큰사진보기
▲ 농협, '원인불명 전산장애' KBS, MBC, YTN 등 주요 방송사와 신한은행, 농협 등 내부 정보전산망이 완전 마비된 20일 오후 서울 여의도 국회 내 내 NH농협은행 국회지점에서 원인불명의 전산장애로 인해 창구 업무 및 자동화기기(ATM)업무 이용이 불가능하다고 알리는 내용의 종이가 붙어있다.
ⓒ 유성호	관련사진보기

"사이버 테러는 북한 소행"이라는 선입견이 또 다시 대형 오보를 낳고 말았다. 농협 전산망 해킹에 활용된 '중국 IP'가 농협 사내에서 쓰던 사설 IP라는 사실이 22일 뒤늦게 밝혀진 것이다.

여전히 해외 IP 경유 가능성을 배제할 순 없지만 일단 이를 북한 소행의 유력한 근거로 내세웠던 국내 주요 언론들은 대형 오보를 내고 말았다. 하지만 실제 '중국 IP'를 찾아낸다 해도 어디까지나 정황 증거일 뿐 객관적 증거가 될 수는 없다. 국내에 침투하는 해커들이 대부분 중국, 러시아 등 해외 IP를 경유하고 있기 때문이다.    

지난 20일 오후 2시 KBS, MBC, YTN, 신한은행, 농협 등 주요 방송사와 금융사 전산망 마비 사태가 발생하자마자 국내외 언론은 물론 전문가들도 북한 소행 가능성에 무게를 실었다. 지난 주 북한 내 주요 사이트가 해킹 당한 데 대한 보복이라는 주장부터 최근 키 리졸브 한미합동군사연습에 대한 견제설, 지난해 4월 북한이 사이버 테러를 경고했던 언론사들이었다는 점까지 북한 소행임을 뒷받침하는 정황은 한두 가지가 아니었다.

하지만 아직까지 '북한 소행설'을 뒷받침하는 객관적인 근거는 발견되지 않았다. 민관군 사이버테러 합동대응팀을 꾸린 경찰청, 국정원, 방통위 관계자들은 물론 민간기업 보안 전문가들조차 유독 북한 소행설에 대해선 말을 아끼고 있다. 과거 2011년 3.4 디도스 대란이나 농협 전산망 해킹, 지난해 중앙일보 사이트 해킹 사건 직후 상황과 크게 다르지 않다.
  
"악성코드-해킹수법 유사성만으로 북한 소행 단정 못해"

일부 언론은 보안업체와 전문가 말을 인용해 '북한 소행'을 단정하는 보도를 계속 내보내고 있다.

<중앙일보>는 21일 이름을 밝히지 않은 보안 전문가 말을 인용해 "이번에 발견된 악성코드 역시 지난 2006년 이후 북한 해커들의 즐겨 사용하던 방식으로 제작됐"고 "공격 개발코드 제작 시 사전 제작되는 코드 로딩 방식 역시 이전 사례들과 동일하다"며 북한 소행설에 무게를 실었다. 

하지만 미국계 보안솔루션업체인 포티넷코리아 이상준 부사장은 "악성코드 제작 기술은 스스로 만드는 게 아니라 다른 해커가 만든 툴을 서로 활용한다"면서 "악성코드 유사성을 따지려면 북한 것뿐 아니라 다른 사례들과의 유사성도 함께 조사해야 한다"고 밝혔다.

전산망 마비 직후 피해 업체에 보안 전문가를 파견해 악성코드를 분석했던 보안솔루션업체 (주)NSHC 긴급대응(레드얼럿)팀 역시 20일 1차 보고서에서 "사고 원인으로 대한민국 주요 기반 시설 전산망을 상대로 한 북한의 '사이버 테러'일 가능성에 비중을 두고 있다"고 밝혔지만 이 역시 단순 추정으로 드러났다.

봉용균 NSHC 긴급대응팀장은 "악성코드 샘플을 분석했지만 이전 북한에서 나온 악성코드와 직접 비교해 보지는 않았다"라면서 "보고서에 언급한 북한 연관성도 단순 추정일 뿐"이라고 밝혔다.

봉 팀장은 "우리 주목적은 시스템 복구와 악성코드 접근 차단이지 악성코드 유포 경로를 찾는 건 관심사가 아니다"라면서 "추가 보고서에선 직접 확인하지 않은 내용들은 뺄 예정"이라고 밝혔다.

