 관찰하다가 특정 시간대에 악성코드를 유포한다. 그 순간 사이트에 접속한 모든 개인용컴퓨터(PC)는 좀비PC가 된다. 사이트에 접속만 해도 좀비PC가 양산되는 것이다. →국내 PC가 유독 악성코드 공격에 취약한 이유가 있는가. -역설적으로 우리나라만큼 정보기술(IT) 분야가 활성화된 곳이 없기 때문이다. 고속 인터넷망이 전국에 퍼져 있으니 해커의 먹잇감이 되는 것이다. 이탈리아에 가면 관광객이 몰리니 지갑을 훔치기 쉬운 것처럼, 사이버환경이 발달되어 있으니 해커가 노릴 수밖에 없다. 최근 민간 부문의 2000여개 사이트를 조사한 결과 10% 이상의 홈페이지에 악성코드가 숨겨져 있었다. 내로라하는 대기업 홈페이지도 포함됐다. 해커의 공격이 갈수록 거세지는 것도 사실이다. 20여년 전 청와대 재직 시절에 이미 보안을 위해 내부망과 외부망을 분리했다. PC 한 대를 인터넷과 인트라넷으로 분리하는 것인데, 이 방법은 이제 큰 의미가 없다. 인터넷을 사용할 때 침투한 악성코드가 인트라넷으로 침투되기 때문이다. 물리적으로 PC를 분리해서 사용할 수 있는데, 최근 유럽에서는 인트라넷만 연결되는 PC에 유지보수업체가 꽂은 USB에서 악성코드가 묻어 들어간 사례가 발견됐다. →대책은 없는가. -지난해 주요 20개국(G20) 정상회의 당시 모니터링 시스템이 좋은 예가 될 수 있다. 당시 카이스트 사이버보안연구센터와 서울경찰청이 공조해 악성코드를 실시간으로 분석하고 바로 삭제하는 모니터링 시스템을 가동해 효과를 봤다. 악성코드가 발견되면 백신을 투입해 치료하는 현재 방식으로는 나날이 발전하는 해커의 공격을 당해내기 어렵다. 안철수연구소의 V3 백신이 국내를 벗어나면 힘을 못 쓰는 현실을 인정하고, 연구개발과 투자에 만전을 기해야 한다. →개인과 기관의 방어만으로는 한계가 있어 보인다. -대부분의 조직이 자신의 시스템을 잘 만들면 보안 문제가 해결된다고 생각한다. 하지만 금융시스템만 해도 인증 시스템이 따로 있고, 고객 서비스가 따로 있다. 모두 연결되어 있으니 정문만 막아서 될 문제가 아니다. 쪽문·옆문·뒷문 모두 지켜야 한다. 하청업체나 아웃소싱 업체와 인력 관리에 만전을 기해야 한다. 장기적인 대책 마련을 위해서는 국가 사이버보안수준 자체를 높여야 한다. 그러려면 컨트롤타워 구축이 시급하다. 백악관에는 오바마 정부 들어서 국가사이버안보조정관이 신설됐다. 청와대에는 이를 담당할 인력이 없는데, 담당 비서관 등을 만들어야 한다. 정부 조직 내에도 산업기밀과 금융기밀을 총괄할 수 있는 기관 신설이 시급하다. 사이버 테러에 따른 사회적 비용을 생각해 보라. 관공서나 금융업체가 공격당했을 때도 위험하지만 수력·원자력·전력·교통시스템 등 국가 기간망이 공격을 받을 경우 추산할 수 없을 정도의 혼란과 재난이 닥칠 수 있다. 홍희경기자 saloo@seoul.co.kr

지난해 7월부터 인터넷뱅킹에서 공인인증서를 사용할 의무가 사라졌다. 이런 사실을 아는 이는 많지 않다. 스마트폰뱅킹을 비롯한 대부분의 전자거래에서 공인인증서를 여전히 요구하고 있다. 공인인증서를 사용하지 않게 된다면 은행 사이트에 접속했을 때 액티브X를 통해 은행이 요구하는 자체 보안 프로그램을 내려받는 과정이 없어지게 된다. 그동안 액티브X는 마이크로소프트(MS) 전용 브라우저인 인터넷익스플로러(IE)에서만 구동되기 때문에 소비자들의 브라우저 선택권이 제한되며, 보안업계 전반의 발전을 해친다는 지적이 있었다. 