국군 사이버사령부 해킹에 이어 한국은행 PC 180여대를 비롯해 몇몇 공공기관에서 부팅되지 않는 PC가 발견됐다. 2013년 3월 20일 방송사와 금융사 전산망을 마비시킨 공격 수법이다. 북한이 올해 들어 4, 5차 핵실험을 강행한데 이어 노동당 창립일 10월 10일을 앞두고 남북 간 사이버 긴장감이 높다.
3일 금융보안원과 관련 기관에 따르면 한국은행 PC 180여대와 일부 공공기관에서 부팅이 안 되는 PC가 나타났다. 한국은행은 9월 29일 13시부터 C드라이브 파일이 순차적으로 삭제되며 PC가 장애를 일으켰다. PC를 껐다가 켜면 윈도 파일 손상으로 제대로 작동하지 않는다.
K공공기관에서도 부팅이 안 되는 PC가 나타났다. K기관 역시 한국은행과 같은 백신을 사용 중이다. 한국은행 측은 “바이러스백신 프로그램 오작동이 장애를 유발했다”면서 “외부 공격 정황이나 증거는 발견되지 않았다”고 설명했다. 최영철 SGA솔루션즈 대표는 “명확한 원인이 규명되지 않아 분석을 진행 중”이라고 답했다. A보안 전문가는 “백신 기업이 가장 주의하는 것이 시스템 파일 삭제 행위”라며 “공격자가 자료유출방지솔루션을 해킹해 자료를 빼돌리면 흔적이 남지 않아 명확한 원인 분석이 필요하다”고 말했다.
김진표 더불어민주당 의원이 지난 1일 공개한 국방부 사이버사령부 해킹 역시 3·20 때와 같은 수법에 당했다. 9월 중순 국군 사이버사령부 `백신 중계 서버`가 해킹된 것으로 드러났다. 사이버사령부는 국방부를 포함해 육·해·공군 일선 부대마다 인터넷 접속용으로 사용 중인 2만여대 공용PC 보안을 관리한다. 군부대 PC는 인터넷에 연결되지 않는 국방망과 외부 인터넷을 접속하는 PC로 구분된다. 보안상 이유로 개인이 소프트웨어를 내려 받아 설치할 수 없다. 국군 사이버사령부는 백신 중계 서버를 두고 전군 인터넷PC에 보안 프로그램을 공급한다. 해커는 중계 서버 취약점을 파고들어 장악했다.
A 보안전문가는 “그동안 북한은 주로 백신과 자산관리, 패치관리, PC보안 솔루션 등 중앙관리 소프트웨어 취약점을 이용해 네트워크 내 PC에 악성코드를 한 번에 감염시키는 수법을 썼다”면서 “취약한 관리자 계정을 탈취하고 서버 업데이트 파일을 변조하는 공격을 감행했는데 이번 사이버사령부 역시 같은 수법”이라고 설명했다.
김승주 고려대 정보보호대학원 교수는 “사이버사령부는 사이버 철책선을 지키는 곳”이라면서 “철책선이 무너졌는데 주요 시설이 연결되지 않아 안전하다는 건 변명에 지나지 않는다”고 지적했다.
김용대 KAIST 전자공학과 교수는 “국내 주요기관이 수년 째 같은 수법에 연이어 당하고 있는 게 더 큰 문제”라면서 “전체 시스템이 안전하기 위한 `최소한의 신뢰 기반(Root of Trust)`이 지켜지지 않는 총제적 난국”이라고 설명했다. 김 교수는 “운영기관 실태와 보안솔루션을 만든 회사를 확실하게 조사하지 않으면 얼마나 많은 공격을 또 당할지 알 수 없다”고 덧붙였다.
북한은 올해 들어 사이버 공격 활동을 대폭 늘렸다. 3월 초 국내 보안 기업 4곳이 북한발 해킹 희생양이 됐다. 경찰은 6월 한진그룹과 SK그룹 PC 14만대가 북한에 조종을 받는 좀비 PC가 된 것을 확인하고 조치했다. 북한은 2014년 7월부터 준비해 14만대가 넘는 좀비 PC를 만들었지만 대규모 공격 전에 발각됐다.
8월부터 탈북자가 급증하며 탈북단체와 관련자를 대상으로 사이버 공격 활동이 증가했다. 탈북단체가 운영하는 웹 사이트를 해킹해 방문자로부터 각종 정보를 수집하는 악성코드가 유포됐다. 탈북 단체와 북한 관련 주요 인사에게 최신 한글 취약점을 이용한 이메일 공격도 끊이지 않는다. 북한 사이버전 전문가들은 9월 9일 5차 핵실험 후 사이버 공격 징후가 여기저기서 포착되는데 주목한다. 9월 30일 개발된 악성코드 움직임도 발견됐다.
김인순 보안 전문기자 insoon@etnews.com, 박정은기자 jepark@etnews.com
