장기간 치밀하게 준비한 동시다발 해킹에 피해 속출 … 비밀번호 자주 바꾸면 피해 줄일 수 있어

점심식사를 끝내고 나른해질 무렵 신한은행 직원들에게 잠이 확 깨는 소식이 전해졌다. 본점 전산 서버에 ‘삭제(delete)’ 명령이 담긴 악성코드가 발견된 것이다. 당황한 서버 담당 직원들이 바삐 몸을 움직여봤지만 소용없었다. 전산망은 순식간에 다운됐고, 각 영업점 업무와 자동화기기(ATM) 사용, 인터넷 뱅킹이 두 시간 가량 전면 중단됐다.

3월 20일 오후 2시경 일어난 일이다. 농협은행에서도 같은 일이 일어났다. 문제가 발생하자 농협은행은 영업점의 모든 컴퓨터와 메인 서버를 연결하는 랜선을 분리하고, 비상영업에 돌입했다. 갑작스런 거래 중지에 고객들의 항의가 잇따랐다. 각 지점에서는 한동안 소란이 계속됐다. 두 은행은 영업시간을 6시까지 두 시간 연장했다.

같은 시각 악성코드는 방송사에도 침투했다. KBS·MBC·YTN 보도국 직원들의 컴퓨터에 ‘재부팅하라’는 메시지가 뜨면서 전원이 꺼졌다. 재부팅을 시도해도 ‘부팅 파일이 삭제됐다’는 메시지만 떴다. 해킹 사실을 확인한 각 방송사들은 모든 작업을 멈추고 컴퓨터를 작동하지 말라고 안내했다. 다행히 송출시스템에는 문제가 없어 방송은 예정대로 진행됐다.

그러나 직원들의 PC와 사내 정보망을 연결하는 서버가 마비됐다. 망가진 서버는 밤 늦게까지 복구되지 않았다. 뉴스를 준비하던 기자와 작가들은 주변 PC방으로 달려가 작업했다. 공격을 받은 방송사와 금융회사에서 손상된 서버와 PC는 모두 3만2000여 대에 달하는 것으로 알려졌다. 최근 5년 새 일어난 해킹 공격 중 규모가 가장 클 것으로 예상된다.



2차 해킹 공격 우려 커져언론과 금융회사를 노린 동시다발적인 사이버 테러에 정부는 민·관·군 사이버위협합동대응팀을 구성해 대책 마련에 나섰다. 청와대 국가안보실과 방송통신위원회를 중심으로 구성된 합동대응팀은 3월 21일 브리핑에서 “공격 받은 서버를 분석한 결과 해커들은 피해 기관의 패치관리시스템(PMS)에 접속해 악성파일을 유포한 것으로 드러났다”고 밝혔다.

합동대응팀 관계자는 “피해 기관

모두 동일 조직에 공격 받았다”며 “PC 부팅 장애가 나타난 것을 볼 때 트로이목마 형태의 악성코드가 사전에 유입돼 정해진 시간에 공격을 시작한 것으로 추정된다”고 말했다. 트로이목마의 특성상 길게는 수개월 전에 이미 악성코드를 침투시켜 공격 날짜를 특정해뒀을 가능성이 크다. 사전에 치밀하게 준비했으리란 예측이 가능하다.

트로이목마는 정상을 가장한 악성코드를 말한다. 그리스가 30명의 군인을 매복시켜 트로이의 성을 함락시킬 때 사용한 목마에서 유래했다. 프로그램이나 PC를 통해 전염되는 바이러스(Virus)나 웜(Worm)과 달리 e메일이나 다운로드 한 음악·동영상 등이 주요 이동 경로다. 유용한 프로그램인 듯 가장해 다운로드 받도록 기다렸다가 컴퓨터에 트로이목마를 심는 방식이기 때문에 시간이 꽤 걸린다. 파일 삭제와 컴퓨터 성능 저하가 가장 큰 특징이지만 비밀번호 같은 중요한 개인 정보를 빼낼 수 있어 위험하다.