오픈웹의 김기창 고대법대 교수와 이민화 전 기업호민관이 논의를 주도했고, MS 운영체제가 아닌 맥 운영체제를 쓰는 아이폰이 보급되면서 결국 공인인증서 사용 의무가 폐지됐다. 김인성 IT칼럼니스트는 25일 서울신문과 가진 인터뷰에서 여기에 더해 공인인증서 체제가 보안 측면에서도 취약하다고 지적했다. 2009년 분산서비스거부(디도스) 공격부터 최근 농협 전산장애 사태까지 국내 보안사고에서 툭하면 서버가 공격을 당하는 이유가 여기에 있다는 것이다. 김 칼럼니스트는 “외국의 보안이 기관 사이트를 통제해 서버 관리에 만전을 기하는 식이라면, 국내는 기관 사이트의 허점을 방치한 채 개인만 통제하는 식”이라면서 “공인인증서로 사용자들은 불편해지지만, 사이트 보안은 전혀 이뤄지지 않고 있다.”고 강조했다. 이 상태로는 보안 분야에 돈을 아무리 쏟아부어도 보안업체의 배만 불릴 뿐 근본적인 해결은 안 된다고 했다. →농협 전산장애 사고를 전후해 피싱사이트가 출현했다. 사고 원인은 수사를 지켜봐야겠지만, 피싱사이트의 발빠른 움직임에 혀를 내둘렀다. -피싱사이트를 통해 고객 정보를 빼내는 것은 중국 쪽 해커집단의 돈벌이 수준이 된 지 오래다. 인터넷뱅킹을 하려고 하면 은행에서 보안 프로그램을 다운받게 한다. 해커들은 유사 사이트를 만들고 보안프로그램으로 위장한 바이러스를 다운받게 한다. 이렇게 해서 좀비가 된 PC가 국내에 100만대 이상으로 추정된다. 좀비PC들은 해커의 명령이 떨어지면 특정 사이트에 한꺼번에 접속을 시도, 마비시킨다. 트래픽이 집중돼 서비스가 불가능해지면 해커는 돈을 요구하고, 속도가 생명인 게임업체들은 대부분의 경우 이 협상에 응할 수밖에 없다. 우리의 보안은 보안이 아니다. →유독 우리가 국제 해커들의 먹잇감이 되는 이유가 있는가. -국내 인터넷의 보안시스템이 세계 표준과 다르기 때문이다. 근본적으로 해외 사이트가 스스로의 안전성을 증명하는 체계라면, 국내는 개인들이 사이트에 접속할 때 본인이 맞다는 것을 사이트에 증명해야 한다. 예를 들어 웹메일인 지메일(gmail) 사이트에 접속하면, 사이트 주소가 http://에서 https://(안전전송규약·SSL)로 바뀐다. 뒤에 붙는 s는 이 사이트가 정확한 사이트이니 믿고 이용하라는 표시로, 공인인증기관이 증명해 주는 신호이다. https://를 보고 사용자들은 추가 소프트웨어를 다운받을 필요 없이 안심하고 거래를 할 수 있다. 한국의 보안 방식은 이와는 달리 사이트는 안전하다고 일단 가정을 하고, 개인 사용자에게 자기들만의 보안 프로그램·키보드 해킹방지 프로그램·바이러스 백신 등을 다운받게 한다. 이것도 모자라 공인인증서를 요구한다. 액티브X를 다운받는 동안 사용자 컴퓨터는 보안에 완전히 취약한 상태가 된다. 시작 단계에서부터 보안이 무너져 있는 것이다. →안전연결은 국내만 채택을 안 한 것인가. -대부분의 국가에서 채택했다. 1990년대 중반까지 미국은 보안방식으로 복잡한 암호화 기법을 쓰지 못하게 했고, 해독 불가능한 암호화 방식은 수출도 금지했다. 그래서 우리가 독자적으로 만든 게 공인인증서다. 이후 해외에서는 사용자가 웹사이트에 보안접속을 시도하면 웹브라우저가 인증기관에 의뢰해 이상이 없다는 답을 받고 안전전송 규약을 허용하는 체제가 자리잡았다. 국내는 이를 받아들이지 않고, 개인에게 부담을 더 지우는 쪽으로 보안이 발전했다. 은행과 같은 기관이 서버관리를 제대로 하고 있는지 감시하는 곳은 없다. 