'북한발' 중앙일보 해킹과 유사? '후이즈 해킹' 연관성부터 밝혀야  

큰사진보기
▲  3월 20일 언론-금융사 전산망 마비 당시 LG유플러스 그룹웨어를 해킹한 '후이즈 해킹그룹'이 올린 해골 그림 디페이스(위). 지난해 6월 중앙일보 뉴스 사이트를 해킹한 '이즈원'의 고양이 그림 디페이스(가운데). 지난달 23일 해킹 당한 카페베네 홈페이지 디페이스.
ⓒ 김시연	관련사진보기

경찰청에서 지난 1월 북한 소행이라고 발표한 <중앙일보> 사이트 해킹과 연관성도 주목받고 있다. 보안솔루션업체인 잉카인터넷은 20일 LG유플러스 그룹웨어를 해킹한 '후이즈 해킹그룹'의 해골 그림 '디페이스(해커가 공격 대상 홈페이지 화면을 바꿔 자신들의 메시지를 남기는 것)' 현상과 지난해 6월 중앙일보 해킹 당시 남긴 고양이 사진 디페이스 형식이 유사하다고 밝혔다. "hecked by Whois Team"이란 문구가 사용됐듯 당시엔 "Hacked by IsOne"이란 문구가 삽입돼 있었다.

경찰청 사이버테러대응센터는 지난 1월 중앙일보 해킹 경유지로 사용된 해외 서버 17대 가운데 한 대가 2011년 3.4 디도스 공격과 농협 해킹에도 사용됐고, '이즈원(IsOne)'이라는 이름의 PC가 북한 체신성 산하 조선체신회사(KTPC)가 중국에서 임대한 IP 주소로 접속한 사실을 들어 북한을 해킹 진원지로 지목했다.

하지만 후이즈 해킹그룹과 이번 전산망 마비 사태의 연관성은 아직 명확히 밝혀지지 않았다. 잉카인터넷은 디페이스 화면에 사용된 코드를 보유한 악성파일을 이번 전산망 해킹에 사용된 악성코드에서도 확인했다며 "실제 디페이스를 한 공격자가 이번 공격에 가담했을 가능성을 염두에 두고 분석을 진행 중"이라고 밝혔지만 22일 현재 이를 뒷받침하는 분석 결과는 나오지 않고 있다. 

국내외 180여 만개 웹사이트를 통한 악성코드 유포 실태를 실시간 분석하고 있는 빛스캔은 1주일 전인 지난 15일 사이버 테러 가능성을 미리 경고해 화제가 되기도 했다. 빛스캔은 흔히 주말에 이뤄지는 악성코드 대량 감염 공격이 평일인 지난 11일부터 15일 사이 계속 발생했고 최근 1년 사이 공격 시도가 없었던 안보 관련 매체와 모임에서 이뤄진 점에 주목했다. 하지만 이 역시 정황 증거일 뿐 북한 소행설을 뒷받침하는 건 아니다.

2008년 이후 지난 5년간 국가 공공기관 대상 사이버테러는 7만3030건에 이르지만 이 가운데 국가정보원에서 북한 소행으로 추정하는 건 단 6건에 불과하다. 2009년에 발생한 국립환경과학원과 한미연합사령부 해킹, 7.7디도스 대란, 2011년 3.4 디도스 대란에 이은 4월 농협 전산망 해킹, 지난해 6월 중앙일보 사이트 해킹 등이다. 그만큼 북한 소행을 입증하기가 쉽지 않다는 얘기다.

임채호 KAIST 정보보호대학원 초빙교수는 "중국 내 북한 IP는 그동안 히스토리와 정황적 증거이지 북한 소행이다 아니다 얘기할 내용은 아니다"라면서 "미국이 중국발 해킹에 대해 명확한 증거를 제시할 수 있는 것 같은 체계가 필요한데 정부가 산하기관만 이용하면 국민들이 오해할 수 있다"고 지적했다. 임 교수는 청와대 사이버안보보좌관 신설을 비롯한 정부 차원의 사이버 보안 대응체계 마련을 주문했다. 

아울러 임 교수는 국내 기업들이 국산 백신 한두 가지에만 '올인'하는 행태도 꼬집었다. 임 교수는 "오로지 하나의 안티바이러스 제품을 이용하니 치료율이 하위 수준이고 중국, 북한은 국내 백신에만 탐지 안 되면 (악성코드를) 국내에 유입한다"면서 "백신은 국산뿐만 아니라 외산도 함께 이용해야 한다"고 당부했다. 

이번 공격은 보안 시스템에 있는 신규 취약점을 이용해 오랜 기간에 걸쳐 많은 사용자 PC에 악성코드를 설치하는 '지능형 지속 가능 위협(APT)' 공격에 해당한다. 더구나 이번 사건에서 안랩과 하우리 등 국내 보안솔루션업체에서 제공한 자산관리서버(업데이트 관리 서버)를 경유한 것으로 나타나자, 외국계 보안솔루션업체들은 이를 비웃기라도 하듯 자사 제품을 이용했으면 이번 사태를 미리 차단할 수 있었다는 보도자료를 배포하고 있다. 미국계 맥아피, 파이어아이, 포티넷 등이 대표적이다.

새로운 악성코드가 하루 6만 개씩 등장하는 상황에서 그 어떤 시스템도 사이버 테러를 100% 막는다고 장담할 순 없다. 그나마 지금 불확실한 '북한 소행설' 규명보다 더 확실한 예방책은 정부와 기업 차원의 철저한 사고 원인 규명과 책임 소재 확인, 다각도 대응 장치 마련일 것이다.