사상 최대 규모의 해킹 사건이 밝혀졌다. 해킹 피해자 명단에는 한국 미국 캐나다 등 각국 정부기관과 유엔 국제올림픽위원회(IOC) 등 국제기구 등도 올라가 있는 것으로 전해졌다. 전체 피해 기관 및 기업은 모두 72곳에 달한다. 한국에선 기업 2곳과 정부기관이 피해를 본 것으로 전해졌다.

3일 로이터통신에 따르면 정보보안업체인 맥아피는 이날 보고서를 통해 "인도 대만 베트남 등 정부기관과 동남아시아국가연합(ASEAN) 등 국제기구,방위산업체와 하이테크 기업 등 72곳이 2006년부터 해킹을 당해온 것으로 밝혀졌다"고 발표했다. 맥아피는 "배후에는 한 국가가 있었던 것으로 보인다"고 밝혔지만 국가 이름을 명시하지 않았다. 사이버전문가들은 중국을 지목하고 있다.

◆한 국가가 5년간 전방위적 해킹

맥아피는 이번 해킹사건이 규모와 기간,대상자 범위면에서 여파가 심각할 것으로 전망했다. 드미트리 알페로비치 맥아피 부사장은 "그들의 대담한 수법과 정부나 국제기구를 가리지 않는 광범위한 공격에 우리도 놀랄 지경"이라고 말했다. 국가별로는 미국이 49건으로 제일 많았다. 한국은 3건으로 정부기관,건설업체,철강업체가 피해를 입었다. 한국 정부기관은 27개월,건설업체는 17개월,철강업체는 11개월 동안이나 해킹당했다고 맥아피는 밝혔다.

영국 텔레그래프는 미국과 영국의 방위산업체 13곳과 건설 철강 에너지 태양열 위성통신 미디어 등이 해킹 피해를 봤다고 전했다. 알페로비치 부사장은 "모든 산업군에서 중요한 위치에 있거나 지식재산권 및 무역 기밀을 소유하고 있는 모든 회사들은 침입을 당한 적이 있거나 이른 시일 내에 해킹을 당할 수 있다고 확신한다"고 강조했다.

맥아피는 일부 해킹 대상자들이 직접적 피해를 볼 수 있다는 분석도 내놨다. 맥아피는 "일부 회사와 정부 기관은 거의 매일 해킹을 당했다"며 "국가 기밀이 경쟁자들에게 넘어갔다"고 분석했다.

장기간 해킹 피해를 본 국제기구도 있었다. 해커들은 2008년 유엔제네바 지국의 컴퓨터 시스템에 침입해 약 2년간 잠입하며 데이터를 수집했다. 또 아시아 한 국가의 올림픽 위원회는 무려 28개월간 해킹당하기도 한 것으로 알려졌다. 알페로비치 부사장은 "해킹당한 정보가 어떤것인지는 아직 밝혀지지 않고 있다"고 말했다.

◆조사의 계기는 방위산업체 서버 해킹

맥아피는 지난 3월 한 방위 산업체의 해킹사건(2009년)을 재조사하던 중 또 다른 해킹 흔적을 발견했다. 맥아피는 해킹이 한 기업만을 대상으로 한 것이 아니라고 판단하고 본격적인 조사에 들어갔다. 이 조사에는'수상한 RAT 작전'이라는 이름을 붙였다. RAT는 '원격접속도구(remote access tool)'의 약자다. 조사과정에서 맥아피는 해킹 당시 지휘통제 역할을 했던 서버에 접근한 뒤 2006년부터 광범위하게 해킹이 이뤄졌다는 것을 밝혀냈다.

해킹 배후로는 중국이 지목받고 있다. 각종 정보들이 넘어간 시기와 정보가 중국과 연관성이 높기 때문이다. 짐 루이스 국제전략연구소(CSIS) 연구원은 IOC와 일부 국가의 올림픽 위원회 사이트가 중국이 2008년 베이징올림픽을 준비할 때 해킹을 당했다는 점과 피해 국가인 대만이 중국과 정치적 반목관계에 있다는 점 등을 들어 중국을 배후로 지목했다. 사이버 전문가 비제이 머키는 "중국이 점차적으로 사이버 세상을 잠식하고 있다"며 "러시아도 가능성이 있지만 중국일 가능성이 더 높다"고 말했다.

강유현/정성택 기자 yhkang@hankyung.com