이게 툭하면 보안사고가 일어나고, 서버 공격이 이뤄지는 이유다. 다른 문제도 있다. 우리 상황에서 보안업체들은 은행이나 공공기관에 납품 경쟁을 벌인다. 이 시장을 확보하면, 개인은 선택권을 갖지 못한 채 일방적으로 사이트 방침에 따라 다운로드를 해야 한다. 해외는 웹브라우저에 기본 보안 프로그램이 장착되고, 개인이 브라우저를 선택하는 구조이다. 그래서 기본적으로 보안 프로그램이 싸고, 그러면서도 개인 고객을 대상으로 성능 경쟁이 계속된다. →아이폰 도입과 함께 한 차례 공인인증서 폐지운동이 있었다. -결론적으로 스마트폰 도입 뒤에도 공인인증서 체제는 살아남았다. 이것은 새로운 문제로 이어질 수 있다. 예컨대 제2금융권은 스마트폰의 새로운 버전에서 구동시킬 공인인증서 보안체제를 개발할 자금이 부족할 것이다. 결국 이들은 보안을 외주에 맡기거나 스마트폰뱅킹 시장에 진출하기 어려울 것이다. 만일 국제 표준방식을 채택했다면, 2금융권 업체도 투자비용 없이 스마트폰뱅킹 시장에 진입할 수 있을 것이다. 국제 표준방식은 과거의 소프트웨어 뿐 아니라 미래의 어떤 플랫폼에서도 지원이 되도록 만들어져 있다. 스마트폰 운영체제 새 버전이 나왔다고 보안업체가 추가 개발 비용을 요구할 근거가 사라진다. →공인인증서 보안 체제 때문에 우리가 잃는 것이 또 있는가. -이 방식은 전체적으로 우리나라 전자상거래를 죽이고 있다. 물건을 하나 사는데 다른 나라와 달리 공인인증서를 요구하니 어떻게 물건을 팔 수 있겠나. 온라인에서는 오프라인처럼 해외진출을 할 때 막대한 투자를 하기보다 언어만 바꿔서 손쉽게 이동할 수 있어야 하는데, 한국만의 특수한 보안 방식은 이것을 불가능하게 한다. 커다란 세계 시장을 곁에 두고 중소기업들이 굶어 죽고 있다. 수출탑을 수여할 정도로 수출에 목 매는 나라에서 온라인 시장의 개방에 대해서는 왜 이런 모습인지 모르겠다. 홍희경기자 saloo@seoul.co.kr ■ 김인성 IT칼럼니스트는 ▲46세 ▲서울대 컴퓨터공학과 졸업 ▲리눅스 시스템으로 초기 엠파스 사이트 구축 ▲전 리눅스원 개발이사 ▲현 KT 계열 네트워크 장비업체 컨설팅 ▲저서 ‘한국IT산업의 멸망’, ‘리눅스 디바이스 드라이버’(공동번역), 잡지 ‘마이크로소프트웨어’에 칼럼 연재

삼성전자 디카 ‘EX1’ 카메라 톱 5에 삼성전자는 디지털카메라 ‘EX1’이 해외 정보기술(IT) 전문매체인 ‘시넷 아시아’에서 선정한 ‘저조도 촬영 시 뛰어난 화질을 선보이는 카메라 톱 5’에 포함됐다고 24일 밝혔다. EX1은 가장 밝은 렌즈인 F1.8(24㎜ 초광각 3배줌 렌즈)를 적용해 어두운 환경에서도 밝고 선명하게 촬영할 수 있다. 1000만 화소의 이미지 센서를 탑재했으며 3인치 회전형 아몰레드 디스플레이를 장착해 다양한 각도에서 촬영할 수 있다. 가격은 50만원대. LG전자 여성위한 핑크색 노트북 출시 LG전자는 여성 고객을 위한 파스텔 핑크 색상의 ‘엑스노트 P210 시리즈’노트북을 선보였다. 이 제품은 효율적 안테나 설계 등 혁신적 기술을 결집해 테두리 두께를 4분의1로 줄인 모델이다. 12.5인치 고화질(HD) 발광다이오드(LED) LCD를 탑재했지만 기존의 11.6인치 노트북보다 작고 얇으며, 인텔 코어 i5 프로세서와 2기가바이트(GB) 메모리를 탑재했다고 회사 측은 설명했다. 