[“3·20 사이버테러는 北 소행”]
북한이 3·20 사이버테러의 배후로 지목됐다. 2009년 7·7 디도스 공격 등 과거 사례들과 유사한 패턴을 보인 증거가 다양하게 발견됐기 때문이다. 10일 정부과천청사 미래창조과학부 브리핑실에서 한국인터넷진흥원 전길수 침해사고대응단장이 북한 배후설의 근거를 설명하고 있다. 과천=최혁중 기자 sajinman@donga.com
의문도 남는다. 2009년 이른바 ‘7·7 디도스(DDoS·분산서비스 거부) 공격’에서 시작된 비슷한 패턴의 공격을 왜 4년이 다 돼 가는 올해 초에도 막지 못했느냐는 것이다.
전문가들은 “근본적인 대책 마련에 소홀하고 땜질식 처방만 반복하기 때문”이라고 지적한다.
이는 지금까지 청와대나 국가정보원 웹사이트를 노린 디도스 공격, 언론사와 금융회사에 대한 전산망 파괴 공격과는 다른 양상을 보인다. 다행히 이 공격은 사전에 징후를 파악한 합동대응팀이 공격 또는 파괴 명령을 내리는 명령 및 통제(C&C) 서버를 차단하고 보안 패치를 강화하라는 지시를 내려 큰 피해 없이 넘어갔다. 지난달 26일에는 대북·보수단체 14개 홈페이지가 해킹을 통해 자료가 삭제됐고, YTN 계열사의 홈페이지 자료가 저장된 서버도 파괴되는 등 다양한 공격이 이어졌다.
특히 최근 북한의 공격은 오랜 시간과 노력을 들여 이뤄진다는 게 특징이다. 지난달 20일 피해를 본 방송사와 금융회사에 북한이 처음 침투한 날은 지난해 6월 28일로 추정된다. 북한이 이번 공격을 최소 8개월 이상 준비했다는 뜻이다. 또 공격 대상 기업마다 사용한 공격 방식도 모두 달랐던 데다 한 번 피해를 입히면 큰 피해를 줬던 것도 눈에 띈다.
이번 공격에서 북한 측은 피해 PC의 자료를 지우는 방법을 사용했는데 일반적인 복구 방법이 통하지 않도록 한 번 지운 하드디스크 위에 의미 없는 문자열을 덮어 쓰는 파괴적인 수단도 동원했다.
○ 해마다 똑같이 당했다
합동대응팀은 이번 공격이 북한의 소행이라는 증거를 ‘과거의 패턴’에서 찾았다. 즉 2009년 7·7 디도스 공격, 2011년 3·4 디도스 공격, 2011년 농협 전산망 파괴 공격, 지난해 중앙일보 전산망 파괴 공격 등이 이번 공격과 비슷했기 때문에 북한의 소행이라는 것이다.
북한의 공격 방식을 분석한 한국인터넷진흥원(KISA)의 전길수 침해사고대응단장은 “정부와 민간 보안업체가 모니터링을 하고는 있지만 공격자는 취약점 하나만 잡으면 공격이 가능하기 때문에 침투할 수 있는 경로는 늘 있는 셈”이라며 “징후를 파악해서 빨리 대응하려고 노력하고 있다”고 해명했다.
김인성 한양대 컴퓨터공학과 교수는 “현재 한국의 정보보안 체계는 초기에 설계된 공인인증서를 통한 보안체계를 유지하기에 급급해 세계 표준과 동떨어진 상황”이라며 “지금이라도 국제적으로 인정받은 보안체계로 온라인 금융거래와 전자상거래 시스템 자체를 근본적으로 바꿔야 한다”고 지적했다.
KBS는 접속 과부하로, 농협은 하드웨어 문제로 각각 장애를 겪었다고 밝혔다. 합동대응팀은 KBS와 농협에 조사팀을 급파해 정확한 원인을 조사했다.
합동대응팀은 11일 국가정보원장 주재로 미래창조과학부, 금융위원회, 청와대 국가안보실 등 15개 정부 기관이 참여하는 ‘국가 사이버 안전 전략회의’를 열고 사이버 안전 강화 대책을 마련하기로 했다.
김상훈 기자 sanhkim@donga.com