‘2차 공격’도 우려된다. 문제의 악성코드를 분석한 결과 2차 공격을 암시하는 문자열이 발견된 때문이다. 악성코드 속에는 ‘PRINCPES’와 ‘HASTATI’와 같은 문자가 포함돼 있었다. 이는 라틴어로 각각 ‘첫 번째’와 ‘로마군의 1열’이란 뜻이다. 배후로는 북한이나 국제 해커그룹이 지목됐다. 박재문 방통위 네트워크정책국장은 “모든 가능성을 열어놓고 해커 실체 규명에 최선을 다하겠다”고 말했다.

최근 들어 해를 거르지 않고 대규모 사이버 테러가 반복되는 추세다. 최근 5년 새 반년에 한번 꼴로 정부 기관이나 기업의 전산망 또는 홈페이지가 공격을 받았다. 남재준 국가정보원장 후보자 역시 최근 제출한 국회 인사청문회 서면 답변서에서 “최근 5년간 정부·공공기관을 대상으로 한 사이버 공격이 7만3030건에 달했다”고 밝혔다.

2009년 7월 7일 한국과 미국을 동시에 겨냥한 ‘7·7 디도스 대란’이 대표적이다. 당시 청와대·국회·한나라당·옥션 등 국내 11개 기관과 미국 백악관 등 총 30여 개 기관의 홈페이지가 공격을 받았다. 일부 사이트는 나흘 가까이 마비가 계속됐고, 피해 규모도 500억원에 달했다. ‘7·7 디도스 대란’은 북한의 사이버 테러가 처음 드러난 사건이었다. 정부의 발표에 따르면 북한 체신성 IP을 쓰는 컴퓨터가 61개국, 435대의 서버를 활용해 주요 사이트를 디도스(DDoS·분산서비스거부) 방식으로 공격했다.



악성코드 심은 백신 패치에 속수무책해커들이 전산망이나 홈페이지를 공격하는 방식은 크게 디도스와 악성코드를 통한 해킹 두 가지로 나뉜다. 디도스는 서버가 처리할 수 있는 용량을 초과하는 정보를 한꺼번에 보내 서버를 다운시키는 공격 방식이다. 평화로운 왕복 2차선 도로에 갑자기 수백 만 대의 차량이 몰리는 상황을 떠올리면 된다.수십 대에서 많게는 수백만 대의 ‘좀비PC’를 원격 조종해 특정 사이트에 동시에 접속시킨 뒤 과부하로 다운시키는 방식이다.

디도스는 컴퓨터에 침투해 자료를 삭제하거나 빼내가기보다는 정상적인 운영을 방해하는 성격이 강하다. 디도스를 이용한 사이버 테러는 2011년에 재발했다. 해커들이 70개국 746대 서버를 활용해 청와대·국회·네이버 등 국내 40여개 사이트에 디도스 공격을 감행했다. 당시 공격에 동원된 좀비PC만 약 2만1000대에 달했다.

한 달 뒤에는 해킹으로 농협의 전산망이 통째로 마비됐다. 농협 전산망 마비 사건은 단일 기업 최대의 해킹 피해 사례로 기록됐다. 사건 발생 이후 사흘간 인터넷 뱅킹과 ATM 등 거의 모든 업무가 중단됐고, 완전 복구까지는 한 달 넘게 걸렸다. 일부 거래 내역은 영구 유실됐고, 1000명 이상의 고객에게 피해보상을 했다.

이후 농협은 보안 인력과 예산을 늘려 튼튼한 방어체계를 구축하겠다고 약속하고, 실제로 보안시스템 개발과 장비 도입에 1000억원 가까이 투자했지만 결국 이번 공격도 피하지 못했다. 재보궐 선거가 있었던 2011년 10월 26일 중앙선거관리위원회 홈페이지가 디도스 공격을 받았다. 지난해 6월에는 북한의 체신성 회선을 이용하는 PC ‘이스원(IsOne)’의 사용자가 중앙일보 뉴스사이트와 신문제작시스템에 침입해 장애가 발생하는 사건이 있었다.

