국내 방송·금융사의 전산망을 마비시킨 ‘3·20 사이버테러’가 10일 북한의 소행으로 드러남에 따라 안보차원의 정부 대책이 필요하다는 목소리가 커지고 있다. 정부는 11일 국가정보원장 주재로 관계 부처 전문가들이 참석한 가운데 ‘국가사이버 안전전략회의’를 열어 국정원, 미래창조과학부, 경찰청 등을 중심으로 그동안 마련한 대책을 점검할 계획이다. 정부가 검토해 온 대표적 방안으로 범국가 차원의 사이버위기 대응체계를 구축하는 내용의 ‘사이버테러방지법’ 제정을 꼽을 수 있다. 지난 9일 국회 정보위원장인 새누리당 서상기 의원이 발의했다. 사이버테러방지법은 국정원이 사이버안보를 총괄하며 국정원 산하에 국가사이버안전센터를 두고 사이버위기관리 종합대책 수립을 주요 골자로 한다. 그러나 야당은 국정원이 총괄기능을 수행할 경우 민간 정보통신 시설로까지 국정원의 권한이 확대되고, 사생활을 침해할 부작용이 있다고 우려를 제기하고 있다. 향후 입법 과정에서 상당한 진통이 예상된다. 청와대에 ‘사이버안보 비서관’이나 ‘사이버안보 보좌관’을 신설하는 구상도 나오고 있다. 미래부는 ‘정보통신기반보호법’을 개정, 피해를 입은 방송사 전산망을 ‘주요 정보통신 기반시설’에 포함하는 방안을 추진하고 있다. 주요 정보통신기반시설로 지정되면 각 중앙행정기관은 매년 소관 정보통신기반시설에 대해 취약점을 분석하고 보호 대책을 수립·추진해야 한다. 미래부와 국정원은 각 중앙행정기관의 보호 대책 이행을 점검한다. 안전행정부는 행정기관의 정보시스템이 3·20 해킹과 같은 사이버 공격을 받지 않도록 전자정부 서비스에 ‘보안등급제’를 도입하는 대책을 마련했다. 정부는 또 사이버 침해사고가 발생하면 신고·원인분석·복구지원 등 대응 프로세스가 원활히 작동하도록 업무처리 절차와 법·제도 등을 전면 개편하기로 했다. 북한 정찰총국이 운영하는 대규모 해커부대에 맞서 해킹 방어 인력 양성도 추진할 계획이다. 일각에서는 ‘선의의 해커’를 의미하는 ‘화이트 해커’ 1000명 육성 구상도 제기한다. 미래부 관계자는 “화이트 해커를 국가가 육성하는 것도 중요하지만 국내 보안산업의 수준을 높이는 것이 근본적인 해결책”이라면서 “보안기업의 인력양성 프로그램을 지원하는 등 다양한 방안이 필요하다”고 말했다. 홍혜정 기자 jukebox@seoul.co.kr

초급 수준의 핵무기를 가지고 강경파와 손잡은 29세 김정은은 ‘말’로 할 수 있는 도발은 다 했다. 3차 핵실험 성공의 자신감으로 정전협정 백지화, 최후 결전의 시각, 개성공단 폐쇄 등 극언과 만행을 아끼지 않는다. 조선중앙통신은 김정은이 “명령만 내리면 멸적의 불줄기를 날릴 수 있게 경상적인(상시적인) 전투 준비를 갖추고 있다가 적진을 벌초해 버리라”고 지시했다고 발표했다. 국제 군사전문가들은 북한이 2016년까지 48기의 핵무기를 보유할 것이라고 전망했다. 현재 북한의 도발은 본질적으로 핵 위협이다. 애써 북한의 핵을 부인하려는 미국 정보당국과 달리 우리는 북한이 핵무기를 가졌음을 인정해야 한다. 또한 자주적으로는 북한의 핵무기에 대응할 방안이 없음도 인정해야 한다. 그런데 누구도 이 핵의 위기 상황을 현실이라고 생각하지 않는다. 그래도 ‘나는 북한 스타일’이라고 북한의 입장을 대변하는 사람들이 널려 있다. 이게 박근혜 정부가 마주친 국가안보 현실이다. 그동안 국가정보가 고장이 나서이지 북한의 핵 무장은 예고된 시나리오였다. 북한이 핵 개발을 지속한 30년 세월 동안 우리는 이 ‘불편한 진실’을 애써 외면해 왔을 뿐이다. 북핵에 대한 장기 전략적 국가정보가 부재했고 대책이 없었던 것이다. 왜 그랬을까? 국회의원들은 말할 것도 없고, 대통령·국방장관 등 안보 관련 정책 책임자, 국가정보 수장들이 단기 전술적인 정치정보와 군사정보만을 국가정보로 착각했던 것이다. 국가안보의 핵심인 국가정보원의 근본적인 역할은 수집한 첩보를 치밀하게 분석해 끊임없이 최고 수준의 국가정보를 생산하는 것에 있다. 생산되는 국가정보에는 현안에 대한 전술적인 정보는 물론이고, 미래에 대한 웅장한 전략정보가 필수적이다. 15년 후의 미래예측 정보를 생산하는 미국 국가정보위원회(NIC)가 작년에 생산한 ‘Global Trends 2030’이 대표적인 미래전략정보이다. 이에 더하여 남북분단 상황인 우리의 경우에는 비밀공작(covert operation)과 방첩공작이 정보기구의 중요한 역할이다. 스스로가 전사(戰士)가 되겠다는 남재준 국정원장이 국민에게 믿음을 주는 것은 사실이다. 그러나 정보기구는 전투부대가 아니다. 9·11 테러공격 이후 미국 중앙정보국(CIA)의 전투 지향을 비판, CIA 국장으로서가 아니라 CIA 전투사령관으로 본분을 갖추지 못한다고 비아냥거림을 받는 것이 정보세계의 평가이다. 정보기구는 정부가 현명한 정책결정을 하도록 최상의 단기·중기·장기 국가정보를 끊임없이 생산하는 최고의 국책연구소(Think Tank)가 되어야 한다. 또한 전쟁 선포 없이 북한 핵시설 기지의 파괴 또는 오작동을 유발하는 빼어난 비밀공작 역량을 가져야 하고, 필요하다면 기관 차원에서 깨끗하게 해치우기도 해야 한다. 결국 대통령이 먼저 국가정보의 역할을 알아야 한다. 정치 관여 배제를 위해 정보 수장과 독대하지 않겠다는 발상으로는 정보 실패를 답습할 수밖에 없다. 오히려 대통령은 국가정보 수장을 매일 만나야 한다. 다만 만나서 국내정치 보고는 받지 말고 북한군 간부들의 일일 동향, 핵무기 진전도, 노동당 정권의 향후 전망, 북한 경제동향은 물론이고 세계 기후변화와 신종 질병, 북방항로의 전망, 전 세계 최첨단 기술 보유회사 등 국가정보기구가 제대로 된 정보기구로 일할 수 있는지 질문을 끊임없이 해야 한다. 이것이 섹스 추문에도 불구하고 클린턴 대통령이 CIA와 미국 연방수사국(FBI)을 활용해 모든 나라를 압도하는 국가 경제정보로 경제번영을 이룬 초석이었다. 대통령이나 정보 수장이 단기 전술적인 전투형 정보에만 익숙해서는, 현안 문제에는 대처가 가능할지 모르지만 참된 국가안보를 달성할 수 없다. 비상상황으로 이해는 되지만 청와대 국가안보실장, 국가정보원장, 국방장관이 모두 육사 출신들로 전투 모드인 것 자체가 비정상적이다. 장기적으로는 장기 전략적 국가정보를 바탕으로 한 국민 총화력으로 북한을 압도하면, 국가안보위기는 자연적으로 해소되는 것이다. 국가정보의 진정한 역할에 대한 대통령의 올바른 이해가 절실한 시점이다. 참된 국가정보가 국가행복이다!

