[뻥 뚫린 사이버안보] 北 정찰총국 8개월 준비…보안솔루션으로 침투 '네트워크 파괴'

'3·20 해킹' 北 소행으로 밝혀져

對南 공격에 썼던 악성코드 재활용
청와대·국방부도 뚫릴 수 있어

전길수 한국인터넷진흥원(KISA) 침해사고대응단장이 10일 정부과천청사 미래창조과학부 브리핑룸에서 ‘3·20 사이버테러’ 중간 조사 결과를 발표하고 있다. /강은구 기자 egkang@hankyung.com

지난달 20일 KBS MBC 등 방송·금융사 6곳의 전산망을 마비시킨 ‘3·20 사이버 테러’는 북한 정찰총국 소행인 것으로 드러났다.

민·관·군 합동대응팀은 10일 정부과천청사에서 기자회견을 열고 “피해 업체의 감염 장비와 공격 경유지 등에서 수집한 악성코드 76종, 국가정보원과 군이 축적한 북한의 대남 해킹 조사 결과를 종합 분석해 북한 소행으로 결론내렸다”고 발표했다. 조사 결과 공격자는 최소 8개월 전부터 목표 기관 내부의 PC나 서버를 장악해 자료를 절취하고, 전산망의 취약점을 파악해왔다.

합동대응팀은 지난달 25일 ‘날씨닷컴’ 사이트를 통한 무차별 악성코드 유포, 26일 14개 대북·보수단체 홈페이지 자료 삭제와 YTN 계열사 홈페이지 자료서버 파괴 등 연쇄적인 사이버 테러도 북한 소행으로 결론지었다.

합동대응팀이 이번 사이버 공격을 북한 소행으로 추정한 근거는 세 가지다. 북한 내부 PC에서 공격 경유지 서버에 접속했다는 점, 공격 경유지 49개 중 22개가 과거에 북한 해커들이 사용했던 경유지라는 점, 전에 사용했던 악성코드가 다시 사용됐다는 점 등이다.

○국산 보안 솔루션 해킹에 악용

이번 사이버 공격에는 국산 보안 솔루션이 악성코드 유포 통로로 사용됐다. 전길수 한국인터넷진흥원 침해대응단장은 이날 회견에서 “소프트포럼의 보안 솔루션 ‘제큐어웹’의 취약점이 공격 통로로 사용됐느냐”는 질문에 “6개 방송사 금융사 해킹과는 관계가 없지만 3월25일 날씨닷컴 사이트를 통해 전 국민을 대상으로 악성코드를 유포한 건과는 관계가 있다”고 밝혔다.

KBS에 대한 공격에서는 보안 패치 등 각종 소프트웨어 업데이트를 담당하는 중앙배포 서버가 악성코드를 퍼뜨리는 숙주로 악용됐다.

이처럼 보안 솔루션이나 보안 서버가 해킹에 악용되고 보안업체가 관리하는 계정이 털린 것으로 밝혀지면서 보안업체에 대한 불신도 커졌다. 보안 전문가 김인성 씨는 “제큐어웹은 한국식 공인인증서를 처리하기 위해 사용되는 보안 솔루션”이라며 “제큐어웹이 해킹당한다면 보안을 위해 내려받는 프로그램이 해킹 프로그램이더라도 사용자로서는 확인할 방법이 없다”고 지적했다.

○북한 해커들 해킹 실력은 ‘예술’

해외에서 활동 중인 해커 A씨는 “북한 해커들은 악성코드를 직접 개발해서 공격하기 때문에 백신에 잡히지 않는 경우가 많다”며 “이들이 뚫은 곳을 들어가 보면 그야말로 예술”이라고 말했다. “흔적을 지운 것은 물론 생각지도 못한 방법으로 해킹을 해 감탄할 때가 많다”는 것이다.

북한 해커들의 신출귀몰한 해킹 능력과는 대조적으로 한국의 사이버 보안은 ‘사립문에 작대기 걸쳐 놓은 수준’이라고 전문가들은 지적한다. A씨는 “암시장에서 거래되는 컴퓨터 운영체제(OS)별 공격 매뉴얼에 거론된 사례는 대부분 한국 사이트”라고 전했다.

보안업체 에스이웍스의 홍민표 대표는 “국내 보안시스템은 알려지지 않은 해킹에 제대로 대응하지 못한다”며 “보안의식은 거의 제로”라고 지적했다.

지난달 벌어진 일련의 사이버 공격을 ‘사이버 전쟁’으로 볼 수도 있다. 현재 사이버 공간에서는 국경 없는 사이버 전쟁이 끊임없이 벌어지고 있다. 최근엔 어나니머스 해커들이 팔레스타인 공습에 항의해 이스라엘 정부 인터넷 사이트 등을 대대적으로 공격했다.

해커 A씨는 “발표되고 알려진 해킹 사고는 빙산의 일각”이라며 “미국의 백악관 펜타곤도 뚫리는데 청와대와 국방부라고 안전하겠느냐”고 반문했다. 정부는 11일 국정원장이 주재하는 ‘국가사이버안전전략회의’를 열어 사이버 안전 강화 대책을 논의할 예정이다.

김광현 IT전문기자/양준영 기자 khkim@hankyung.com