사상 초유의 농협 전산망 마비 사태가 ‘북한 소행’이라는 검찰수사결과가 발표됐다. 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 지난 5월 3일 이번 사태가 지난 7.7 분산서비스거부(DDoS)공격 및 지난 3.4 DDoS공격에 배후로 지목된 북한의 사이버테러라고 밝혔다.

검찰 “완전히 새로운 형태의 사이버 테러”
검찰은 지난 4월 12일 발생한 농협 전산망 마비사태가 북한의 사이버 공격에서 비롯된 것으로 결론 내렸다. 서울중앙지검 첨단범죄수사2부(부장검사 김영대)는 지난 5월 3일 농협 서버관리 협력업체인 한국IBM 직원 한모씨의 노트북에서 발견된 서버 운영체제 삭제명령 스크립트를 분석한 결과 이번 공격이 치밀하게 계획된 북한의 공격이라는 내용의 수사결과를 발표했다. 검찰에 따르면 공격명령의 발원지인 한씨의 노트북은 지난해 9월 4일 ‘좀비PC’가 돼 7개월 이상 북한의 특별 관리를 받아왔다. 해당 노트북은 S웹하드사이트에서 업데이트 프로그램으로 위장된 악성코드에 감염된 이후 각종 악성프로그램이 깔린 것으로 조사됐다. 그해 10월 22일에는 키보드로 PC에 입력하는 내용을 낚아채는 ‘키로깅(Keylogging) 프로그램’이, 올해 3월 11일에는 공격자가 컴퓨터에 몰래 침입할 수 있는 경로를 확보하는 ‘백도어(backdoor) 프로그램’이 설치됐다. 이 프로그램을 이용해 범인들은 노트북에 저장돼 있는 각종 자료와 입력 내용을 빼냈다. 이들은 도청 프로그램까지 사용해 노트북 사용자의 일거수일투족을 감시하며 공격대상 IP와 최고관리자 비밀번호를 알아낸 것으로 드러났다. 범인들은 3월22일 파일삭제 프로그램을 설치하고 전산망마비 사태 당일인 지난달 12일 오전 8시 20분 14초에 공격명령 파일을 설치하며 본격적인 공격태세에 들어간 것으로 파악됐다. 결국 이날 오후 4시50분10초 인터넷을 이용한 원격제어로 공격명령 프로그램이 실행되면서 587대의 서버 가운데 273대의 서버가 피해를 입은 농협 사태가 발생했다. 검찰 관계자는 “1회 공격명령을 내리면 공격에 사용된 각종 프로그램이 유기적으로 연결돼 순차 공격이 자동실행되는 구조로 설계됐다”며 “서버의 모든 데이터를 완전히 삭제해 0으로 만들어버리는 강력한 테러였다”고 설명했다. 이들은 노트북에 설치된 모니터링 프로그램을 통해 공격 성공 여부를 실시간으로 지켜본 뒤 오후 5시20분 공격 프로그램을 삭제해 범인 추적을 어렵게 하기도 한 것으로 전해졌다. 검찰 관계자는 “농협 사태는 과거 디도스 공격을 가한 집단과 같은 집단이 장기간 치밀하게 준비해 실행한 것으로 북한이 관여된 초유의 사이버테러”라고 규정했다. 하지만 검찰은 국가적 보안을 이유로 이번 사태의 진원지가 북한이라고 결론내린 구체적인 근거는 밝히지 않았다. 다만 검찰은 공격에 사용된 악성코드를 암호화하는 기법 등 공격에 사용된 81개 악성코드를 만든 제작기법이 2009년의 7.7디도스와 지난 3.4디도스 사건과 유사하다고 설명했다. 특히 웹하드사이트 프로그램을 업데이트하는 것처럼 위장해 악성코드를 유포하는 등 좀비PC를 만들기 위해 악성코드를 설치하는 방법이 과거 디도스 사건과 비슷하다는 점도 근거로 제시됐다. 검찰 관계자는 “이번 공격은 자본주의 사회의 기본인프라인 금융기관 시스템을 파괴하는 타깃형 집중공격으로 완전히 새로운 형태의 사이버 테러”라며 “관공서와 금융기관 등 주요 전산망 관리 PC를 전수조사해 대응방안을 마련할 계획”이라고 말했다.