북한이 남한에서 혼란과 불안감을 부추기는 흔적이 확인되고 있다. 지난달 20일 KBS 등 방송사와 은행 6곳의 전산망이 동시다발적으로 마비돼 우리 사회를 큰 혼란에 빠뜨렸던 사이버테러가 북한 소행이라는 민·관·군 합동조사팀의 조사결과가 어제 나왔다. 사이버테러의 배후세력으로 추정된 북한 정찰총국은 대남·해외 공작업무를 총괄하는 기구이자, 연평도 포격사건을 주도한 기관 아닌가. 사이버테러가 대남 도발의 연장선상에서 자행된 것이라고 봐도 무방할 것이다. 북한은 남한 사회에 불안감을 고조시키는 데 사이버테러가 매우 효과적인 수단이라고 여겼을 법하다. 북한의 도발 위협이 고조되면서 정치권에서는 대북 특사를 파견해야 한다는 목소리가 커지고 있다. 특사 파견을 놓고 여야가 찬반 논란을 벌이고 있고, 여당은 물론 야당 내에서도 이견이 빚어지고 있다. 개성공단 가동이 중단되면서 민주통합당과 통합진보당은 한반도 위기 상황을 타개하고 긴장을 완화하기 위해 특사를 파견해야 한다는 주장을 연일 쏟아내면서 정부·여당을 압박하고 있다. 새누리당 일부에서도 특사 필요성이 제기된다. 북한 도발 위협이 자칫 행동으로 옮겨져서도 안 되고 북한 리스크가 더 이상 커져서는 안 된다는 점에서 대화 해결의 당위성은 누구도 부인하기 어렵다. 그럼에도 지금이 대북 특사 파견의 적절한 타이밍인지에 대한 전략적 판단이 선행돼야 마땅하다고 본다. 류길재 통일부 장관은 실효성 있는 결과를 얻을 수 없는 상황에서 현재로서는 특사 파견에 부정적이라고 밝혔다. 필요성에도 불구하고 시기상조라는 판단이 깔려 있다. 김대중·노무현 정부에서 장관을 지냈던 정세현 전 통일부 장관과 송민순 전 외교통상부 장관도 특사 파견은 신뢰가 구축돼야 가능하다며 부정적인 입장이다. 북한 도발을 코앞에 두고 우리가 특사 파견을 놓고 갑론을박하며 소모적 논쟁을 벌이는 것은 적절치 않다. 그런 모습은 남한 내에서 불안과 혼란을 조장하려는 북한의 남남갈등 전략에 말릴 소지가 다분하다. 북한이 미사일 발사를 예고하면서 주한 외국인들의 신변안전과 소개대책을 마련하라고 공언하는 것도 우리 내부의 불안과 갈등을 야기하려는 전술과 무관치 않다고 할 것이다. 잇따른 도발 위협에 우리 사회가 불안에 떨고 혼란에 빠지는 것이야말로 북한 강경파가 노리는 심리전의 목표일 것이다. 북한의 도발보다도 더 경계해야 할 대목이다. 철통 같은 안보태세 못지않게 국민들의 차분한 대응 자세가 요구된다. 북의 의도적 위협에도 우리 국민이 냉정함을 유지하고 있는 것은 우리 사회가 그만큼 성숙해졌다는 방증이다. 지금은 북한의 도발에 국제사회와 함께 의연한 대응을 하겠다는, 일치된 메시지를 보내야 할 때다.

▲3월 20일 오후 2시쯤 KBS·MBC·YTN 등 3개 방송사와 신한·농협·제주 등 3개 은행, NH생명·NH손해 등 2개 보험사 전산망에서 동시다발 장애 발생, PC 4만 8000여대 손상 ▲3월 21일 합동대응팀 “악성코드, 중국서 유입” 발표 ▲3월 22일 합동대응팀 “중국 아닌 국내에서 전파” 발표 ▲3월 25일 ‘날씨닷컴’ 홈페이지 통한 악성코드 유포 ▲3월 26일 지방자치단체 통합전산센터, 기획재정부 홈페이지, YTN 및 계열사 홈페이지, 탈북자 단체인 ‘자유북한방송’과 대북 인터넷 매체인 ‘데일리NK’ 홈페이지 등에 동시다발 전산 마비 ▲4월 3일 합동대응팀, 피해 서버에서 악성코드 60종 확인 ▲4월 10일 정부, ‘북한 정찰총국 소행’ 결론

국내 방송·금융사의 전산망을 마비시킨 이른바 ‘3·20 사이버테러’가 북한 소행이라고 정부가 판단한 이유는 무엇일까. 또 북한이 어떻게 국내 기업들의 방화벽을 뚫었는지에 대한 궁금증도 커지고 있다. 우선 북한의 소행으로 드러난 것은 역추적 과정에서 북한 내부 인터넷프로토콜(IP)이 발견되는 등 다양한 근거들이 제시됐기 때문이다. 10일 미래창조과학부 등 민·관·군 합동대응팀의 조사 결과에 따르면 3·20 사이버테러 한 달 전인 지난 2월 22일 북한의 내부 IP 주소가 감염 PC 원격 조작 등 명령 하달을 위해 국내 경유지에 처음 시험 접속한 흔적이 발견됐다. 이 공격 경유지에서 안랩과 같은 보안프로그램의 패치서버 등을 통해 국내 업체에 공격을 시도한 것으로 보인다. 북한은 이들 피해 PC에서 자료를 빼내가는 한편 전산망의 취약점을 파악해오다 지난달 20일 오후 2시를 기해 이들 PC에 위장 백신프로그램을 자동으로 설치해 중앙배포 서버를 통해 악성코드를 뿌린 것으로 확인됐다. 보안에 구멍이 뚫리기 쉬운 지점을 오랫동안 살핀 뒤 가장 취약한 곳을 노려 동시 다발적으로 공격을 감행한 것이다. 3·20 사이버테러 닷새 뒤 발생한 ‘날씨닷컴’ 사이트를 통한 악성코드 유포나 지난달 26일의 14개 대북·보수단체 홈페이지 자료 삭제, YTN 계열사 홈페이지 자료서버 파괴 등도 북한에 의해 이뤄진 것으로 추정됐다. 이는 전형적인 ‘지능형 지속 해킹’(APT) 방식이다. APT는 한 그룹이 특정 대상을 정해 놓고 취약점을 지속적으로 공격하는 수법으로 조직적이고 치밀한 작전이 선행돼야 가능하다. 전길수 한국인터넷진흥원(KISA) 침해대응센터 단장은 “지난달 20일 이뤄진 첫 공격에서 대부분의 파괴가 같은 시간대에 PC 하드디스크를 ‘HASTATI’ 또는 ‘PRINCPES’ 등 특정 문자열로 덮어쓰기하는 방식으로 수행됐다”며 “악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장 경로가 일치했다”고 설명했다. 또 다른 근거로는 최소한 6대 이상의 북한 내부 PC가 지난해 6월 28일부터 금융사에 1590회 접속해 악성코드를 유포했는데, 이 중 13회에서 북한의 IP가 드러난 점을 꼽을 수 있다. 이미 9개월 전부터 피해 기관들의 PC를 북한이 좌우하고 있었던 셈이다. 정부도 주요 민간시설인 방송사와 금융기관의 전산망이 9개월이나 북한에 뚫려 있다는 것을 모른 채 속수무책 당한 것이다. 북한은 공격 다음 날인 지난달 21일 해당 공격 경유지를 파괴해 흔적을 제거하는 치밀함을 보였다. 대응팀은 해커가 방화벽과 웹서버를 거치면서 남긴 로그를 모두 지웠지만 원격 터미널에 접속한 로그가 일부 남아 있었다고 설명했다. 통신상의 문제 때문에 최대 몇 분간 북한의 IP가 노출됐다는 것이다. 대응팀은 이 IP가 위조된 것일 가능성도 있다고 보고 조사를 진행했으나 이번 공격이 단방향 공격이 아니라 양방향 통신을 바탕으로 한 공격이라는 점에서 위조 가능성이 거의 없다는 결론을 내렸다. 전 단장은 “위조된 IP를 쓰면 답변이 엉뚱한 곳으로 갈 수 있다”며 “IP 세탁 가능성을 0%라고 할 수는 없겠지만 가능성이 매우 낮다”고 설명했다. 대응팀은 지금까지 북한 소행으로 결론이 난 과거 공격과 이번 사이버테러의 경유지와 수법이 일치하거나 상당 부분 유사하다는 점도 증거로 들었다. 이번 공격에 사용된 국내외 공격 경유지는 국내 25곳과 해외 24곳 등 모두 49곳으로, 이 중 국내 18곳과 해외 4곳 등 22곳이 과거 북한의 대남 해킹에 이미 사용된 것으로 대응팀은 파악했다. 또 대응팀은 이번 해킹에서 사용된 악성코드 76종 중 과거의 것을 재활용한 것이 30종 이상이었다고 밝혔다. 홍혜정 기자 jukebox@seoul.co.kr

