지난 20일 주요 방송사와 은행 전산망이 마비되는 해킹 사건이 일어났다. KBS MBC YTN 등 방송사와 신한은행 농협은행 제주은행 등 금융회사에 있는 총 3만2000대에 달하는 컴퓨터가 악성코드에 감염돼 일시에 작동을 멈췄다. 2009년 7·7 디도스(DDoS·분산서비스거부), 2011년 3·4 디도스 공격에 이은 초유의 ‘해킹 대란’이었다.
#검은 화면… 먹통된 컴퓨터
20일 오후 2시15분께. KBS 사내 개인용컴퓨터(PC) 여러 대의 화면이 한꺼번에 검게 변했다. 일시에 윈도가 종료되면서 작업 중이던 컴퓨터 화면이 꺼지더니 검은 스크린에 의미를 알 수 없는 명령어가 나왔다. 컴퓨터는 재부팅이 되지 않고 그대로 멈춰섰다. MBC와 YTN도 상황은 마찬가지였다. 한 MBC 직원은 “전산 전문가가 없어 당황해 있는데 강제로 PC를 끄라는 안내방송이 나오더라”며 “10분 뒤 뉴스 자막에 속보가 나가는 것을 보고 어떤 상황인지 알게 됐다”고 했다. 업무와 방송 인터넷망을 따로 운영해 방송송출은 가능했다.
은행도 공격을 받았다. 신한은행은 본사와 영업점 PC가 작동하지 않거나 파일이 삭제돼 인터넷뱅킹, 현금입출금기(ATM) 사용, 창구 거래 등 대부분의 업무가 중단됐다. 제주은행과 농협은행, NH생명보험 등도 전산망 장애를 겪었다. 신한은행 측은 오후 4시께 복구를 마치고 영업시간을 늘렸다.
정부는 이날 민·관·군 합동대응팀을 꾸려 해커의 실체를 파악하고 침투 경로를 조사하는 한편 추가 피해 확산 방지에 나섰다.
이날 발생한 해킹 공격은 전형적인 지능형 지속 해킹(APT)이었다. APT 공격은 대상을 정해놓고 오랜 기간에 걸쳐 침입을 시도해 악성코드를 심어 놓는 등 네트워크를 장악한 뒤 일시에 공격해 피해를 입히는 해킹 방식을 말한다. 전산망 마비는 물론 내부 정보를 유출하거나 삭제할 수도 있어 치명적이다. 시만텍 안랩 등 정보보안업체들은 지난해부터 이 같은 공격 유형이 증가하고 있다고 경고한 바 있다.
#정밀하게 계획된 APT 공격 정부조사 결과 이번 해킹에 사용된 악성코드는 정상 프로그램으로 위장한 트로이목마인 것으로 드러났다. 유포 경로는 일차적으로 업데이트 관리서버를 통해 들어온 것으로 합동대응팀은 파악하고 있다. 합동대응팀 관계자는 “전체 침투 윤곽은 단시일 내에 밝히기 어렵다”며 “해외 인터넷 프로토콜(IP) 주소를 통해 침투된 흔적이 있어 해당국에 국제공조수사를 요청했다”고 말했다.
한때 정부는 농협 내부 IP 주소를 중국 IP로 오인해 해킹 배후로 중국을 지목하는 외교 결례를 범하기도 했다. IP 주소는 컴퓨터가 통신망에 접속하기 위해 할당받는 주소로 세 자리 숫자가 네 마디로 끊어져 있다. 이 착각은 농협이 내부망에 연결된 PC에 사용하는 사설 IP 주소를 중국의 국제공인 IP와 동일하게 썼기 때문에 벌어졌다.
국가기간 전산망이 해킹된 것은 이번이 처음은 아니다. 2004년 7월에는 국회와 국방과학연구소 등 주요 국가기관 전산망이 마비된 적이 있다. 2009년 7월에는 7·7 디도스 공격이 발생, 청와대와 국회뿐 아니라 네이버 미국 재무부 등 한·미 주요기관 23개 사이트 전산망이 멈춰섰다. 2011년 3월에는 3·4 디도스 공격으로 청와대 국정원 국민은행 네이버 등이 피해를 입었다. 2011년 4월에는 농협 전산망이 악성코드 감염으로 은행 서비스를 중단해야 했다.
#디도스 공격이후 최대 규모
이번 공격은 2009년과 2011년에 논란이 됐던 디도스 공격과는 성격이 다르다. 디도스 공격은 해커가 일반인이 사용하는 수천 대의 PC를 악성코드에 감염시켜 조종할 수 있는 ‘좀비PC’로 만든 뒤 이를 이용해 특정 사이트에 일시에 접속 명령을 내리는 것이다. 해당 사이트는 접속자가 폭주해 제 기능을 할 수 없게 되지만 내부 정보가 유출되거나 시스템 파괴로 이어지지는 않는다.
이번 해킹을 계기로 정부 차원의 사이버보안 로드맵을 재정비해야 한다는 의견이 쏟아졌다. 전 세계적으로 사이버 공격이 증가하는 가운데 3·20 해킹 대란과 비슷한 사태가 재발했을 때 일사불란하게 대처할 수 있는 계획을 세워야 한다는 것이다.


