[3·20 해킹]후이즈=북한?…그래도 풀리지 않는 궁금증

[아시아경제 조유진 기자]지난달 20일 발생한 방송·금융사에 대한 해킹 공격이 북한 정찰총국의 소행인 것으로 추정된다는 정부의 공식 발표가 있었지만 몇 가지 궁금증은 남아 있다.

미래창조과학부와 한국인터넷진흥원은 10일 과천정부청사에서 3ㆍ20 사이버테러 중간 조사결과를 발표하고 "3. 20 사이버 공격 사건은 북한의 소행이 유력한 것으로 보인다"고 밝혔다. 당국은 "최소 2012년 6월부터 공격 준비한 것으로 보인다"면서 "적어도 8개월 전부터 치밀하게 준비된 APT공격"이라고 설명했다.

우선 정부가 대북 리스크가 한참 고조된 시기에 발표를 했다는 점이 주목된다. 한미연합사령부는 이날 북한 미사일발사 도발에 대비해 대북정보 감시태세인 워치콘을 3단계에서 2단계로 한 단계 상향조정했다. 워치콘 격상은 정보 감시와 요원 수 증강 등 대북 감시 수위를 높이겠다는 의미다. 한반도 상황이 일촉즉발의 위기로 치달으면서 국제사회의 우려도 깊어지고 있는 가운데 나온 정부의 공식 발표는 그 파장이 적지 않을 것으로 보인다.

보안관계자는 "대북 리스크가 고조되며 방향성이 안 보이는 시점에 정부가 해킹 주범을 북한 소행으로 잠정 결론짓고 이를 공론화해 혼란이 예상된다"고 말했다. 이 관계자는 "이는 정부가 북한 리스크의 영향력이 제한적일 것이라 본 데 따른 판단"이라고 풀이했다.

정부는 범행을 자처하고 나섰던 후이즈 그룹과 3. 20 대란과의 연관성도 없다고 일축했지만 해킹 주체를 놓고도 추측이 난무한 상황이다. 정부 관계자는 "후이즈 관련된 부분은 직접적으로 확인된 바 없다"며 후이즈가 범행 주체라는 데 대해 사실관계 확인이 어렵다고 밝혔다.

당초 전산망 마비 사태와 일부 기업에서 나타난 '후이즈' 공격이 동일범의 소행일 가능성이 제기됐다. 합동대응팀에 참여해 온 보안전문기업 잉카인터넷은 6개 주요기관에서 수집한 표본 악성파일을 분석한 결과 '후이즈 팀이 해킹했다'(Hacked by Whois Team)는 글귀와 같은 이메일 주소가 내용에 포함된 것으로 조사됐다고 밝히며 둘 사이 연관 가능성을 제기했다.

20일 주요 방송·금융사 대상으로 한 사이버테러가 발생한 지 6일 만에 지자체 국가통신망과 YTN 전계열사 홈페이지가 마비됐다. 이는 3. 20 대란에 대한 2차 공격이 시작된 것이라는 관측이 제기되기도 했지만 양쪽 모두 우연히 시스템 장애가 겹치면서 발생한 헤프닝이라는 의견이 지배적이다.

한편 정부는 오는 11일 국정원장 주재로 미래부ㆍ금융위ㆍ국가안보실 등 15개 정부기관 참석하에 '국가사이버안전전략회의'를 열고 사이버안전 강화 대책을 논의할 예정이다.

조유진 기자 tint@