백신 위장한 해킹… 방송사 - 은행 동시 마비

KBS-MBC-YTN-신한-농협… 해커 악성코드로 전산 먹통
“작년 北 사이버공격과 비슷”

20일 오후 2시경 주요 방송사와 금융회사 전산망이 일제히 마비되는 사상 초유의 정보보안 사고가 발생했다.

이번 사고는 국내 1, 2위 정보보안 업체인 안랩과 하우리의 백신 프로그램으로 위장한 악성코드가 유포되면서 발생한 것으로 밝혀졌다. 국내 기업과 공공기관 대부분이 의존하는 보안업체의 백신 프로그램이 악성코드 확산을 간접적으로 도운 것으로 도둑(해커)이 경비원(보안업체)의 옷을 입고 침입한 꼴이다.

방송통신위원회는 KBS와 MBC, YTN, 신한은행, NH농협은행이 동일한 해커에 의해 피해를 입은 것으로 확인했다. 이날 함께 전산망 장애를 겪은 제주은행, 농협생명보험, 농협손해보험의 연관성도 조사하고 있다. 방송사에서는 직원들의 PC가 먹통이 됐고, 금융권은 인터넷 뱅킹과 영업점 창구업무, 자동화기기(ATM) 사용 등이 일시 중단됐다.

방통위는 이번 전산망 마비사태가 정교한 ‘지능형 지속 해킹(APT)’ 공격인 것으로 보고 있다. 특히 해커의 공격에 맞서는 대형 정보보안 업체까지 농락당했다는 점에서 충격을 더하고 있다. 해커가 누구인지, 공격의 이유는 무엇인지 등은 아직 밝혀지지 않았다.

이날 전산망 마비사태는 기업들이 백신 프로그램을 최신 상태로 유지하기 위해 설치한 업데이트 관리 서버에서 시작됐다. 안랩과 하우리는 새 백신 프로그램이 나오면 이 업데이트 서버로 전송하는데 해커가 이 과정에서 악성코드를 심은 것이다.

동시다발적인 전산망 마비사태에 따라 방통위와 행정안전부, 국방부, 국가정보원 등 10개 관련 부처는 사이버 위기 평가회의를 열고 이날 오후 3시 사이버 위기 경보 단계를 ‘관심’에서 ‘주의’로 높였다. 사이버 위기 경보는 위기의 정도에 따라 정상, 관심, 주의, 경계, 심각 단계로 구분된다. 국방부도 군의 정보작전방호태세인 ‘인포콘(INFOCON)’을 4단계에서 3단계로 격상했다.

박근혜 대통령은 사고 발생 직후 김장수 국가안보실장 내정자로부터 관련 사실을 보고받고 “우선 조속히 복구하고 원인을 철저히 파악해 대책을 강구하라”고 지시했다.

이번 사태의 배후로 북한을 지목하는 전문가들도 있다. 김승주 고려대 정보보호대학원 교수는 “이미 현장에서는 북한의 소행이었던 지난해 중앙일보 사이버 공격과 수법이 비슷하다는 얘기가 나온다”고 말했다.

김상훈·이정은 기자 sanhkim@donga.com