▲ 서울중앙지방검찰청 첨단범죄수사제2부 김영대 부장검사가 5월 3일 서울 중앙지검 브리핑실에서 농협 전산망 장애사건 수사결과 발표를 하며 자료를 설명하고 있다

북한 소행이라 보기엔 석연찮은 점 많아
우선 농협 사태가 북한 소행이라는 근거로, 검찰은 삭제 명령의 진원지였던 한국IBM 직원 노트북과 서버를 역추적한 결과 그 중 하나가 북한발 인터넷프로토콜(IP)일 가능성을 제기했다. 하지만 익명을 요구한 한 보안전문가는 “서버경유와 IP주소 변조를 통해 얼마든지 북한발 IP주소를 사용했을 수 있다”면서 “방화벽에 흔적을 분석하면 확인되는 IP주소들의 대부분의 해킹시도들은 모두 서버경유 등을 통해 이뤄지기 때문에 다국적의 IP주소가 나타나며, 북한IP로 추정되는 것도 그 중 하나일 뿐”이라고 설명했다. 또 다른 전문가는 “대부분 금융권은 방화벽만 다중으로 보안을 유지하고 있다”면서 “만일 이것이 뚫렸다면 지능화된 해커소행인 것도 문제지만 농협 전산망에도 큰 결함이 있다는 것이 더 큰 문제가 아니냐”면서, “사실상 그 동안에 발생한 해킹시도들을 분석해봐도 서버경유를 통해 들어온 중국 체신청 IP는 종종 포착되어 오곤 했다”고 말했다. 금융권의 한 관계자는 “현재 금융권에서는 중국을 통한 해킹시도가 워낙 빈번하게 이뤄지고 있어서 모든 중국IP는 무조건 차단하고 있다”고 말했다. 검찰은 5월 3일 브리핑을 통해 이번 사건에 사용된 악성코드의 유포경로와 방식, 그리고 좀비PC를 조종하기 위해 이용된 서버 IP가 그 동안 있어왔던 두 차례 DDoS공격과 일치한다는 조사결과를 발표했다. 또한 IBM직원 노트북에서 발견된 악성코드가 쉽게 발견되지 않도록 암호화하는 방식 등 독특한 제작기법을 사용한 것을 증거로 들어 두 차례 DDoS사건과 유사하다고 밝혔다. 하지만 이에 대해 보안전문가들은 이해할 수 없는 근거라는 입장이다. 익명을 요구한 한 보안전문가는 “앞선 두 차례 공격 같은 경우에는 설치되면 별도 명령을 전달하지 않아도 지정된 시간에 자동으로 동작하도록 설계되어 있었다”며 “하지만 이번 농협의 경우 악성코드가 이용됐다면 공격에 사용된 PC를 인터렉티브하게 통제하는 형태의 공격이기 때문에 앞선 DDoS공격과는 성격이 다르다”고 말했다. 또 한 해킹전문가는 “과거 두 차례의 DDoS공격은 암호화되지 않았기 때문에 미리 다음 공격시간을 예상할 수 있었던 것”이라면서 “검찰이 주장하는 것처럼 농협공격에 사용된 악성코드가 암호화되어 쉽게 발견하지 못했었다라는 주장은 앞뒤가 맞지 않는 이야기”라고 말했다. 그는 “아무리 보안이 허술했다고 하더라도 IT전문가가 사용하던 노트북인데 그토록 오랜 시간 감염사실이나 해킹사실을 몰랐다는 것도 이해가 가지 않는다”고 말했다. 현재까지 검찰은 내부자가 연루된 정확한 증거나 정황을 포착하지 못했다는 입장이다. 하지만 관련업계는 아무리 백도어 해킹 프로그램이 설치되어 있었다하더라도 그 많은 서버의 ID와 패스워드를 알아내 삭제할 수 있었던 점과 루트권한을 탈취했다는 점은 석연치 않다고 말했다. 무엇보다 여러 명의 관리자 컴퓨터 중에 어떻게 그 컴퓨터에만 백도어 프로그램이 설치될 수 있었느냐는 것도 의문점으로 남았다. 한 보안전문가는 “장기간 백도어 프로그램을 통해 정보를 수집했다고 하더라도 농협내부에서 사용되는 모든 서버관리계정을 꿰뚫고 있다는 것은 협조하는 내부자 없이는 상식적으로 어려운 일”이라고 말했다. 익명을 요구한 또 다른 보안전문가도 “이토록 짧은 시간 안에 수백대의 서버를 동시 공격했다는 것은 IP주소나 루트계정 등 서버현황 파악이 확실하게 이뤄지지 않으면 아무리 지능화된 해커라도 기술적으로 불가능하다”면서 “현실적으로 내부협조 없이는 쉽지 않은 공격”이라고 말했다. 검찰 관계자는 “북한소행인 것도 여러 가지 정황증거에 비춰 내린 추정에 불과하다”며 “추정에 불과한 정황증거지만 추가적인 근거는 구체적으로 언급하기 곤란하다”고 밝혔다. 앞서 제기된 의문점은 관련업계 일부 전문가들의 주장이지만, 이들은 이번 검찰의 발표가 신뢰를 얻기 위해서는 좀 더 확실한 기술적 정황증거를 가지고 구체적인 근거를 제시해야 한다고 입을 모았다.

