[은행-방송 전산망 사이버 테러]악성코드 中서 유입… 靑 “北소행 강한 의심”

방송사-은행 사이버 테러는… 동일조직의 ‘트로이 목마’ 공격

주요 방송사와 금융회사의 전산망을 마비시킨 악성코드가 중국에서 유입된 것으로 밝혀졌다. 정부는 중국을 경유한 북한의 소행일 것이라는 데 무게를 두고 있다.

방송통신위원회와 경찰청, 국방부, 국가정보원 등으로 이뤄진 정부 합동대응팀은 21일 “농협 시스템을 분석한 결과 중국 인터넷주소(IP주소)를 통해 악성코드가 설치된 것을 확인했다”며 “동일 조직이 피해 기업 6곳을 공격한 것으로 판단한다”고 밝혔다. 청와대 관계자는 “북한의 소행이라는 강한 의구심을 갖고 있다”고 말했다.

정부는 KBS, MBC, YTN, 신한은행, NH농협은행, 제주은행 등 6개사의 PC와 서버 약 3만2000대가 피해를 봤다고 밝혔다. 금융회사들은 이날 피해를 대부분 복구하고 정상 영업에 들어갔다. 하지만 직원 PC의 상당수가 파괴된 방송사들은 여전히 업무에 차질을 빚고 있다. 합동대응팀에 따르면 조직적으로 움직이는 해커집단이 치밀한 시나리오에 따라 이번 사태를 일으켰다. 특히 추적이 힘든 중국 IP주소를 이용한 점이 확인됨에 따라 북한이 배후일 가능성이 제기되고 있다. 북한은 2011년 농협 전산망 마비 사태 때 중국 IP주소를 경유해 공격한 바 있다.

김장수 대통령국가안보실장 내정자는 “전문 해커집단의 소행인지, 그동안 (한국을) 위협했던 북한의 소행인지 모든 가능성을 놓고 분석 중”이라고 말한 것으로 전해졌다. 하지만 다른 청와대 관계자는 “북한의 소행일 가능성에 대해 면밀히 추적, 분석하고 있다”고 말해 북한의 해킹 공격 가능성에 무게를 뒀다.

전산망 마비 사태에 사용된 악성코드는 일종의 ‘트로이 목마’인 것으로 확인됐다. 실제는 악성코드지만 겉보기에는 정상 프로그램인 것으로 위장했다는 뜻이다. 이 악성코드는 백신 프로그램으로 위장해 설치됐다. 안랩은 “공격자가 자산관리서버 관리자의 ID와 비밀번호를 빼낸 뒤 이를 이용해 악성코드를 백신 프로그램처럼 배포한 것으로 추정된다”고 밝혔다.

한국인터넷진흥원(KISA)은 이날 오전 1시부터 전용 백신을 배포했다. 또 공공기관과 교통·전력 등 기반시설, 금융회사와 병의원 등에 백신 업데이트 서버를 인터넷과 분리할 것을 당부했다. 청와대는 이번 사태를 계기로 정부 관계 부처와 민간이 참여하는 가칭 ‘국가사이버안전전략회의’를 신설하는 방안을 검토하고 있다.

김상훈·장원재 기자 sanhkim@donga.com