가격은 125만원. 2D·3D 동시탑재 내비게이션 선봬 파인디지털은 ‘아틀란 3D v2’ 맵과 ‘온라인 2차원(2D) 맵(T맵 나비)’을 동시에 탑재해 운전자의 취향에 따라 선택할 수 있는 통신 내비게이션 ‘파인드라이브 iQ-t’를 선보였다. ‘온라인 2D 맵’은 블루투스 기능으로 스마트폰과 내비게이션을 연결, SK텔레콤의 ‘T맵’을 이용할 수 있는 ‘T맵 나비’ 서비스다. 휴대전화 통신사와 무관하게 연동이 가능하며 2년간 정보이용료 없이 무료로 쓸 수 있다. 8기가바이트(GB) 패키지 가격은 43만 9000원. 안철수硏, 좀비PC 대응용 장비 공개 안철수연구소는 좀비PC 대응용 네트워크 보안 장비인 ‘트러스와처’를 공개했다. 트러스와처는 7.7 분산서비스거부(디도스) 공격 대란과 3.4 디도스 공격 때 대응 역량과 기술력을 인정받은 안철수연구소의 종합적 디도스 대응 플랫폼을 제품화한 것이다. 악성코드를 사전 검출해 효과적으로 좀비PC를 예방하고 대응할 수 있는 전문 보안 장비로 악성코드 감염 파일에 대한 진단 정확도가 탁월한 것이 특징이라고 연구소 측은 설명했다.

시민단체들은 농협의 전산 마비 사태와 현대캐피탈 해킹에 대한 집단 소송 준비에 착수했다. 금융소비자연맹(금소연)과 소비자권리찾기시민연대는 17일 농협 전산망 마비 및 현대캐피탈 사건 등의 피해 사례를 접수하는 창구를 홈페이지(www.kicf.org, www.kocon.org)에 개설했다. 전화(1577-4995)로도 피해를 접수한다. 조남희 금소연 사무총장은 “고객 정보 유출은 고의나 과실이 없더라도 금융회사가 당연히 책임을 져야 한다.”면서 “앞으로 금융소비자들의 피해를 방지하기 위해서라도 피해자 집단 소송을 추진하겠다.”고 말했다. 하지만 법원에서 회사의 책임이 입증된 사례가 많지 않고 배상액이 크지 않은 편이어서 집단 소송에 회의적인 시각도 있다. 한편 서울중앙지검 첨단범죄수사2부(부장 김영대)는 한국IBM 직원의 노트북을 부분 조사한 결과, 누군가 ‘파일 삭제 명령어’를 심어 농협 전산망을 마비시켰다는 것을 확인했다. 제3자가 바이러스를 심어 노트북을 좀비PC로 만든 뒤 삭제 명령어를 실행했거나 이동식 저장장치(USB)나 특정 프로그램 다운로드를 통해 바이러스가 유입됐을 가능성이 높다는 게 검찰의 설명이다. 검찰 관계자는 “농협 직원 등을 소환 조사하는 한편 노트북 하드디스크 복원에 주력하고 있다.”고 밝혔다. 홍희경·김승훈기자 saloo@seoul.co.kr

농협 전산망 마비는 외부 해커에 의해 바이러스에 감염된 좀비PC(악성코드 감염 컴퓨터)가 부차적으로 일으킨 해킹에 따른 것으로 확인됐다. 북한 해커의 소행으로 밝혀진 두 차례의 분산서비스거부(디도스:DDos) 공격과의 관련성도 배제할 수 없다는 지적이 나오고 있다. 검찰도 좀비PC의 공격 가능성에 무게를 두고, 이를 밝히기 위해 2차 해킹을 실행한 한국 IBM 직원의 노트북을 복원하는 데 주력하고 있다. 신원불상의 해커는 농협 내·외부 직원들의 개인PC를 감염시켜 중앙서버까지 제어할 수 있었던 것으로 알려져, 농협 보안 체계에 대대적인 혁신이 필요하다는 지적이 나오고 있다. 15일 수사당국에 따르면 농협 전산망 먹통 사태는 외부 해커에 의해 좀비PC가 된 한국 IBM 직원의 노트북을 통해 일어났다. 수사당국 관계자는 “농협 전산망 해킹은 꼬리에 꼬리를 무는 하도급 관행이 초래했다.”면서 “해커가 감염시킨 농협 직원의 좀비PC로 중앙서버까지 제어할 수 있을 정도로 농협 보안망이 허술하다.”고 지적했다. 