▲ 사상 초유의 농협 전산망 마비 사태가 ‘북한 소행’이라는 검찰수사결과에 보안 전문가들은 “현실적으로 내부협조 없이는 쉽지 않은 공격”이라고 말한다

누리꾼 “농협 전산 장애 사태에 명확한 판명 필요”
정부가 이번 농협 전산망 마비 사태의 원인이 북한의 사이버테러라고 지목한 데 대해 누리꾼들은 정부의 발표를 믿기 어렵다는 반응이다. 이번 사태에 주목했던 IT 및 금융 보안 전문가들조차 기술적 가능성은 있지만, 아직 해결해야 할 과제가 있다고 말한다. 자신이 ‘의사’라고 밝힌 한 누리꾼은 트위터를 통해 “마치 의사가 모르는 모든 병을 ‘감기’로 몰아가려는 것과 같은 대충주의와 실력부족의 극치”라며 “앞으로 미제 사건은 대충 수사하는 척하다 ‘북(北) 때문이야’만 꺼내면 만사 OK?”라며 당국의 행태를 꼬집었다. 또 다른 누리꾼은 트위터를 통해 “설마 했는데 역시 북한 소행으로 결론을 내다니, 오늘부터 진정한 IT강국은 북한이다”며 ‘IT 강국 코리아’를 무색케 하는 정부 발표에 섭섭함을 감추지 못했다. 변명을 일삼은 것처럼 비쳐 온 농협을 탓하는 지적도 적잖다. 한 네티즌은 포털 사이트 개인 블로그를 통해 “이토록 사이버범죄에 무방비될 때까지, 또 농협을 믿고 거래하는 고객들이 셀 수 없이 많은 피해를 볼 동안 IT예산을 줄이고 양치기 소년 뺨치는 말을 번복했던 농협에게 무엇을 했는지 묻고 싶다”고 토로했다. 한국은행에 재직하고 있다는 한 네티즌은 “x팔려서 IT하기 싫어진다”며 진실에 대한 의구심을 가진 채, 이번 전산망 마비 사태를 지켜봐야 하는 IT 관계자로서 부끄러운 소회를 전했다. 보안 및 금융 정보화 업계 전문가들의 경우, 같은 근원지임에도 불구하고 공격 방식이 크게 달랐던 점을 지적하며 명확한 판명이 필요하다는 점을 강조했다. 조규곤 파수닷컴 대표는 “디도스 사태 때는 ‘무차별 공격’이 이뤄졌는데, 왜 이번에는 유독 농협만 타깃이 됐는지 연계성 판명이 필요하다”며 “어떤 경로든 IBM 직원의 노트북만 목표물이 된 경위와 이유가 밝혀져야 한다”고 말했다. 동종업계 최고정보책임자(CIO)들은 이번 사태의 핵심 매개체가 된 ‘노트북 통제’의 중요성을 지적했다. 정순정 산업은행 IT센터장은 “IP가 일치한다는 점에선 정부의 발표가 신뢰할 만하다”면서도 “노트북의 출반입이 이뤄졌던 것, 그리고 내부 망에 들어왔던 것이 문제의 출발점”이라고 분석했다. 정 센터장은 “많은 기업들이 이번 일을 계기로 노트북 출·반입에 대한 통제를 강화할 것으로 보이며, 기업 내부망 접속 등에 대한 재설계도 이뤄져야 한다”고 덧붙였다. 황만성 기업은행 부행장은 “이번 사태의 유출 경로를 파악해 외부PC 관리에 보다 신경써야 한다”고 말했다. ‘IT’에서만 문제의 원인을 찾는 것은 해결책이 못 된다는 게 전문가들의 분석이다. 오재인 경영정보학회장(단국대학교 경영학부 교수)는 “이번 사태는 결국 기술의 보안이 아닌 ‘관리의 보안’이 중요하다는 것을 보여준다”며 “IT를 관리하는 ‘직원들’을 상대로 한 교육, 그리고 비상사태 훈련과 마인드 정립 등이 더욱 중요한 해결책”이라고 말했다.