　강력한 경제개혁 정책인 ‘대처리즘’으로 엇갈린 평가를 받았던 마가렛 대처 전 영국 총리가 눈을 감은 뒤에도 상반된 반응을 얻고 있다. 　뛰어난 리더십으로 ‘영국병’을 치유한 ‘철의 여인’ 마가렛 대처 의 서거 소식에 영국은 물론 전 세계에서 애도의 물결이 이어지고 있지만 노동조합 규제, 공기업 민영화 등 마가렛 대처가 밀어붙인 신자유주의 정책이 오히려 양극화를 초래했다고 비판하는 이들은 거리로 나와 샴페인을 터뜨리며 환영의 뜻을 내비쳤다. 　8일(현지시간) 가디언 등 영국 언론에 따르면 1980년대 국영탄광 20곳을 폐쇄하고 2만여명의 노동자를 해고한 마가렛 대처 정부에 격렬히 맞섰던 영국탄광노조(NUM)의 크리스 키친 사무총장은 “우리는 오랫동안 대처의 사망 소식을 기다려왔기에 그의 죽음에 유감을 표할 수 없다”면서 “대처가 땅에 묻힐 때 그녀의 정책도 함께 묻히기를 희망한다”고 밝혔다. 　독립을 주장하며 대처 정부와 끊임없이 갈등을 빚었던 북아일랜드 역시 냉담한 반응을 보였다.1981년 수감중이던 아일랜드공화국군(IRA)이 단식투쟁을 벌여 10명이 목숨을 잃었지만 대처 전 총리는 협상을 거부하고 강경하게 대응했다. 이 때문에 1984년 보수당 연례회의에서 IRA의 폭탄 테러공격을 받았다. IRA의 정치조직인 신페인당의 대표 게리 아담스는 대처를 위선자라고 비난하면서 “은밀한 작전으로 시민을 검열하고 사살한 인물”이라고 혹평했다. 　남대서양의 작은 섬인 포클랜드를 두고 19세기부터 영국과 영유권 분쟁을 벌여온 아르헨티나 정부는 대처 전 총리의 사망 소식에 별다른 반응을 내놓지 않고 있다. 하지만 현지 언론들은 대처 전 총리에 대한 부정적인 내용들을 대대적으로 보도하는가 하면 트위터 등에선 그의 과거를 비난하는 글들이 잇따라 아르헨티나 국민들의 반감이 어느 정도인 지를 드러냈다. 　조희선 기자 hsncho@seoul.co.kr

“한달에 30만원에 스마트폰 전화통화는 물론 문자 내역, 심지어 전화기 주변 상황까지 도청해 드립니다.” 스마트폰에 설치하면 전화통화 도청은 물론, 문자메시지까지 실시간으로 빼돌릴 수 있는 스마트폰 애플리케이션(앱) ‘스파이폰’이 국내에서 처음 적발됐다. 국내에서 도청이 가능한 악성 앱을 유포하다 덜미를 잡힌 건 처음이다. 경찰청 사이버테러대응센터는 중국에서 구입한 불법 도청 앱을 국내에서 판매해 390만원의 부당이익을 챙긴 최모(39)씨를 정보통신망법상 악성프로그램 전달 및 유포 등의 혐의로 구속했다고 4일 밝혔다. 최씨에게 도청을 의뢰한 양모(31)씨 등 5명도 통신비밀보호법 위반 혐의로 불구속 입건했다. 최씨가 유포한 도청 앱은 스마트폰 소유자의 전화통화 내용, 문자메시지, 위치정보, 주변소리까지 모두 음성·텍스트 파일로 자동 전송하는 기능을 지녔다. 중국 산둥성에 거주하던 최씨는 중국 언론에서 도청 앱 유포자가 잡혔다는 뉴스를 보고 현지 범죄조직에 부탁해 도청 앱을 사들였다. 최씨는 온라인 광고를 보고 연락해 온 의뢰자들로부터 월 30만원씩의 이용료를 받았다. 이 중 절반 정도인 14만원은 중국 범죄조직에 건넸다. 최씨는 상담전화는 중국에, 홈페이지 서버는 일본에, 도청 서버는 미국에 두는 식으로 경찰 추적을 피해 왔다. 도청을 의뢰한 사람은 다양했다. 빚지고 도망간 사람을 찾기 위해 채무자 내연녀의 스마트폰을 도청한 채권자도 있었고 아내의 스마트폰을 도청한 남편, 내연녀를 의심한 불륜 남성도 있었다. 최씨는 도청을 의뢰한 사람들에게 “상대방(피해자)의 스마트폰을 잠시 빌리라”고 지시했다. 이때 잽싸게 앱 설치로 연결되는 인터넷 주소를 해당 스마트폰에 문자메시지로 보냈다. 이 주소를 클릭하면 도청 앱이 자동 설치됐다. 도청 앱은 설치 후에 아이콘 등 흔적이 전혀 남지 않아 대부분 피해자들은 경찰이 도청 사실을 알려줄 때까지 그 사실을 알지 못했다. 실제 피해자 A씨의 휴대전화에선 2개월 동안 1700여건의 통화내용이 빠져나갔다. B씨는 21일 동안 통화, 문자메시지, 주변 녹음 등 987건을 도청당했다. 경찰 관계자는 “운영체계가 개방적인 안드로이드 스마트폰 이용자들이 도청의 위험에 노출됐다”면서 “도청 앱이 설치됐는지를 확인하기 위해서는 스마트폰 메뉴 중 ‘작업 관리자’를 눌러 실행 중인 프로그램 속에 ‘서포트 안드로이드’(Support.Android)가 있는지 확인하면 된다”고 말했다. 김정은 기자 kimje@seoul.co.kr

악성 코드로 연결되는 문자메시지를 보내 스마트폰 이용자들의 돈을 몰래 빼낸 ‘스미싱’ 사기 일당이 경찰에 붙잡혔다. 휴대전화 문자메시지(SMS)와 피싱(phishing)의 합성어인 스미싱(Smishing)은 스마트폰 이용자가 웹사이트 링크를 클릭하면 악성 코드를 설치해 결제정보 등 개인정보를 빼돌리는 신종 사기 수법이다. 경찰청 사이버테러대응센터는 2일 이모(24)씨 등 2명을 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 구속했다고 밝혔다. 이씨 등은 지난해 11월부터 최근까지 해외 사이트를 이용해 피자회사 등의 스마트폰 애플리케이션을 설치하면 무료 쿠폰을 준다는 식의 문자메시지를 사람들에게 마구잡이로 보냈다. 이들은 스마트폰 이용자가 설치를 하려고 문자메시지에 적힌 사이트로 접속하면 악성 코드에 감염되도록 조작했다. 이씨 등은 감염된 스마트폰을 조종해 소액결제 방식으로 유명 게임 사이트에서 아이템을 결제, 중국의 게임머니 브로커에게 되팔았다. 현재까지 파악된 피해자는 21명으로 피해 금액은 500여만원이다. 이들은 PC에도 신용카드 결제 정보를 유출하는 악성 코드를 심어 감염된 228명의 PC로부터 신용카드 결제 정보를 얻어 내 게임 사이트 등에서 1000여회에 걸쳐 신용 결제하는 수법으로 2억 2000만원을 챙긴 것으로 조사됐다. 김정은 기자 kimje@seoul.co.kr