한편 이번 해킹 사건을 수사 중인 서울중앙지검 첨단범죄수사2부(부장 김용대)는 농협 전산망의 마비를 초래한 외주 직원의 노트북 하드디스크 복구에 힘을 쏟고 있다. 검찰 관계자는 “단순 사고나 과실일 수도 있지만 한국 IBM 직원의 노트북이 ‘좀비 PC’일 수도 있다.”면서 “농협에서 가져온 폐쇄회로 (CCTV)나 직원들의 휴대전화 통화 내역도 분석하고 있지만 노트북 하드디스크를 복원하는 게 관건”이라고 밝혔다. 또 “지난 12일 농협 전산망이 마비된 시점에 노트북 내에 가동된 프로그램을 복원하고 있다.”면서 “복원에는 7~10일 정도 걸릴 것”이라고 말했다. 농협 내·외부 직원들의 공모, 외부 직원의 테러 여부 등도 노트북 복원을 통해 최종 로그인한 시간을 파악하면 확인할 수 있다고 검찰은 설명했다. 김승훈기자 hunnam@seoul.co.kr

방송통신위원회는 8일 신원미상의 해커가 악성코드로 공격하는 사례가 발생했다고 밝혔다. 　방통위는 이 해커가 하드디스크 삭제용 악성코드를 정상 보안패치 파일로 위장, 기관과 업체 내부의 패치관리시스템(PMS)을 통해 동 시스템에 연결된 모든 PC에 자동으로 유포하는 새로운 공격 방법을 사용하고 있다고 설명했다. 방통위는 각 기관 및 업체에 각종 패치관리서버, 백신서버 등의 관리자 계정 및 비밀번호를 변경하거나 비인가자 접속 여부와 악성코드 설치 유무를 점검하고, 해킹에 대비한 모니터링을 철저히 할 것을 당부했다. 　또 해커가 새로운 공격 방법으로 개인용 PC를 해킹해 좀비PC를 만들거나 하드디스크를 파괴할 수 있으므로 인터넷 사용자들은 정보보안 수칙을 지켜달라고 강조했다. 방통위 관계자는 “새로운 변종 악성코드가 출현할 가능성을 배제하기 어렵다.”며 “신속하게 전용백신으로 치료해달라.”고 말했다. 　방통위는 현재 보호나라(www.boho.or.kr)와 안철수연구소(www.ahnlab.com) 등을 통해 새로운 악성코드 전용백신을 배포하고 있다고 밝혔다. 　한편 방통위는 지난 4일부터 시작된 ‘분산서비스거부’(DDoS 디도스) 공격으로 하드디스크 손상을입은 피해신고가 8일 오후 3시 현재 모두 522건으로 늘었다고 밝혔다. 　이어 전용백신으로 위장한 악성코드가 유포된 사례가 발견되기도 했고, 보호나라 홈페이지를 사칭한 피싱 사이트가 개설돼 이용자들에게 결제를 유도한 경우가 있었다며 해당 사이트를 즉각 삭제했다고 덧붙였다. 맹수열기자 guns@seoul.co.kr

　방송통신위원회는 미상의 해커가 악성코드로 공격하는 사례가 발생했다고 8일 밝혔다. 　방통위는 “해커가 하드디스크 삭제용 악성코드를 정상 보안패치 파일로 위장, 기관과 업체의 패치관리시스템(PMS)에 연결된 PC에 자동 유포하는 공격 사례가 발생하고 있다.”고 설명했다. 　방통위는 “전용백신으로 위장한 악성코드가 유포된 사례가 발견됐고, 보호나라 홈페이지를 사칭한 피싱 사이트가 개설돼 결제를 유도한 경우도 있었다.”고 소개했다. 　방통위는 “기관과 업체는 각종 패치관리 서버, 백신 서버 등의 관리자 계정과 패스워드를 바꾸거나 비인가자 접속 여부 및 악성코드 설치 유무를 점검하고, 모니터링을 철저히 해야 한다.”고 당부했다. 또 “해커가 새로운 수법으로 개인용PC를 해킹, 좀비PC 또는 하드디스크 파괴 등의 피해를 일으킬 수 있어 정보보안 수칙을 지켜달라.”고 강조했다. 　방통위 관계자는 “새로운 변종 악성코드가 출현할 가능성을 배제하기 어렵기 때문에 신속하게 전용백신으로 치료해 달라.”고 말했다. 　방통위는 새로운 악성코드에 대해서는 보호나라(www.boho.or.kr), 또는 안철수연구소(www.ahnlab.com) 를 통해 전용백신을 배포하고 있으며, 피싱 사이트는 즉각 삭제했다고 밝혔다. 　인터넷서울신문 event@seoul.co.kr