농협 고객 집단 소송 움직임 본격화

▲ 이번 사태는 결국 기술의 보안이 아닌 ‘관리의 보안’이 중요하다는 것을 보여준다

비상 걸린 금융기관 전산망
농협의 전산망 마비가 북한의 사이버 테러에 의한 것이라고 검찰이 발표하면서 국내의 다른 금융기관 전산망도 언제든지 뚫릴 수 있는 것 아니냐는 우려가 나오고 있다. 농협중앙회는 5월 3일 검찰 수사 결과 발표 직후 비슷한 사고가 다시 일어나지 않도록 5100억 원을 투입해 최고 수준의 보안시스템을 구축하겠다고 밝혔다. 정보보호 업무를 전담하는 최고정보보호책임자(CSO)를 두고 ‘정보기술(IT) 통합관제센터’를 신설해 IT 인프라에 대한 상시감시 체제를 갖출 예정이다. 하지만 보안전문가들은 수천억 원을 들여 첨단 시스템을 갖추는 것보다 더 중요한 것은 직원들의 보안의식 강화라고 지적한다. 농협 사태도 농협과 서버관리 협력업체 한국IBM 직원의 보안의식 부재가 빌미가 됐다. 한국IBM 직원 한모 씨가 지난해 9월 한 커피숍에서 받은 웹하드 사이트 무료 다운로드 쿠폰으로 서버관리 업무에 쓰는 노트북에 영화를 내려받다가 컴퓨터가 감염된 것. 한 씨가 노트북을 전산센터 외부로 유출하는 것을 막지도, 한 씨의 컴퓨터에 웹하드 사용을 막는 보안 프로그램을 설치하지도 않은 농협의 관리 소홀도 한몫했다. 금융권의 느슨한 보안의식을 감안하면 다른 금융회사에서도 농협과 비슷한 사고가 일어날 수 있는 개연성을 배제할 수 없다. 외부 직원과 교류가 잦은데도 내부 PC의 비밀번호 변경, 내부 시스템 이용자 통제 등에 허술한 편이기 때문이다. 보안업계의 한 관계자는 “농협 사태에서는 감염된 PC가 농협이 아닌 하청업체 직원의 PC였다는 점이 중요하다”며 “일반 시중은행에서도 PC를 실시간 관리하지 않으면 비슷한 사고가 일어날 가능성이 높다”고 말했다. 회사마다 백신을 쓰고는 있지만 신종 악성코드가 워낙 많이 생겨 백신이 무용지물이 될 수 있다는 점도 문제다. 임채호 KAIST 사이버보안센터 부소장은 “5대 시중은행 가운데 한곳이 악성코드에 감염되면 우리나라 금융시장 전체를 마비시킬 수도 있다”고 우려했다. 농협 전산망 사고로 금융의 허브 역할을 하는 금융결제원의 보안수준도 관심사로 떠올랐다. 지급결제 시스템을 운영하는 비영리 기관인 금융결제원은 각 금융기관을 ‘금융공동망’이라는 하나의 통신망으로 연결했다. 이 망을 통해 은행의 본점과 지점 간 전자금융거래, 타행 간 거래, 자동화기기(ATM), 홈뱅킹 등이 이뤄진다. 금융결제원은 금융공동망뿐만 아니라 어음교환 시스템, 지로 시스템, 직불카드 시스템 등 지급결제 시스템도 독점적으로 운영한다. 이를 놓고 일부에서는 지급결제 시스템이 한 기관에 집중돼 보안사고의 위험을 더 키우는 게 아니냐는 지적도 나온다.

▲ 최근 국내 사이트를 대상으로 한 중국 등의 해킹이 급증하고 있다. 국내 보안 수준에 전반적으로 구멍이 생긴 상황에서 지금이라도 이 격차를 메우기 위한 국가적 투자가 필요하다