국회가 ‘국가 사이버위기 관리법’ 제정에 나섰지만 ‘컨트롤타워’를 어디에 둘 것인가를 놓고 여야가 서로 다른 목소리를 내고 있다. 지난 20일 일부 금융기관과 방송사를 대상으로 감행된 ‘사이버테러’ 이후 관련 법률안을 만드는 데에는 여야 이견이 없는 가운데, 법안 발의를 누가 선점하느냐를 두고 기싸움을 벌이는 양상이다. 새누리당 소속 서상기 정보위원장은 29일 국회 의원회관에서 ‘국가 사이버위기 관리법 제정을 위한 공청회’를 열었다. 4월 임시국회에서 관련 법률안을 대표 발의하기에 앞서 전문가들의 동의를 얻고 의견을 수렴하는 차원이다. 공청회에서는 사이버 안보 관리의 총 책임을 국가정보원에 맡기는 것이 최대 쟁점으로 떠올랐다. 서 위원장이 마련한 사이버위기 관리법이 “사이버 공격에 대한 국가 차원의 종합적이고 체계적인 대응을 위해 국가정보원장 소속 ‘국가사이버안전센터’를 두는 것”을 주 내용으로 하고 있기 때문이다. 발제자로 나선 임종인 고려대 정보보호대학원 교수는 “국정원을 견제할 수 있는 법·제도적, 조직적 장치를 추가로 마련해 국정원에 권한을 부여하는 데에 따른 우려를 최소화해야 한다”고 주장했다. 그 방법으로 “신속한 대응이 이뤄질 수 있도록 청와대에 1급 비서관 이상의 사이버안보 담당자를 두고 국정원과의 정보 공유를 보장하면 된다”고 제시했다. 다른 토론자들 역시 국정원의 권력남용을 차단하기 위한 보완책을 내놨다. 류재철 충남대 컴퓨터공학과 교수는 “사이버보안청과 같은 별도의 조직을 만들자”고 제안했다. 이와 관련, 민주통합당은 “국정원 권력이 민간 영역에까지 미칠 수 있다”는 이유로 서 위원장의 법안에 반대하는 한편 당 산하 민주정책연구원에 사이버테러 대응 태스크포스(TF)팀을 구성해 법적·제도적·기술적 점검을 하고 이를 체계화하기로 했다. 이영준 기자 apple@seoul.co.kr

북한의 도발 위협 수위가 정점으로 치닫고 있다. 북은 어제 남북 간 군 통신선을 단절하고 서해지구 남북관리구역 군 통신연락소의 활동도 중단한다고 선언했다. 그제 군 최고사령부가 야전 포병군에 ‘1호 전투근무태세’를 발령한 데 이은 조치다. 북한 외무성도 성명을 통해 “미국과 남한의 도발 책동으로 조선반도에 핵전쟁 상황이 조성됐다는 점을 유엔 안전보장이사회에 통고한다”고 밝혔다. 자신들의 군사 행동이 재래식 무기를 앞세운 국지적 도발 차원을 넘어 미국과 남한을 대상으로 한 핵미사일 공격이 될 것이라고 엄포를 놓기도 했다. 그런가 하면 북한은 조만간 노동당 중앙위 전원회의를 소집, ‘주체혁명 수행의 결정적 전환을 이루기 위한 중대 문제를 결정할 것’이라고 밝히기도 했다. ‘중대 문제’와 관련, 일각에선 군사적 주요 사항은 당 중앙군사위가 따로 정한다는 점을 들어 장기적 대외전략 정도를 논의하지 않겠느냐는 관측을 내놓고 있다. 그러나 이는 안이한 인식이다. 북한이 그럴 정도로 시스템화돼 있는 체제가 아니지 않은가. 일련의 북한 움직임을 감안하면 최소한 국지적 무력 도발이나 사이버테러와 관련돼 있을 가능성을 열어놓고 대비에 만전을 기하는 게 올바른 자세다. 지금까지 북한의 숱한 도발은 늘 우리의 안보의식이 해이해진 틈을 타고 자행됐다. 지속적 도발 위협에 따른 피로감과 대북 전략에 대한 강온 논란이 우리 사회에 확산되는 상황에서 북한은 뒤통수를 때렸다. 지난해 12월 북한의 로켓 발사 이후 석 달여 북한의 도발 위협이 계속돼 온 데 따른 긴장의 피로감과 안보 위협 상승에 대한 둔감함이 확대된 지금 시점이 바로 이에 해당한다. 3년 전 천안함이 폭침됐을 때 전군을 지휘하는 합참의장은 술을 마시고 자기 집무실에서 쉬고 있었다. 이 때문에 보고와 지휘가 원활하게 이뤄지지 않았었다. 절대 되풀이돼선 안 될 일이다. ‘짖는 개는 물지 않는다’는 소리는 어떤 경우에도 군이 할 소리가 아니다. 대비 태세를 최고 수위로 끌어올릴 시점이다. 외교·통일 정책적 대응도 보다 면밀해야 한다. 외교부와 통일부는 어제 대통령 업무보고를 통해 대북 인도적 지원과 북한 조림사업 등을 위한 사회분야 교류를 북핵 문제와 별개로 추진하겠다는 뜻을 밝혔다. 남북 간 신뢰 형성을 위한 돌파구 마련을 위해 제한적이나마 남북 간 교류협력을 재개하겠다는 구상을 밝힌 것은 나름대로 의미가 있다고 본다. 그러나 모든 것은 때가 있다. 북한이 언제든 도발하겠다고 엄포를 놓는 상황에서 이런 입장 표명은 자칫 북한의 위협에 끌려가는 듯한 잘못된 메시지를 북한에 줄 수 있음을 유념해야 한다. 지금은 북한이 도발한 이후 전개될 외교안보 지형 변화와 외교적 대응 시나리오를 짜는 데 전념할 때다.

전국 7개 광역 자치단체의 전산망에 장애가 발생, 1시간 20여분 만에 복구됐다. 또 기획재정부 웹사이트도 이날 15분가량 마비됐다. 지난 20일 발생한 방송사, 은행 등의 전산망 마비사태가 국가정보통신망에도 재현된 것이 아니냐는 우려를 자아냈지만 스위치 고장으로 확인됐다. 26일 안전행정부 정부통합전산센터에 따르면 국가정보통신망에서 지방자치단체로 연결된 장비에 과부하가 걸리면서 오전 10시 40분부터 장애가 발생, 경기, 인천, 강원, 전남·북, 광주, 제주 등 7개 광역단체 전산망이 마비됐다. 해당 지역에서 전산망을 공유하는 공공기관의 전산망이 역시 마비됐다. 지자체의 전산망은 자체가 운영하는 홈페이지가 연결된 망으로, 공무원의 인터넷 접속에 사용되며 정부통합지식행정시스템과는 분리돼 있다. 6개 광역단체 전산망은 오전 11시 22분쯤 정상화됐고, 전남은 가장 늦은 낮 12시 5분 복구됐다. 방송통신위원회는 “지자체 통합전산센터의 전산망 장애는 스위치쪽의 일시적 장애로 확인됐다”고 밝혔다. 방통위는 또 같은 시간 발생한 YTN 전산망 마비 사태와 관련,“내부 시스템의 장애로 보인다”면서도 외부 해킹 가능성을 배제하지 않았다. 전산망이 마비되면서 지자체 공무원들은 이메일을 전송할 수 없어 자료를 팩스로 주고 받는 등 불편을 겪었다. 내부 행정망이 아닌 외부로 연결하는 전산망에서 발생해 민원처리, 전자 결재, 시·군·구 간 업무 연계 등은 정상적으로 이뤄졌고, 민원인들의 큰 불편은 없었다. 안행부 관계자는 “국가정보통신망에서 지자체로 연결된 업무망은 아무 문제가 없었지만 인터넷망에 연결된 장비 트래픽에 이상이 생기면서 잠깐 장애를 일으킨 것”이라면서 “국가정보통신망 시스템을 통한 내부 결재나 민원 처리는 가능하지만 인터넷 접속이 안 됐다”고 말했다. 북한 관련 단체 홈페이지에서 잇따라 접속 장애가 발생했다. 데일리NK는 홈페이지 공지를 통해 “오후 1시 40분부터 2시 30분까지 해킹으로 추정되는 외부공격으로 인해 사이트 접속에 차질이 발생했다”고 밝혔다. 데일리 NK는 장애 원인으로 미국 IP를 통한 악의적인 해킹 공격으로 추정하고 있다. 자유북한방송, NK지식인연대, 북한개혁방송의 홈페이지도 오후 마비됐다. 정부는 이날 서울청사에서 김동연 국무조정실장 주재로 연 정보통신기반보호위원회에서 행정·금융·통신·운송 등 209개 전국 주요 정보통신 기반시설에 대해 사이버테러에 대응하기 위해 점검하기로 했다. 또 사이버 테러에 대응할 수 있는 전문인력 양성 방안과 함께 인프라나 제도 구축 방안 등의 대책을 마련하기로 했다. 김 실장은 “민간부문의 기반시설은 미래창조과학부 중심으로, 공공부문의 기반시설은 국가국정원 중심으로 대처할 것”을 주문했다. 박록삼 기자 youngtan@seoul.co.kr 이석우 선임기자 jun88@seoul.co.kr 홍혜정 기자 jukebox@seoul.co.kr

