10일 미래창조과학부 등 민·관·군 합동대응팀의 조사결과 발표에 따르면 북한은 적어도 2012년 6월 이전부터 치밀하게 이번 공격을 준비했다.
북한은 한국을 포함 10여 개국의 IP를 경유해 국내에 공격을 가한 것으로 파악된다. 특히 단일 기관이 아닌 6개 기관의 전산망을 동시에 마비시켰다는 점에서 기존 사이버 테러보다 공격 방식이 진일보한 것으로 평가된다. 일부 기관은 외부에 연결된 서버가 침투 경로로 활용됐고, PC 이용자가 접근하는 웹사이트에 바이러스를 심어두거나 이메일로 바이러스를 침투시키기도 했다.
북한은 역추적으로 자신들의 소행이 드러나는 것을 감추기 위해 서버 접속이나 방화벽 접근 로그(기록)를 지우는 등 치밀하게 도발했지만 기술적인 문제로 수분, 짧게는 수초간 북한 IP를 13차례 노출시킨 것으로 드러났다. 정부는 디도스 등 일방적으로 공격 명령만 보낼 경우 IP를 은닉하기 쉽지만 이번 공격처럼 바이러스를 심어두고 다시 공격 명령을 보내는 쌍방향 통신을 할 경우 IP가 노출될 수 있으며 이를 위조하기도 어렵다고 설명했다. 북한 IP로 위장한 제3 세력의 공격 가능성에 대해 한국인터넷진흥원 침해사고대응단 전길수 단장은 “위조된 IP를 쓰면 (쌍방향 통신 과정에서) 답변이 엉뚱한 곳으로 갈 수 있다”며 “IP 세탁 가능성을 0%라고 할 수는 없겠지만 가능성이 매우 낮다”고 일축했다.
기존에 활용했던 공격 경유지와 악성코드를 재활용한 것도 조사결과 드러났다. 정부는 일단 이번 공격이 혼란을 야기하는 데 목적을 둔 것으로 보고, 기업과 개인정보 대량 유출 가능성은 적은 것으로 판단하고 있다. 또 처음 사이버 공격을 자행한 단체로 지목된 ‘후이즈’와 이번 사건의 연관성도 발견되지 않았다.
◆장기간 침투 감지 못해…대책 마련 시급북한이 8개월 전부터 이번 사이버테러를 치밀하게 준비한 것으로 밝혀짐에 따라 북한의 장기간 침투를 감지하지 못한 데 대한 우려가 일고 있다. 과거 공격과 유사한 악성코드를 재활용하고, 공격 경유지가 동일했음에도 정부는 이를 파악하지 못했다.
정부는 기존의 사이버 공격에 대비해 대책을 세우면 해커가 새로운 취약점을 알아내 공격하기에 100% 방어할 수 없다고 해명했다. 하지만 국내 해킹 대응 조직이 분산돼 있고 법률적 장치도 미흡해 구조적으로 문제가 있다는 지적은 피할 수 없다.
정부는 현재 사이버 대응체계 구축을 내용으로 하는 ‘사이버테러방지법’ 제정을 추진 중이나 논의 과정에서부터 진통이 예상된다. 사이버테러방지법은 국가정보원이 사이버안보를 총괄하며 국정원 산하에 국가사이버안전센터를 두고 종합대책을 수립하는 내용을 담고 있다. 하지만 국정원이 사이버안전 총괄기능을 수행할 때 민간 정보통신 시설로까지 권한이 미치는 데 대한 우려의 목소리가 제기된다. 사이버안전을 총괄하는 별도 기관 수립이 대안으로 거론된다.
미래부는 ‘정보통신기반보호법’을 개정, 이번에 북한의 공격을 받은 방송사 전산망을 ‘주요 정보통신 기반시설’에 포함하는 방안을 추진하고 있다. 주요 정보통신 기반시설로 지정되면 각 중앙행정기관은 매년 소관 정보통신 기반시설에 대해 취약점을 분석평가하고 보호대책을 수립해 추진해야 한다.
시급한 정책 마련과 함께 장기적이고 지속적인 보안 투자도 요구된다. 정부의 보안 예산은 사이버 테러가 일어나면 크게 늘었다가 슬그머니 줄어드는 행태를 보인다. 기업들이 보안투자에 인색한 것도 문제다. 보안 관계자들 사이에서는 사이버 공격에 대비할 수 있는 ‘화이트 해커’를 국가적으로 양성해야 한다는 주문도 나온다.
엄형준 기자 ting@segye.com