[Cover Story] '3·20 해킹대란'…방송사·은행 전산망 '뻥' 뚫렸다

지난 20일 주요 방송사와 은행 전산망이 마비되는 해킹 사건이 일어났다. KBS MBC YTN 등 방송사와 신한은행 농협은행 제주은행 등 금융회사에 있는 총 3만2000대에 달하는 컴퓨터가 악성코드에 감염돼 일시에 작동을 멈췄다. 2009년 7·7 디도스(DDoS·분산서비스거부), 2011년 3·4 디도스 공격에 이은 초유의 ‘해킹 대란’이었다.

#검은 화면… 먹통된 컴퓨터


20일 오후 2시15분께. KBS 사내 개인용컴퓨터(PC) 여러 대의 화면이 한꺼번에 검게 변했다. 일시에 윈도가 종료되면서 작업 중이던 컴퓨터 화면이 꺼지더니 검은 스크린에 의미를 알 수 없는 명령어가 나왔다. 컴퓨터는 재부팅이 되지 않고 그대로 멈춰섰다. MBC와 YTN도 상황은 마찬가지였다. 한 MBC 직원은 “전산 전문가가 없어 당황해 있는데 강제로 PC를 끄라는 안내방송이 나오더라”며 “10분 뒤 뉴스 자막에 속보가 나가는 것을 보고 어떤 상황인지 알게 됐다”고 했다. 업무와 방송 인터넷망을 따로 운영해 방송송출은 가능했다.

은행도 공격을 받았다. 신한은행은 본사와 영업점 PC가 작동하지 않거나 파일이 삭제돼 인터넷뱅킹, 현금입출금기(ATM) 사용, 창구 거래 등 대부분의 업무가 중단됐다. 제주은행과 농협은행, NH생명보험 등도 전산망 장애를 겪었다. 신한은행 측은 오후 4시께 복구를 마치고 영업시간을 늘렸다.

정부는 이날 민·관·군 합동대응팀을 꾸려 해커의 실체를 파악하고 침투 경로를 조사하는 한편 추가 피해 확산 방지에 나섰다.

이날 발생한 해킹 공격은 전형적인 지능형 지속 해킹(APT)이었다. APT 공격은 대상을 정해놓고 오랜 기간에 걸쳐 침입을 시도해 악성코드를 심어 놓는 등 네트워크를 장악한 뒤 일시에 공격해 피해를 입히는 해킹 방식을 말한다. 전산망 마비는 물론 내부 정보를 유출하거나 삭제할 수도 있어 치명적이다. 시만텍 안랩 등 정보보안업체들은 지난해부터 이 같은 공격 유형이 증가하고 있다고 경고한 바 있다.

#정밀하게 계획된 APT 공격

정부조사 결과 이번 해킹에 사용된 악성코드는 정상 프로그램으로 위장한 트로이목마인 것으로 드러났다. 유포 경로는 일차적으로 업데이트 관리서버를 통해 들어온 것으로 합동대응팀은 파악하고 있다. 합동대응팀 관계자는 “전체 침투 윤곽은 단시일 내에 밝히기 어렵다”며 “해외 인터넷 프로토콜(IP) 주소를 통해 침투된 흔적이 있어 해당국에 국제공조수사를 요청했다”고 말했다.

한때 정부는 농협 내부 IP 주소를 중국 IP로 오인해 해킹 배후로 중국을 지목하는 외교 결례를 범하기도 했다. IP 주소는 컴퓨터가 통신망에 접속하기 위해 할당받는 주소로 세 자리 숫자가 네 마디로 끊어져 있다. 이 착각은 농협이 내부망에 연결된 PC에 사용하는 사설 IP 주소를 중국의 국제공인 IP와 동일하게 썼기 때문에 벌어졌다.

국가기간 전산망이 해킹된 것은 이번이 처음은 아니다. 2004년 7월에는 국회와 국방과학연구소 등 주요 국가기관 전산망이 마비된 적이 있다. 2009년 7월에는 7·7 디도스 공격이 발생, 청와대와 국회뿐 아니라 네이버 미국 재무부 등 한·미 주요기관 23개 사이트 전산망이 멈춰섰다. 2011년 3월에는 3·4 디도스 공격으로 청와대 국정원 국민은행 네이버 등이 피해를 입었다. 2011년 4월에는 농협 전산망이 악성코드 감염으로 은행 서비스를 중단해야 했다.