방송국과 금융기관의 전산망을 마비시킨 ‘3·20 사이버 테러’ 악성코드가 기업의 데이터 시스템과 개인용 PC에도 널리 유포된 징후가 포착됐다. 이에 따라 추가 해킹 피해를 막으려면 대응 시스템을 총괄하는 컨트롤타워가 신속히 필요하다는 지적이 나오고 있다. 보안업체 안랩은 25일 이번 해킹에 사용된 것과 유사한 악성코드가 더 배포돼 수백대 이상의 PC를 감염시킨 것으로 추정했다. 이 악성코드에는 부팅영역(MBR) 파괴 기능과 함께 명령제어(C&C) 서버와 통신하는 해킹 프로그램이 추가된 것으로 확인됐다. 특히 안랩은 1차 때의 경우 내부 타이머로 공격 시간대를 특정했지만, 신종 악성코드는 공격자가 원하는 시간대에 공격을 할 수 있도록 진화했다고 설명했다. 이날 일부 금융기관의 감염 전산 시스템을 점검하는 과정에서도 2차, 3차 공격을 예고하는 징후가 포착된 것으로 알려졌다. 이 금융기관은 장애 발생 이전 수준으로 전산망을 정상화했지만 악성코드가 아직 전산망 어딘가에 남아 있을 가능성이 있는 것으로 판단했다. 전문가들은 이번 해킹 사건을 계기로 사어버 공격을 종합적으로 지휘하는 국가 차원의 컨트롤타워를 만들어야 한다고 지적했다. 정부의 사이버 공격 대응 시스템은 여러 부처로 역할이 분산돼 있어 신속하고 체계적인 대응을 못 하고 있다는 것이다. 앞서 합동대응팀은 농협의 사설 인터넷 프로토콜(IP)을 중국 IP로 오인해 발표함으로써 혼란만 부추겼다. 김승주 고려대 정보보호대학원 교수는 “해킹 원인 파악에는 시간이 소요되고 그 사이에 추가 해킹이 발생할 수도 있다”며 “이 때문에 해킹 사건이 나면 신속한 결정을 내릴 수 있는 공공기관이 필요하다”고 말했다. 컨트롤타워 기관에 예산권 등 권한을 부여하는 대신 책임을 지도록 해야 한다는 것이다. 현재 정부의 사이버 공격 대응 체제는 국가정보원, 국방부, 경찰청, 방송통신위원회 산하 한국인터넷진흥원 등으로 분산돼 있다. 또 중앙행정기관에 대한 방어는 정부통합전산센터를 지휘하는 안전행정부 책임이다. 이번 사건을 계기로 청와대는 사이버비서관을 신설하기로 했지만 여기에도 한계가 있다. 김 교수는 “미국의 경우는 사이버안보보좌관이 정보를 취합해 대통령에게 보고한다”며 “사이버안보보좌관에 버금가는 지위와 책임을 주고 각 부처에 흩어져 있는 정보들도 모아서 공유해야 한다”고 강조했다. 정보보호 학계는 제18대 대통령직인수위원회에 ‘국가사이버안보정책보고서’를 제출한 바 있다. 보고서는 청와대에 사이버전담관 신설, 국가사이버안보법(가칭) 제정, 사이버 부문 예산 확대 등을 담고 있다. 하지만 아직 정책에 반영되지 않았다. 한편 경찰청은 지난 20일 사이버 공격을 받은 6개 기관 가운데 일부 PC에 악성코드를 심은 해외 IP 주소 목록을 확보하고, 미국과 유럽 일부 국가 등 4개국이 감염 경로로 확인됐다고 밝혔다. 그러나 중국은 포함되지 않았다. 홍혜정 기자 jukebox@seoul.co.kr

전산망이 해킹에 뚫린 방송사와 금융기관은 내부망과 외부망을 분리해야 하는 보안 규정을 지키지 않은 탓에 피해를 키운 것으로 확인됐다. 망 분리는 비용 부담과 작업 불편 등의 이유로 지켜지지 않았다. 24일 민·관·군 사이버테러 합동대응팀 등에 따르면 KBS, MBC, YTN 등 방송사와 농협, 제주은행은 내·외부 전산망을 통합 운영하고 있다. 망 분리는 직원이 업무용으로 사용하는 내부망과 인터넷 접속이 가능한 외부망을 따로 구축하는 것이다. 업무용 통신망의 속도를 높이고 외부인이 인터넷을 통해 사내 정보가 담긴 내부망에 침입하지 못하도록 하는 효과가 있다. 신한은행은 지난해 10월 말 망 분리 작업에 착수했으나, 하필 이번 해킹에 악용된 ‘업데이터관리서버’(PMS) 영역에는 적용하지 않았다. 농협은 2011년 전산 마비 해킹 때 망 분리를 지적받고도 개선하지 않았다. 국가·공공기관이 아닌 대부분의 민간에서는 망 분리 대신에 보안 소프트웨어를 사용하는 경우가 많다. 망 분리는 내·외부용 PC를 따로 써야 해 최소 2배 이상의 비용이 들기 때문이다. 또 방송사의 취재기자들처럼 외부와 자주 접속해야 하는 직군에서 망 분리를 꺼리는 것도 이유가 된다. 또 피해 금융기관은 정보보안인증제도(ISMS) 인증도 외면한 것으로 나타났다. 일정 규모 이상의 포털·쇼핑몰 등 주요 정보통신서비스 제공자들은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정에 따라 지난달 18일부터 보안에 관한 137개 항목, 446개 세부항목으로 구성된 ISMS 인증을 의무적으로 받아야 한다. 방송통신위원회는 은행도 ISMS 의무 대상으로 해석하고 지난주 전국은행연합회에 협조 공문을 발송하기도 했다. 하지만 은행 대부분은 “이미 전자금융거래법과 전자금융감독규정에 따라 높은 수준의 규제를 받는다”는 이유로 소극적인 태도를 보였다. 한편 합동대응팀은 피해 기관의 PC와 서버를 추가 확보해 분석하고 있지만 해킹의 주체나 공격 경로 등은 아직 밝혀내지 못하고 있다. 홍혜정 기자 jukebox@seoul.co.kr