3·4 ‘분산서비스거부’(DDoS·디도스)공격에 동원된 좀비 PC가 7만 7000여대로, 하드디스크의 데이터 손상 신고도 늘고 있다. 방송통신위원회는 7일 좀비 PC의 수가 7만 7207대로 파악됐고 현재까지 악성코드 유포 및 명령 서버로 추정되는 전 세계 72개국에 산재한 738개의 IP를 차단했다고 밝혔다. 2009년 7·7 디도스 공격 때는 11만 5044대의 좀비PC가 동원됐다. 좀비 PC는 지난 4일 오전 10시 1차 공격 때 2만 4696대, 같은 날 오후 6시30분 2차 공격 때 5만 1434대, 5일 오전 10시 45분 3차 공격 때 1만 1310대였다. 방통위는 이들 중 중복된 IP를 제외해 동원된 좀비 PC의 합계를 산출했다. 데이터 손상 신고는 이날 오후 8시 현재 총 390건으로, 재작년 7·7 디도스 공격 때보다는 적은 규모다. 좀비 PC의 데이터 파괴는 6일 오전부터 시작됐었다. 방통위는 신고된 사례를 모두 현장 방문해 확인하기 어렵고 하드디스크의 데이터 복구가 불가능해 손상 이유를 판별하기 어려워 정확한 피해를 산출하기는 어려울 것으로 전망했다. 3·4 디도스 공격과 7·7 디도스 공격의 차이점은 ▲변종 악성코드 등장 ▲10여개 파일로 분산된 악성코드 존재 ▲감염 즉시 데이터 파괴 현상 등으로 분석됐다. 방통위 관계자는 “3·4 디도스 공격자는 정부와 보안업체가 대응할 때마다 실시간으로 작전을 변경했고, 새로운 악성코드 명령을 추가로 제작해 분석과 대응에 더 많은 시간이 필요하게 하는 등 매우 지능적”이라고 말했다. 안동환기자 ipsofacto@seoul.co.kr

’디도스’ 공격에 동원됐던 ‘좀비 PC’의 하드디스크 파괴가 시작됐다. 정부는 6일 ”지난 4일부터 시작된 디도스 공격으로 인해 좀비PC가 된 PC들의 하드디스크가 망가지기 시작했다.”고 밝혔다. 악성코드 감염 후 4~7일 정도 뒤에 하드디스크 파괴가 시작될 것이라는 당초 예상보다 빠른 진행을 보이고 있다. 국가정보원과 방송통신위원회는 ”이번 공격은 지난 ‘7·7대란’ 때와는 달리 PC 이용자들이 내성을 가졌고, 긴밀하게 대처하면서 큰 피해를 입지 않았다.”면서 “좀비PC 수가 감소하자 해커가 새로운 명령을 내린 것으로 풀이된다.”고 분석했다. 이번 하드디스크 파괴 증상은 명령서버로부터 명령을 받고 일정 기간이 지난 후에 동작했던 ‘7.7 대란’ 때와는 달리 명령을 받는 즉시 동작하도록 설정돼 있다. 하드디스크 파괴 명령이 하달되면 먼저 A∼Z까지 모든 드라이브를 검색해 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을 복구할 수 없도록 손상시킨다. 또 A∼Z까지 모든 고정 드라이브를 검색해 시작부터 일정 크기만큼을 0으로 채운 뒤 하드디스크를 손상시켜 아예 컴퓨터 작동이 되지 않게 된다. 방통위는 “PC를 사용 중인 경우 백신을 다운받아 검사 및 치료해야 하고 최근 며칠 간 PC를 켜지 않은 경우 안전모드에서 부팅해야만 PC 파괴를 방지할 수 있다.”고 말했다. 인터넷서울신문 event@seoul.co.kr