보안에 대한 국가적 투자 필요
중국 해킹 잡지 ‘해커팡셴(黑客防線)’ 4월호엔 ‘리눅스(Linux) 사이트의 침투’라는 기사가 실렸다. 한 한국 사이트에 악성코드를 심어 관리자 권한을 얻은 뒤 해킹해 가입자 정보를 빼낸 내용을 그대로 묘사했다. 잡지를 보고 따라하면 기사에 나온 사이트를 바로 해킹할 수 있다. 2001년 창간된 이 잡지는 이전에도 한국 사이트의 취약점을 분석한 기사를 게재하거나 한국 사이트 해킹 동영상이 든 CD를 잡지 부록으로 제공한 전력이 있다. 한국 기업 전산망과 인터넷이 중국·북한·대만으로 이뤄진 해킹 삼각편대 먹잇감으로 전락하고 있다. 국내 전산망과 웹사이트가 전반적으로 보안이 취약한 데다 한번 해킹하면 반향이 큰 정보를 많이 빼낼 수 있어 집중 공격 대상이 됐다고 전문가들은 분석한다. 해커들은 중국·대만·북한 3개국을 거치는 전산 루트를 만들어 추적을 피하고 있는 것으로 알려졌다. 특히 중국이 해킹의 진앙 구실을 하고 있다. 한국인터넷진흥원(KISA) 인터넷침해사고대응센터에 따르면 중국에서 우리나라에 유입되는 유해 트래픽(해킹 등으로 전산망이 피해를 줄 수 있는 데이터) 비율은 2006년 12월 전체의 52%에서 2010년 12월 75.7%로 높아졌다. 신대규 KISA 종합상황관제팀장은 “한때 일시적으로 중국에서 유입되는 유해 트래픽 비중이 낮아진 적도 있지만 종합적인 관점의 해킹 강도는 결코 낮지 않다”며 “중국발 해킹 위협이 계속 커지고 있다”고 말했다. 주요 정보 유출 사건의 진앙도 대부분 중국이다. 2008년 회원이 1800만명인 옥션의 개인정보를 유출한 주범, 2010년 2000만건의 국내 사이트 개인정보를 유출해 잡힌 범인은 모두 중국 해커였다. 실제로 중국 QQ 메신저에는 한국 사이트의 데이터베이스(DB)를 판매하겠다고 접근하는 해커가 상당수 있으며 ‘블랙마켓’이라고 불리는 해킹 시장에선 한국 사이트 DB와 함께 한국 사이트 해킹툴 판매도 성황을 이루고 있다. 박치민 터보테크 사장은 “중국 해커들은 제일 많이 공격하는 곳으로 한국 사이트를 꼽고 있으며 현지에선 다수의 좀비 PC를 만들어 이를 해커에게 빌려주는 대행업도 성업 중”이라고 말했다. 최근엔 대만도 국내 사이트 해킹 진앙에 이름을 올리고 있다. 대만에서 유입되는 유해 트래픽 비중은 2006년 12월 전체의 3.3%에서 2010년 12월 4.5%까지 높아졌다. 북한의 해킹 위협도 계속 늘어나고 있다. 하정열 한국전략문제연구원 안보전략소장은 “북한은 현재 인민군 총참모부 정찰총국 소속으로 1000여 명의 ‘기술정찰조’를 운영하고 전문 해커를 중국에 보내 계속 한국의 주요 인터넷망 침투를 시도하고 있다”고 말했다. 우리나라가 이처럼 취약한 이유는 미국 유럽 등지 사이트는 회원 가입을 할 때 이메일과 비밀번호만 저장하는 사례가 대부분이지만 한국은 실명과 함께 주민등록번호를 요구하는 사례가 많기 때문이다. 상대적으로 언어 장벽이 낮다는 것도 중국발 해킹이 늘어나는 이유다. 조선족을 포섭해 정보를 빼낸 다음 이를 판매하거나 유출된 쪽에 돈을 내놓으라며 협박하기가 쉽다. 신대규 팀장은 “한국 사이트가 공격하기에 좋다고 알려진 데다 중국 해커들은 결속력이 강하기 때문에 여럿이 힘을 합쳐 한꺼번에 한국 사이트를 공격하는 일도 상당수 있는 것으로 안다”고 말했다. 중국 당국이 해외 사이트 해킹에 대해 큰 관심을 기울이지 않았다는 것도 중국발 해킹이 늘어난 배경이다. 중국에선 2009년에야 해킹을 범죄로 규정했다. 전국 곳곳에 해킹 기업을 알려주는 학원이 있어 누구라도 쉽게 해킹을 배울 수 있다. ‘해커팡셴’ ‘해커X당안’ 같은 수백 종의 유명 해킹 잡지에는 한국 사이트를 해킹했다는 내용이 버젓이 실린다. 우리나라에선 당장 경찰 수사를 받을 수 있는 내용이다. 정태명 성균관대 교수는 “지금 상황을 보면 중국·북한 등지의 해커들에게 한국이 밥이라는 이야기인데 국내 사이트에 침입하면 개인정보 등 생기는 게 많다는 뜻”이라며 “우리나라가 정보화를 이뤘지만 보안에 대해선 전반적으로 구멍이 생긴 상황이라 지금이라도 이 격차를 메우기 위한 국가적 투자가 필요하다”고 조언했다. NM