방송통신위원회가 지난 20일 주요 방송·금융기관의 전산망을 마비시킨 악성코드가 중국발 인터넷(IP) 주소가 아닌 국내 컴퓨터에서 전파됐다고 번복하면서 정부의 정보 보안 위기 대응 능력에 의문이 제기되고 있다. 국내 최고의 전문가들로 이뤄졌다는 정부 합동대응팀이 기본적인 사안조차 제대로 확인하지 못한 것이다. 2008년 정보통신부 해체로 인한 ‘정보기술(IT) 컨트롤 타워’의 부재가 ‘사이버전(戰)’ 대처 능력을 현저히 떨어뜨렸다는 비판이 거세지고 있다. 방통위는 22일 해킹을 유발한 악성코드가 애초 정부 발표와 달리 농협 내부의 컴퓨터에서 전파된 것으로 나타났다고 밝혔다. 전날 정부가 중국 IP로 공식 발표했다는 점에서 ‘정확한 조사 없이 다른 나라를 거론해 외교적 결례를 범했다’는 비난을 피할 수 없게 됐다. 전날 방통위는 신원이 밝혀지지 않은 해커가 중국 인터넷을 경유해 피해 기관의 백신 소프트웨어(SW)를 배포하는 업데이트관리서버(PMS)에 접속해 악성파일을 심어 놓은 뒤 정해진 시간에 하위 컴퓨터의 부팅 영역을 파괴하도록 했다고 밝혔다. 이런 발표에 따라 청와대는 북한의 소행일 수 있다는 데 무게를 두고 조사를 진행해 왔다. 2011년 3월 디도스 공격 등 과거 북한이 중국 IP를 사용해 사이버 테러를 자행한 사례가 있기 때문이다. 하지만 결과적으로 방통위가 대통령에게 부정확한 보고를 해 정부가 잘못된 판단을 내리게 했다. 섣부른 발표로 국민에게 혼란만 가중시켰다는 비난 또한 피하기 어려워 보인다. 이번 ‘3·20 대란’과 같은 비상사태에 신속하고 주도적으로 대응할 ‘컨트롤 타워’가 없다는 게 이번에도 발목을 잡았다. 이명박 정부가 들어서면서 정보통신부를 해체해 정보 보안 위기 대응 분야를 주도한 ‘플랜B’(대안)를 구축하지 않은 게 결정적이었다. 이와 함께 사이버 대란 때마다 매번 주요 원인으로 거론되는 ‘액티브X’가 이번 사태에도 한국 정보 보안의 발목을 잡았다는 지적이 대두되고 있다. 액티브X란 미국 마이크로소프트(MS)가 자사 웹브라우저인 ‘인터넷 익스플로러’(IE)에서 쓰기 위해 1996년부터 상용화한 기술로, 다양한 응용 프로그램들을 PC에 자동으로 설치할 수 있게 도와준다. 하지만 원래 의도와 달리 현재는 여러 악성 프로그램들의 유통 경로로 악용되면서 골칫거리로 전락했다. 사용자가 별 생각 없이 ‘OOO가 배포한 XXX에서 추가 기능을 수행하려 합니다’라는 표현에 ‘예’(혹은 ‘YES’)를 클릭하는 것만으로도 PC에 악성코드가 설치돼 활동할 수 있게 된 것이다. 심지어 악성코드를 잡아내야 할 백신들조차도 액티브X를 쓰고 있어 언제든 악성코드를 퍼뜨리는 숙주로 돌변할 가능성이 높다. 이번 사태에도 해커가 농협의 백신 소프트웨어 배포 관리 서버에 접속한 뒤 액티브X를 활용해 악성코드를 확산시켰다. 하지만 IE의 국내 시장 점유율이 90%가 넘다 보니 액티브X를 쓰지 말라고 하기도 어려운 실정이다. 지난해 4월 방송통신위원회와 행정안전부의 조사에 따르면 민간 및 행정기관의 주요 웹사이트 200곳 가운데 84%인 168곳이 액티브X를 사용하는 것으로 나타났다. 특히 액티브X 사용을 전제해 만든 공인인증서 시스템 때문에 금융권이나 쇼핑몰의 경우 거의 모두가 액티브X를 쓰고 있다. 여기에 일부 백신에 지나치게 의존한 국내 보안시장 구조도 약점으로 거론된다. 현재 업계에서 추정하는 기업용 백신의 시장 점유율은 ▲V3(한국) 55~60% ▲하우리(한국) 12~155% ▲카스퍼스키(러시아) 7~10% 순으로, 이 셋만 합쳐도 전체의 80%를 넘는다. 해외 해커들이 이 세 백신만 연구하면 손쉽게 보안벽을 열 수 있어 한국이 상대적으로 공략하기 쉬운 국가로 여겨질 수 있다는 게 업계의 설명이다. 실제로 해커들이 V3의 소스코드만 확보해도 이를 기반으로 백신 우회기술을 적용한 악성코드를 만들어내 국내에 절반이 넘는 컴퓨터에 곧바로 배포할 수 있게 된다. 류지영 기자 superryu@seoul.co.kr

한·미 합동군사연습인 ‘키 리졸브’ 종료를 즈음해 북한이 긴장의 수위를 높여가고 있다. 훈련이 끝나던 그제 주민들을 대상으로 공습경보를 발령한 데 이어 어제는 대남 선전·선동 웹사이트를 통해 대량살상무기(WMD)와 장사정포로 한반도를 3일 만에 점령하겠다는 협박까지 서슴지 않았다. 아직은 심증뿐이지만 최근 사이버테러도 북한의 소행일 가능성이 제기된다. 부디 북한은 민족 구성원 모두를 불안케 하는 도발을 중지하기 바란다. 국내 주요 방송·금융기관의 전산망을 마비시킨 악성코드가 국내 컴퓨터에서 전파됐다는 민·관·군 합동대응팀의 조사 결과가 나왔지만 북한 소행이라는 의구심을 떨치기는 어렵다. 사이버테러의 배후로 지목돼 왔는데도 북한은 일체 함구하는, 전략적 모호성으로 일관하고 있다. 이는 북한 소행 여부를 둘러싼 논란을 부추겨 남남갈등을 유발하는 대남 전략전술의 일환으로 보면 하등 새로운 것도 아니다. 북한 정보통신 인력들이 주로 중국에서, 중국 인터넷 전용회선을 활용하고 있다는 점을 감안하면 사이버테러의 배후를 캐는 데는 중국 당국의 협조가 절실하다고 할 것이다. 북한이 대남 도발을 일삼는 동안 굶주림에 견디다 못해 목숨을 걸고 국경선을 넘는 북한주민 행렬이 줄을 잇고 있다. 북한군 병사 12명이 이달 초 중국 지린성 지안으로 탈북했다가 중국군에 붙잡혀 북한으로 강제 송환됐다고 한다. 몸무게 40㎏, 키 160㎝를 간신히 넘는 북한 병사들의 모습은 정상적인 군인이라고 하기 어려울 정도다. 지금은 옥수수와 알감자로 버티고 있으나 춘궁기가 시작되면 북한군의 이탈 현상이 확산될 개연성도 배제할 수 없다. 그나마 북한에서 가장 잘 먹는다는 군인이 이 지경일진대 일반 주민들의 사정은 어떨지 짐작이 간다. 한마디로 북한 주민의 곤궁한 형편은 이에 아랑곳하지 않고 핵무기 개발에 돈을 쏟아부은 결과 아닌가. 핵실험에 투입한 비용은 북한 주민이 8년 동안 먹을 옥수수 1940만t을 살 수 있는 비용이다. 나락에 떨어진 북한 주민들의 인권 보호를 위해 유엔 인권이사회가 처음으로 북한인권조사위원회(COI)를 구성한 의미는 적지 않다고 할 것이다. 북한은 핵보유에 대한 미련을 버리지 못하고 도발적 언사로 한반도의 긴장을 높이는 신경전을 그만둬야 한다. 곧 전쟁이라도 치를 듯한 긴장감을 조성한다고 해서 북한 주민이나 군인의 이탈을 막을 수는 없다는 점을 명심해야 할 것이다.

