[3·20해킹] 北 8개월 공격에 인터넷 강국 '속수무책'(종합)

[아시아경제 김영식 기자]지난달 20일과 25~26일 일어난 주요 방송사와 금융사에 대한 사이버테러 사건은 결국 북한의 소행이었던 것으로 드러났다. 북한은 2012년 6월부터 8개월에 걸친 치밀한 준비과정 끝에 동시다발적 ‘해킹폭탄’을 터뜨렸다. 전문가들은 사이버공격을 100% 방어하는 것은 불가능하다고 지적하고 있지만 속수무책으로 뚫린 우리 정부의 사이버안보 태세에 대한 비판은 피할 수 없을 것으로 보인다.

미래창조과학부와 한국인터넷진흥원은 10일 과천정부청사에서 3·20 사이버테러에 대한 민·관·군 합동대응팀의 중간 조사결과를 발표하고 "지난달 발생한 연쇄적 사이버테러는 과거 수 차례 대남 해킹을 시도한 북한의 수법과 일치한다“고 밝혔다. 당국은 ”최소 2012년 6월부터 공격을 준비한 것으로 보이며, 8개월 전부터 치밀하게 준비된 공격"이라고 설명했다.◆ 전산장비 약 5만대 파괴.. 사회혼란 조성 목적 = 지난달 20일 오후 방송사 KBS·MBC·YTN과 신한은행·농협의 전산망이 일제히 마비되고 컴퓨터의 시스템 영역이 파괴되는 등 동시다발적 해킹이 발생했다. 정부는 추가 공격에 대비해 국정원, 경찰청, 한국인터넷진흥원의 조사 모니터링 인력을 평시의 3배 이상으로 확대하는 한편 총 1781개 주요 홈페이지를 대상으로 악성코드 여부를 점검했다.

당국 집계에 따르면 이날 하루에만 4만8700여대의 전산장비가 파괴됐다. 대부분 파괴는 같은 시간대에 이뤄졌으며 PC 하드디스크 데이터를 ‘HASTATI’나 ‘PRINCPES’ 등 특정 문자열로 덮어쓰는 방식이었다. 과거 사례처럼 일시적인 전산마비가 아닌 파괴를 목표로 사회혼란 조성을 노린 것으로 분석된다.

25일과 26일에는 YTN 계열사 홈페이지가 일제히 마비됐고 14개 대북단체·보수단체의 홈페이지 역시 일부 자료가 삭제됐으며, ‘날씨닷컴’ 사이트를 통해 전 국민을 대상으로 악성코드를 유포하려 했던 것으로 조사됐다. 이 3건 역시 20일 쓰인 것과 동일한 악성코드와 공격 경유지가 사용됐다고 정부는 설명했다. ◆ 8개월 전부터 시작된 계획적 공격 = 과거 공격이 ‘디도스(DDoS, 분산서비스거부)’ 방식으로 이뤄졌다면 이번에는 악성코드를 은밀히 심은 뒤 컴퓨터의 시스템 영역을 파괴해 못 쓰게 만드는 ‘지능형지속위협(APT)’ 방식으로 이뤄졌다. 전문가들에 따르면 APT공격은 장기간에 걸쳐 목표 전산망의 보안취약점을 세밀히 검토해 파악한 뒤 침투 경로를 찾는다.

전길수 한국인터넷진흥원 침해사고대응단장은 “국내외를 통틀어 10여개 국을 경유했으며 악성코드 유포를 위해 웹서버, 관리자PC, 사내운영서버, 백신관련 소프트웨어 서버 등의 취약점을 모두 이용했다”고 분석했다.

당국이 파악한 바에 따르면 이 과정에서 북한 내부 PC 최소 6대가 1590회 접속해 악성코드를 유포하고 PC내부 저장 자료를 빼내는 등 장기간의 준비를 거쳤다. 공격 다음날인 21일에는 해당 공격 경유지를 파괴해 흔적을 제거하려 시도했다. 합동대응팀은 끈질긴 추적 끝에 올해 2월 22일 북한 내부 인터넷주소(175.45.178.XX)에서 악성코드에 감염된 PC의 원격조작 등 명령 하달을 위한 국내 경유지에 시험 목적으로 처음 접속한 사실을 확인했다.

◆ 북한 공격의 증거들 = 이외에 정부는 북한의 소행이라는 여러 증거를 찾았다. 공격경유지 49개중 22개가 과거 사용했던 경유지와 동일했다. 미래부는 “지금까지 파악된 국내외 공격경유지 49개(국내 25, 해외 24) 중 22개(국내 18, 해외 4)가 2009년 이후 북한이 대남해킹에 사용 확인된 인터넷주소와 일치했다”고 전했다.

또 악성코드 76종 중 30종 이상을 재활용했다. 그 동안 국정원과 군 당국은 북한의 과거 해킹관련 데이터를 축적해 왔다. 비교분석 결과 북한 해커만 고유하게 사용한 감염PC의 8자리 식별 번호, 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용한 경우가 18종에 달했다.

이같은 근거 아래 당국은 이번 사건이 2009년의 7.7 디도스 공격, 2011년의 3.4 디도스 공격과 농협 해킹사건, 2012년 중앙일보 전산망 파괴 등에서 파악된 수법과 일치한다고 설명했다.

◆ ‘사이버안보 콘트롤타워’ 이번엔 나오나 = 북한의 사이버테러 사실이 드러난 가운데 정부가 이번에야말로 실질적인 대책을 마련해야 한다는 목소리가 높다. 사이버 공격에 대한 범정부적 조직 수립의 필요성도 제기되고 있는 가운데 정부 차원의 방어체계와 의식 수준은 과거와 크게 달라진 바가 없다는 것이다.

현재 민간은 한국인터넷진흥원(KISA)가, 중앙행정기관은 안전행정부가, 군부는 국방부로 담당 영역이 나뉘어 있다. 민·관·군에 대한 동시다발적인 테러시 피해 확산이 우려된다는 이유다. 사이버안전관리 규정에 따르면 위기경보수준이 '주의'로 격상시 사이버 안전관리 규정에 따라 정부 합동팀이 설치된다. 총괄자인 국가정보원의 지휘 아래 민관군 3개 영역에서 각각 KISA, 안전부, 국방부 각각 돌아가는 구조다.

이에 대해 사건이 터진 뒤에야 컨트롤타워 조직이 만들어지는 식이라 정보 공유나 보고 등 물리적 대응에 한계가 있다는 점이 문제로 지적된다. 민관군 3개 영역에서 각자 위치에서 움직이는 구조라 상황이 발생했을 때 신속한 대응이 어렵다는 것이다.

특히 이번의 경우 새 정부 출범조차 막 이뤄진 상황에서 일사분란한 조율이 힘들었다. 관련 정책을 총괄할 수 있는 미래부도 지금까지 장관 부재 상태다. 상황을 총괄할 ‘컨트롤 타워’가 사실상 없는 상황에서 정부이 일부 미숙한 대응으로 혼란이 가중되기도 했다.

정부는 11일 국정원장 주재로 미래부·금융위·국가안보실 등 15개 정부기관 참석하에 '국가사이버안전전략회의'를 열고 사이버안전 강화 대책을 논의하기로 했다. 이 자리에서 국정원은 민간 기업의 해킹 위협을 없애기 위해 정부 차원에서 공격 정보를 미리 탐지하고 사이버 공격을 차단한다는 방안을 모색할 것으로 전해졌다.

김영식 기자 grad@