이처럼 반년에 한 번씩 정보기술(IT) 강국의 심장부가 뚫렸다. 그러나 해킹을 완전히 차단하는 건 현실적으로 불가능에 가깝다는 게 공통된 지적이다. 보안 업계 관계자는 “해킹이라는 범죄의 특성상 예측해 방어하기는 매우 어렵다”면서 “공격이 들어올 때 적절히 방어하고 피해를 줄이는 전략이 중요하지만 이마저도 해킹 수법이 고도화되고 있어 쉽지 않다”고 말했다. 그는 또 “많은 전문가가 이번 방송·금융사 전산망 해킹의 방식으로 지능형지속공격(APT)를 꼽고 있는데 이는 알고도 못 막는 고급 수법으로 알려져있다”고 말했다.

APT는 사전 준비작업을 거쳐 공격 대상의 취약점을 발견해 악성코드를 심고 서버의 아이디와 패스워드를 탈취한 뒤 일시에 공격하도록 설계한 수법이다. 2011년 4월 농협 전산망 마비 사건이 대표적이다. 당시 해킹의 매개체는 서버 유지·보수 담당자의 노트북으로 밝혀졌다.

해커들은 6개월 담당자의 노트북에 미리 악성코드를 심어 접속 정보 등을 캐냈다. 이를 활용해 노트북에 공격 프로그램을 설치한 뒤 13개국 27개 서버를 이용해 동시에 공격 명령을 내렸다. 중앙일보 신문제작시스템에 침입한 사건도 유사한 방식이다. 보통 APT는 개인 해커가 아닌 해커조직이 오랜 기간 전문적인 기술을 동원해 준비한다. 장기·조직적으로 움직이기 때문에 마음먹고 덤비면 방어가 쉽지 않다는 얘기다.

보안 업체들은 백신 패치를 자주 업데이트 해야 한다고 권장하지만 이 또한 정답이 아니다. 이번 사건에서는 백신 패치가 악성코드를 전파하는 통로 역할을 했다. 사람들이 보안 프로그램을 믿고 쓴다는 점을 이용했다. 해커가 기관의 패치관리시스템을 장악해 백신 업데이트 패치에 악성코드를 숨겨 내부 사용자에게 보내면 악성코드는 순식간에 서버 아래 전체 컴퓨터로 퍼진다.

한 보안업체 관계자는 “ATP는 복싱의 잽과 비슷하다”며 “계속 두드려 상대를 서서히 무너뜨리는 만큼 서버 관리자가 아이디와 비밀번호를 수시로 바꾸는 습관을 갖는 게 가장 중요하다”고 말했다. 해커가 이미 비밀번호를 캐냈더라도 공격 예정일 전에 관리자가 비밀번호를 바꾸면 해커는 다시 한 번 비밀번호를 알아내는 작업을 해야 한다. 그러므로 비밀번호를 자주 바꿀수록 방어 효과가 크다. 공격은 피할 순 없지만 사소한 습관만 바꿔도 대란(大亂)은 막을 수 있다는 얘기다.

사이버 테러 위협은 갈수록 증가하는데 관련 주체의 행보는 뒷걸음질이다. 올해 정부의 정보보호 예산은 2400억원으로 지난해 2633억원보다 10% 가까이 줄었다. 기업도 다를 게 없다. 금융당국이 전체 정보기술(IT) 예산의 5% 이상을 정보보호에 쓰도록 권고하고 있지만 이를 따르는 기업은 거의 없다. 안랩이나 하우리 등 국내 보안업체의 관리 시스템이 너무 빈약하다는 지적도 업계에서 꾸준히 제기돼 온 부분이다.



국가 기간시설도 안전지대 아니다사이버 테러의 빈도가 잦아지면서 국민의 불안감도 커졌다. 회사원 공정완(44)씨는 “사건이 터질 때마다 북한의 소행이라면서 왜 재발 방치 대책을 마련하지 않느냐”면서 “누구의 소행인지 밝히는 것도 중요하지만 국민이 불안해하지 않도록 안전하게 관리하는 것이 핵심”이라고 말했다.

3월 20일 계좌이체를 하러 신한은행에 갔다 거래 중단 때문에 발길을 돌렸다는 한승희(30)씨는 “수년째 계속 공격을 받는데

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지