방송사와 금융기관의 전산망 해킹에 사용된 악성 코드가 중국에서 유입된 것으로 확인되면서 북한 소행 여부에 관심이 집중되고 있다. 민·관·군 사이버위협 합동대응팀이 21일 피해 금융기관 시스템을 분석한 결과 중국 IP(101.106.25.105)를 경유한 해커가 내부 업데이트관리서버(PMS)에 접속한 뒤 악성 코드를 생성했음을 확인했다. 하지만 다른 피해 회사의 해킹 경로와 최초 공격지점, 공격자 등 사건의 전모는 여전히 미궁 속에 있다. 다만 중국 인터넷을 이용하는 북한의 해킹 수법을 염두에 두고, 그 가능성을 배제하지 않고 있다. 합동대응팀은 피해 기관의 PMS에서 ‘트로이 목마’ 방식의 악성 코드가 유포돼 서버와 연결된 PC의 부팅 영역을 감염시킨 것으로 보고 있다. 트로이 목마는 정상적인 프로그램으로 위장해 컴퓨터 시스템을 파괴하는 악성 코드다. 트로이 목마 중에는 공격자의 명령에 따라 감염된 PC를 원격제어하고 필요한 정보를 마음먹은 대로 빼내 갈 수 있는 강력한 기능을 갖춘 경우도 있어 위험성이 높다는 게 업계 전문가들의 분석이다. 트로이 목마의 특성상 짧게는 수일부터 길게는 수개월 전에 이미 악성 코드를 침투시켜 놨을 가능성이 높다는 관측도 나온다. 그러나 악성 코드가 보안회사의 업데이트 서버를 경유한 것인지, 일부 백신업체의 주장대로 해커가 지능형지속공격(APT)으로 해당 서버의 관리자 계정을 탈취했는지 등에 대해서는 명확한 결론을 내리지 못했다. 원인 규명이 쉽지 않은 것은 이번 해킹 공격이 기존과는 다른 방식으로, 그것도 치밀한 계획을 통해 이뤄졌기 때문이다. 방송통신위원회 관계자는 “악성 코드 분석에서 피해 기관에 대한 공격 주체는 동일 조직인 것으로 파악됐으나 구체적으로 누구인지는 아직 확인되지 않았다”며 “중국 IP가 발견돼 여러 추정이 나오게 됐지만 현 단계에서는 모든 가능성을 열어놓고 해커 실체 규명에 최선을 다하고 있다”고 말했다. 동일 조직 소행으로 추정하는 이유에 대해서는 “악성 코드가 하드디스크를 손상시킨다는 특징이 피해 사이트에서 공통적으로 나타나고 악성 코드 고유의 문자열이 보이고 있다”고 설명했다. 동일 조직 소행이라는 점을 뒷받침해 주는 다른 정황도 나왔다. 합동대응팀에 참여하고 있는 보안전문기업 잉카인터넷은 6개 피해 기관에서 수집한 악성 코드 표본에 ‘후이즈’에 대한 언급이 있었다고 밝혔다. 잉카인터넷이 표본 악성 코드를 분석한 결과에 따르면 ‘후이즈 팀이 해킹했다’(Hacked by Whois Team)는 글귀와 같은 이메일 주소가 내용에 포함된 것으로 조사됐다. 이 내용은 6개 피해 기관 전산망 마비와 비슷한 시기에 발생한 이동통신사 해킹 사건 증거 화면인 후이즈 메시지와 같은 것이다. 잉카인터넷 관계자는 “후이즈 공격 메시지가 지난해 6월 발생한 중앙일보에 대한 공격과도 유사하다”면서 “올해 경찰청 사이버테러대응센터가 중앙일보 서버의 공격자를 북한으로 결론지은 바 있다”고 말했다. 일각에서는 이번 해킹 공격에 이용된 악성 코드 파일에 2차 공격을 암시하는 문자열이 있기 때문에 추가 피해에 대한 우려를 하고 있다. 신화수 한국인터넷진흥원(KISA) 침해대응센터 단장은 “추가적인 2차 해킹 피해가 있을 수 있다는 얘기가 나오고 있어서 모니터링을 강화했다”고 말했다. 이 때문에 공공기관 보안 모니터링을 담당하는 정보당국도 공공기관에 대한 2차 해킹 공격에 대비해 감시 수준을 강화한 것으로 알려졌다. 홍혜정 기자 jukebox@seoul.co.kr

지난 20일 외부 공격에 의해 국내 주요 방송사와 일부 금융기관의 전산망이 일제히 마비되면서 ‘3·20 대란’이 우리나라 정보 보안 능력의 현주소를 그대로 보여줬다는 냉정한 평가가 나오고 있다. 특정 세력이 불순한 의도를 갖고 대대적인 공격에 나설 경우 청와대를 비롯한 정부기관과 철도 등 기간시설 전산망도 절대 안전하지 않다는 것이 다시 한번 입증됐다. 2003년 ‘1·25 대란’ 때부터 정부와 기업들은 사고 당시에는 “정보 보호를 최우선시하겠다”며 대책 마련에 나섰지만, 10년 넘게 지난 지금까지도 여전히 허점이 많다는 지적이 나온다. 21일 보안업계에 따르면 최근 세계적 해커집단들은 장기적인 계획에 따라 짧게는 6개월, 길게는 3년 이상 준비해 대상을 공격한다. 지난해부터 본격화된 지능형지속위협(APT) 공격을 통해 특정 기업과 기관의 네트워크 시스템을 파괴하는 공격이 더욱 빈번해질 수 있다는 의미다. 특히 전 세계의 거의 모든 PC들이 초고속 인터넷으로 연결되면서 이번처럼 중국 등을 경유해 노트북 한 대로 한국의 금융기관 등을 공격할 수 있는 시대가 됐다. 정보 당국이 어렵사리 용의자를 찾아내도 금세 자취를 감춰 버린다. 사이버 공격은 이처럼 갈수록 지능화, 고도화되고 있지만 평소 보안 시스템을 잘 갖춰 놓은 ‘준비된 기업’이라면 절대 뚫리지 않는다는 게 업계의 설명이다. 김홍선(53) 안랩 대표는 “전 세계 해커집단이 ‘공격 1순위’로 삼는 구글이나 아마존, 페이스북과 같은 업체들이 건재한 것도 이런 이유”라면서 “보안 업체가 서버와 PC 등에 제공하는 보안 패치를 꾸준히 업데이트하고 비밀번호를 수시로 바꿔 주는 등 최소한의 조치만 해도 쉽게 공격당하지 않는다”고 말했다. 이 때문에 국내 금융 전산망과 방송국 서버들이 뚫린 것을 두고 보안의식 부재를 성토하는 의견이 쏟아지고 있다. 2003년 대란 이후 10년이 지났지만 달라진 게 별로 없다는 것이다. 특히 금융 거래망은 창구 거래를 위한 영업점 단말기는 물론 현금자동입출금기(CD·ATM)와 인터넷뱅킹 등 금융 거래 전부가 연결돼 하루 226조원이 거래되는 한국 경제의 ‘핏줄’이다. 악성코드를 통한 해킹으로 여러 은행이 공동으로 공격당할 수 있다는 점은 지난해부터 경고됐지만 이번에도 은행들은 눈 뜨고 당했다. 어떤 공격에도 견뎌내야 하는 네트워트여서 이번 사태가 더욱 뼈아프다. 현재 금융 당국은 금융회사의 정보 보호 예산 비중을 전체 정보기술(IT) 예산의 5% 이상으로 유지하는 ‘5%룰’을 권하지만 이를 지키는 업체는 많지 않다. 보안 관련 업무를 최고경영자(CEO) 직속에 두고 직접 챙겨야 한다는 지적도 끊이지 않지만 실제로 이를 실천한 곳은 현대캐피탈 등 일부에 불과하다. 2011년 4월 이후 2년 만에 또다시 전산망 마비 사태를 빚어 망신을 산 농협은 지금도 서버 관리를 외주 직원에게 맡기고 있다. ‘소 잃고도 외양간 고칠’ 생각조차 없어 보인다. 정부의 대응 능력 미숙도 아쉬운 대목이다. 정부는 2003년 1·25 대란 이후 인터넷 이상 징후를 모니터링하고 대응할 수 있는 ‘인터넷침해대응센터’(KISC)를 설립해 모니터링 체계를 구축했고 정보통신망법도 개정했다. 2009년 ‘7·7 대란’ 이후에는 ‘국가 사이버 안전체제’가 구축돼 한국인터넷진흥원(KISA)을 중심으로 방송통신위원회, 국가정보원, 국방부 등 정부 기관과 백신·이동통신업체 등 민간 사업자들을 실시간으로 연결해 주는 시스템도 갖춰졌다. 그럼에도 3·20 대란과 같은 비상사태에 신속하고 주도적으로 대응할 ‘컨트롤타워’가 없다는 게 약점으로 지적된다. 이명박 정부가 들어서면서 정보통신부를 해체한 게 영향이 컸다. 여기에 올해 정부의 정보보호 예산은 2400억원으로 지난해 2633억원보다 10% 가까이 줄었다. 행정안전부와 방송통신위원회가 이 예산 가운데 1000억원 이상을 쓰는 점을 감안하면 나머지 부처들은 그야말로 ‘면피성’ 수준에 머물고 있다. 특히 일관성 없이 짝수 해에는 예산을 크게 늘렸다 홀수 해에는 다시 줄이는 ‘갈짓자’ 행보를 반복해 비판받고 있다. 2009년(7·7 대란)과 2011년(3·4 대란)에 사이버 대란이 발생하자 여론을 의식해 다음 해 예산을 크게 늘리지만 이듬해 별 문제가 없으면 곧바로 예산을 줄이는 행태가 반복되고 있다. 류지영 기자 superryu@seoul.co.kr

