20일 주요 방송사와 일부 금융기관의 전산망이 마비된 사태가 해킹에 의한 악성코드 유포에 따른 것으로 확인된 가운데 공격 주체와 유포 경로를 두고 여러 가능성이 제기되고 있다.

방송통신위원회는 이날 오후 '해킹에 의해 악성코드가 유포됐다'고 확인한 후, 해킹 주체와 그 경로를 파악 중이다. 일부에서는 해킹 주체로 북한을 거론하고 있다. 북한의 3차 핵실험 이후 남북 간 긴장 상태가 지속되고 있고, 지난 11일 '키 리졸브' 한미합동군사훈련이 시작된 후 북한의 추가 도발 가능성이 지속적으로 거론됐기 때문이다.

해킹 주체 두고 공방... "북한, '특별행동' 예고" - "국외 해킹집단 공격"

김종대 <디펜스21 플러스> 편집장은 20일 전화통화에서 "북한은 지난해 4월 한국의 주요언론사에 대한 '특별행동'을 예고했었는데, 이번에 전산망이 마비된 언론사들도 당시 예고 대상에 들어있었다"며 "북한이 예고했던 특별행동이 남북 경색국면과 맞물려 사이버 공격으로 실행됐다고 본다"고 말했다.

북한은 지난해 4월 23일 대남 특별행동을 예고하며 <동아일보>·KBS·MBC·YTN 등 4개 매체 이름을 직접 거명했다. 같은 해 6월 <중앙일보> 신문제작 서버가 북한의 공격을 받았다.

김 편집장은 "북한은 이전부터 사이버전을 오랫동안 준비해왔고 김정은 북한 국방위원회 제1위원장도 이를 특별히 강조한 바 있다"며 "현재 북한의 해킹공격 능력은 굉장히 위협적인 수준으로 파악된다"고 덧붙였다. 

반면 북측의 소행으로 보기에는 아직 이르다는 시각도 있다. 한 북한 인터넷 전문가는 "북한이 이 정도의 해킹을 벌일 능력이 있는 것은 맞다"면서도 "다만 북한 소행이라고 의심하려면 확실한 근거가 있어야 하는데, 근거가 불확실한 상태에서 추정하는 것은 위험하다"고 우려했다.

국외 해킹집단의 과시성 공격 때문이라는 주장도 제기됐다. LG유플러스 그룹웨어(그룹 작업을 지원하기 위한 컴퓨터 시스템) 이용 회사의 직원이라는 한 트위터 이용자는 "현재 유플러스망에 접속하면 이러한 화면이 뜬다"며 컴퓨터 화면 갈무리 사진을 트위터상에 올렸다. 이 사진 안에는 해골 그림과 함께 "후이즈팀(Whois team)이 이번 전산망 마비사태의 장본인"이라는 메시지가 담겨 있다.

사고가 발생한 KBS와 신한은행은 KT·LG유플러스망을, 농협은 SK브로드밴드와 LG유플러스·KT망을, YTN은 LG유플러스·SK브로드밴드망을, MBC는 KT·LG유플러스 망을 사용하고 있다. 즉, 후이즈팀이 LG유플러스 그룹웨어를 해킹했고, 악성코드가 LG유플러스 그룹웨어를 사용하는 언론사와 금융기관으로 유포됐다는 것이다.

"악성코드, LG유플러스망 타고 퍼져"... "피해기관에 악성코드 심어져 있었다"

김인성 IT칼럼리스트는 "후이즈팀라는 해킹집단이 LG유플러스 그룹웨어를 해킹해 악성코드를 심었고, 그 악성코드가 방송사와 금융기관 전산망 프로그램을 통해 유포됐다"고 주장했다.

이에 LG유플러스는 그룹웨어 해킹 사실을 시인하면서도 이번 전산망 마비사태와는 무관하다는 입장을 내놨다. LG유플러스는 "중소기업을 대상으로 하는 자사 일부 그룹웨어가 해킹된 사실이 발견돼 바로 차단했다"면서도 "방송사 및 금융권에 대한 해킹과는 전혀 상관이 없다"고 강조했다.

정태명 성균관대학교 교수도 "LG유플러스망을 타고 악성코드가 유포된 것은 아니다"고 전제한 뒤 "만약 통신업체 망을 타고 유포됐으면 더 많은 곳에서 마비현상이 발생했어야 한다"고 설명했다. 정 교수는 "공격 주체가 며칠 전에 해당 방송사와 금융기관에 악성코드를 심어놓은 것으로 추측된다"고 덧붙였다.

이날 오후 7시 30분 현재 정부는 악성코드가 주요 언론사와 일부 금융기관의 PC 부팅영역(MBR)을 파괴한 것으로 추정된다고 밝혔지만, 악성코드가 유포 주체와 지점 등은 확인하지 않은 상태다.