#디도스 공격이후 최대 규모

이번 공격은 2009년과 2011년에 논란이 됐던 디도스 공격과는 성격이 다르다. 디도스 공격은 해커가 일반인이 사용하는 수천 대의 PC를 악성코드에 감염시켜 조종할 수 있는 ‘좀비PC’로 만든 뒤 이를 이용해 특정 사이트에 일시에 접속 명령을 내리는 것이다. 해당 사이트는 접속자가 폭주해 제 기능을 할 수 없게 되지만 내부 정보가 유출되거나 시스템 파괴로 이어지지는 않는다.

이번 해킹을 계기로 정부 차원의 사이버보안 로드맵을 재정비해야 한다는 의견이 쏟아졌다. 전 세계적으로 사이버 공격이 증가하는 가운데 3·20 해킹 대란과 비슷한 사태가 재발했을 때 일사불란하게 대처할 수 있는 계획을 세워야 한다는 것이다.

특히 정부 컨트롤 타워를 만들어 사이버안보 총괄 및 예산 집행 권한을 부여해야 한다는 목소리가 높다. 김명주 서울여대 정보보호학과 교수는 “국방부가 정보전(戰), 국정원이 사이버테러, 경찰청이 사이버범죄·폭력을 담당하지만 실제로 ‘사이버공격’이라는 점에서는 같다”며 “공격 주체와 관계없이 사이버 안보를 총괄하는 컨트롤 타워가 만들어져야 한다”고 말했다.

각 정부 부처에 분산된 정보보호 업무를 통합 운영하고 사고가 터질 때마다 ‘반짝’ 편성되는 예산 체계도 고쳐야 한다는 제언이 나왔다. 한 정보보호 전문가는 “디도스 대란이 났을 때도 정부부처와 기업들이 정보보호 관련 예산을 일시적으로 늘리더니 점차 삭감해 나갔다”고 지적했다.

이경호 고대정보보호대학원 교수는 “콘텐츠나 플랫폼 등 정보기술(IT) 산업이 아무리 활성화돼도 정보보안이 뒷받침되지 않으면 아무 소용이 없다”며 “시속 200㎞를 달릴 수 있는 자동차를 만들어도 브레이크가 없는 것과 마찬가지”라고 말했다.

김보영 한국경제신문 기자 wing@hankyung.com

------------------------------------------------------------------------------------

세계 각국 ‘사이버 전사’ 키운다

중국에만 해커 30만명

최근 세계 각국은 사이버전(戰)에 대응할 고급 해커 인력을 양성하고 있다.

중국은 상하이에 있는 인민해방군 61398부대를 비롯해 고급 기술을 보유한 30만명의 해커가 있는 것으로 알려졌다. 해킹을 통해 적국의 핵심 기관을 공격하는 ‘점혈전략’을 수행하고 있다. 중국은 최근 미국 정보기술(IT) 기업 애플 페이스북 마이크로소프트 트위터 등과 주요 언론사 월스트리트저널(WSJ) 뉴욕타임스(NYT)에 발생한 해킹 공격의 배후로도 지목되고 있다.

이에 버락 오바마 미국 대통령은 올해 국정연설에서 사이버 공격의 위험성을 경고하고 단호히 대처할 것이라고 발표했다. 오바마 대통령은 지난 14일 중국 국가주석 취임 축하 전화에서도 사이버 안보를 언급했다.

중국과 사이버 신(新)냉전을 벌이고 있는 미국은 최근 사이버사령부 규모를 현재 900여명에서 향후 5년 안에 군인·민간인 등 4900여명으로 5배 이상 늘리는 계획을 승인했다. 매년 약 4조5000억원을 들여 사이버 전쟁 훈련도 하고 있다.

아랍권과 끊임없이 사이버 공방전을 펼치는 이스라엘도 ‘유닛8200’이라는 사이버 부대를 만들어 미국 사이버 부대와 견줄 만한 수준으로 화이트해커를 양성하고 있다. 북한도 ‘전자전부대’에서 1만2000여명의 세계 최고 수준 해커를 기르는 것으로 알려졌다.