20일 해킹으로 전산망이 마비됐던 KBS와 MBC, YTN 등이 대부분 안정을 되찾았다. 내부 전산망이 복구되고 손상된 개별 PC를 수리 중이지만 일부 지역사들은 제작시스템이 정지하는 등 여전히 어려움을 겪고 있다. KBS와 MBC, YTN 등 방송 3사에 따르면 훼손된 전산망은 21일 대부분 복구됐다. 피해 방송사들은 밤샘 복구작업을 벌여 이날 오전 업무용 인터넷망을 정상화했다. KBS 관계자는 “오늘 오전 업무용 전산망과 보도, 편성, 광고 등 주요 서버에 대한 복구작업을 마쳤다”면서 “직원들이 배포된 백신을 이용해 개별 PC의 바이러스를 치료하는 중”이라고 말했다. MBC의 경우 밤새 사내 전산망의 복구를 마쳤다. YTN 역시 인터넷망을 복구하고, 손상된 제작 장비의 하드디스크 복구 작업을 벌이고 있다. 하지만 해킹의 범위가 워낙 광범위해 피해를 입은 PC의 복구에는 시간이 걸리고 있다. KBS는 5000대, MBC는 800대, YTN은 500대의 PC가 각각 피해를 본 것으로 알려졌다. 한편 이런 가운데 지방 MBC 등은 일부 시스템이 정지돼 골치를 썩이고 있다. 춘천MBC 등 기타 지역은 본사와 달리 자체 서버를 사용해 전날 전산망 장애에서 큰 피해를 입지 않아 기사 작성이나 인터넷 접속에 문제는 없었다. 하지만 통합정보시스템이나 인트라넷 등 본사와 연결된 시스템은 현재까지 접속이 불안한 상황이다. 전주 MBC의 한 관계자는 “본사에서 복구 과정 중에 2차 피해를 우려해 서버를 차단해 일시적으로 제작 시스템 사용이 중단되고 있다”고 말했다. 다행히 이들 방송사들이 제작이나 방송 송출 관련 시스템은 별도의 폐쇄망을 이용해 아직까지 방송사고는 발생하지 않았다. 이런 가운데 공영방송사의 보안시스템을 우려하는 목소리도 나오고 있다. 재난방송 주관방송사인 KBS는 정보보호 대응지침에 따라 조치했다고 밝혔지만 내부 전산망 마비로 지침이 제때 공유되지 못했고, 대응지침의 존재조차 모르는 직원들도 있었다. 오상도 기자 sdoh@seoul.co.kr

엊그제 방송사와 금융기관을 공격한 사이버테러 사태는 정보화 시대에 우리의 낮은 보안 수준을 고스란히 드러냈다. 정부는 그동안 인터넷 보안환경 변화에 따른 종합 대책을 내놓지 못했고, 기업체도 보안분야 투자에 인색했다. 국민의 보안의식도 지극히 낮았다. 사이버테러 사고 뒤처리만 하는 작금의 현실에서 벗어나 근본적 처방을 찾아 시급히 실행에 옮겨야 할 때다. 정부는 지난 2003년 ‘인터넷대란’을 겪은 뒤 보안 인프라 구축 작업에 나섰다. 하지만 관련 법 제정 등 사이버테러 대책 마련은 지금까지 차일피일 미뤄져 왔다. 사이버테러기본법 제정과 청와대 직속 사이버안보보좌관 신설 문제가 대표적 사례들이다. 이는 민간과 공공, 국방부문으로 나눠진 지금의 사이버 위기 관리가 일사불란해야 한다는 차원에서 다시 공론화돼야 할 것이다. 최근 해커들은 사전에 짠 시나리오에 따라 특정 기관을 ‘타깃 공격’한다는 점에 비춰 볼 때 더 늦출 이유가 없다. 정보보호 예산의 확충은 근본적 문제이다. 정보화부문 예산 가운데 정보보호 예산 비율은 5%대로, 선진국들의 9~10%에 비해 턱없이 낮다. 예산이 확보돼야 보안 인프라를 확충하고 이른바 화이트 해커(착한 해커) 등 보안 전문가를 많이 양성할 수 있다. 컴퓨터 전공자가 기업 등에서 홈페이지만 관리하는 등 소프트웨어 인력이 홀대받는 것도 문제다. 이들의 처우도 개선돼야 한다. 차제에 사이버테러 가능성이 큰 주요 언론사나 금융기관을 사이버테러 1차 우려기관으로 지정하는 등 보다 강화된 법적·제도적 방안도 강구해 볼 만하다. 기업과 국민의 대응의식도 함양해야 한다. 백신프로그램을 수시로 까는 의식을 갖게 하는 것은 물론 범국가적 해킹방어대회도 자주 열어 사이버테러에 대한 관심을 고취해야 한다. 정보보호가 취약한 정보기술(IT) 강국은 사상누각일 뿐이다. 미국과 중국은 이미 사이버전쟁에 돌입하는 등 세계 각국의 사이버전은 시작됐다. 임진왜란 때 율곡 이이가 주장했던 ‘10만 양병설’이 새삼 가슴에 와 닿는것도 이 때문이다. 2007년 디도스 공격으로 1주일간 국가운영이 완전 마비됐던 에스토니아 사례의 전철을 밟지 않아야 한다.

청와대와 정부는 20일 일부 방송사와 금융사의 전산망 마비 사태와 관련, 원인 파악과 함께 긴급 대응에 나섰다. 김장수 국가안보실장 내정자가 청와대 국가위기관리상황실을 가동해 국방부와 국정원, 경찰 등 유관 부서로부터 피해 상황과 원인 등에 대해 종합적으로 보고를 받고 있다. 박근혜 대통령도 김 내정자로부터 관련 상황을 실시간으로 보고받고 대응을 지시한 것으로 전해졌다. 김행 청와대 대변인은 브리핑에서 “현재 김 내정자가 위기관리센터를 중심으로 관련 비서관과 함께 상황을 파악 중”이라며 “상황이 파악되는 대로 소상히 국민들에게 알리겠다”고 말했다. 김 대변인은 “현재 민·관·군이 포함된 범정부 차원에서 사이버 위협 합동대응팀을 가동해 실시간으로 대처하고 있다”고 전하면서 이번 사태의 원인이 북한의 사이버 테러일 가능성에 대해서는 “아직 (단정할 수) 없다”고 말했다. 그러나 청와대는 북한발 사이버 테러 가능성 등을 포함, 다양한 시나리오를 염두에 두고 상황을 면밀히 파악 중인 것으로 전해졌다. 국방부는 이날 전산망 마비사태와 관련, 오후 3시 10분부터 정보작전 방호태세인 인포콘(INFOCON)을 3단계(향상된 준비태세)로 한 단계 격상했다. 김민석 대변인은 “현재 군 전산망은 이상이 없고 (군 전산망 해킹을 위한) 외부 공격 시도는 없었다”면서 “우리 군은 이번 민간 전산망 마비와 관련한 원인을 확인하기 위해 관계기관과 적극 협조할 것”이라고 말했다. 정부 행정기관과 지방자치단체의 통신망에서는 현재까지 이상이 발견되지 않았다. 행정안전부는 정부통합전산센터를 통해 정부 기관의 이상 여부를 파악하는 한편 관련 부처와 원인을 파악하고 정보보호 대책을 강구하는 등 비상근무 체제에 들어갔다. 소방방재청 등 재난안전 대책 기관들도 외부 일정을 취소하고 상황을 주시하고 있다. 오일만 기자 oilman@seoul.co.kr 안석 기자 ccto@seoul.co.kr 하종훈 기자 artg@seoul.co.kr