‘좀비PC’ 230만대… 본격 사이버테러 징후

[공공기관 해킹 위험수위]
공공기관 홈피 악성코드 감염 심각

크게보기

공공기관과 산하 단체 및 협회 등 비영리 웹사이트에서 악성코드가 대거 발견된 것은 사이버공간에서의 무차별 테러가 예고된다는 의미다. 국내 사이버공간 전체를 실시간 모니터링하고 있는 한국인터넷진흥원(KISA)도 지난달의 악성코드 감염 폭증을 이례적 현상으로 판단하고 실질적인 피해가 발생할지 촉각을 곤두세우고 있다.

○ ‘사소한 실수’ 노리는 사이버테러

웹사이트에 악성코드가 숨어들더라도 겉으로는 전혀 표시가 나지 않거나 사이트 접속 지연 등 사소한 문제를 발생시키는 경우가 대부분이다. 그러나 한번 뚫린 웹사이트는 해커의 추가 공격에 의해 관리 권한이 통째로 넘어갈 수도 있다.

더 큰 문제는 한국수력원자력(한수원)의 ‘원전 제어망’처럼 핵심 시설 소프트웨어(SW)를 해킹하기 위한 매개체로 활용될 수 있다는 사실이다. 물론 대부분의 공공기관 보안시스템은 어떤 해킹 방법으로도 한 번에 침투하기 힘들다는 게 정보보안 전문가들의 일반적 의견이다.

이 때문에 해커들은 타깃으로 삼은 기관에 소속된 직원이나 망에 접근할 수 있는 협력업체 관계자들의 사소한 부주의를 집요하게 노린다. 웹사이트에 악성코드를 심어놓으면 해당 사이트 관리자를 포함한 다수의 직원 PC에도 악성코드가 이동할 가능성이 높아진다. 해커들은 누군가가 PC나 이동식저장장치(USB 메모리)를 부주의하게 내부망에 연결할 때까지 조용히 기다린다. 악성코드가 내부망까지 침투하는 데 성공하면 해커들은 지령을 내려 주요 정보를 자신들의 ‘CNC(Command and control·해커들이 사용하는 서버)’로 빼내는 것이다.

악성코드에 감염된 공공기관 웹사이트가 급증했다는 것은 해커들이 ‘확률 싸움’에서 확실한 우위를 점하고 있다는 뜻이다. 악성코드에 PC가 감염된 직원 100명 중 1명이라도 사이버보안 절차를 무시할 경우 완벽한 보안시스템을 구축한 내부망까지 해커들에게 문을 활짝 열어주는 것이나 다름없기 때문이다.

염흥열 순천향대 SCH사이버보안연구센터장은 “비영리기관 사이트는 오가는 정보의 질이 높은 데 비해 직원들의 보안의식이 상대적으로 낮은 경우가 많다”며 “기본적으로 정보를 빼내는 데 1차적 목적을 가지는 해커들로서는 가장 좋은 먹잇감인 셈”이라고 말했다.

○ 올 들어 좀비PC 대규모 양산

정보보안 전문가들은 최근의 악성코드 감염 사이트 급증을 매우 심각한 상황으로 보고 있다. 실제 국내에서 발견된 ‘좀비PC’는 청와대를 비롯한 정부 사이트와 네이버 등 포털에 대한 대규모 공격이 이뤄진 2011년 ‘3·4대란’ 이후 감소 추세를 보이다 올 들어 가파르게 증가하고 있다.

KISA에 따르면 2011년 298만 대였던 국내 좀비PC는 2012년 123만 대, 2013년 103만 대로 점차 감소하다 올 들어 9월 기준으로 무려 200만 대까지 증가했다. KISA는 연말까지 좀비PC가 230만 대까지 늘어날 것으로 보고 있다.

한 번 악성코드에 감염됐던 사이트가 또다시 감염되는 재감염률도 매년 증가하고 있다. 2011년 19.6%였던 재감염률은 2012년 23.2%, 지난해 53.0%로 급격히 올랐다. 올해의 재감염률은 5월 기준 44.1%다. 재감염률이 높다는 것은 보안의식이 그만큼 낮다는 얘기다.

○ 정부기관, 보안업계는 ‘비상’

KISA가 올 들어 악성코드 감염 사이트를 발견한 뒤 해당 기관의 요청에 따라 기술 지원에 나선 것만 200여 차례에 이른다. 이 중 10차례는 피해 규모가 매우 크거나 위험성이 높아 경찰청이나 국가사이버안전센터(NCSC)에 공조를 요청해야 했다.

그러나 상당수 기관 및 기업은 KISA가 악성코드를 발견했다고 알려도 이미지 실추를 우려하거나 내부망 로그 기록 공개를 꺼려 기술 지원을 거절하는 경우가 많다. KISA 관계자는 “기업들이 자체적으로 정보보호 시스템 마련에 투자하겠다고 하지만 실제 점검 및 대응책 마련을 했는지 확인할 방법은 없다”고 말했다.

이런 경우 스스로 사이버테러 위험성을 방치하는 동시에 사이트가 연결된 다른 기관들에까지 잠재적 위험을 전가시킬 수 있다.

신용태 숭실대 SW특성화대학원장은 “해커들은 보안에 대한 투자가 미흡한 작은 공공기관이나 협회 등을 1차 타깃으로 삼는 경우가 많다”며 “정부는 이들에 대한 보안 지원을 확대하는 동시에 평상시에도 사이버테러를 대비할 수 있는 컨트롤타워를 만들 필요가 있다”고 강조했다.

서동일 dong@donga.com·김재형 기자