특종.심층취재

Home>월간중앙>특종.심층취재

사이버 공격 대한민국 심장부 뚫었다 

국내 해킹 전문가들 “9·15 정전사태 외부공격일 가능성 높아”… 한전은 몰랐나, 숨기나? 


▎2011년 9월 15일 전국적인 정전 사태로 신호등이 꺼진 서울의 한 도로 모습.

“헉, 이게 뭐야? 왜 중국 사이트에 한국 지도가 떴지?”


지난해 9월 3일. 해킹피해 사례 진단서비스로 알려진 보안전문업체 큐브피아는 중국발 해킹 동향을 파악하다가 수상한 사이트 하나를 찾아냈다. 한국의 특정 IP와 지역지도가 떠있는 사이트였다. 특정 IP를 추적해보니 전북에 있는 댐 근처였다. 연계된 동영상도 함께 발견했는데 거기에는 문제의 IP를 사용하는 한국의 서버가 이미 해킹 당했고 중국어 패스워드 입력 창이 띄워져 있는 모습이 등장했다.(오른쪽 캡쳐 사진 참조)

“중국 애들이 우리나라 댐 지도를 왜 검색했을까? 댐이 공격 당한다면 큰일 나는데….”

큐브피아 측은 곧바로 국가정보원(이하 국정원)에 “수상한 사이트가 있다”고 신고했다.

이 업체에 따르면 국정원이 조사했더니 해킹을 당한 한국의 서버는 한전의 고창전력시험센터가 임시로 사용 중이었다고 한다. 서버의 운영체제는 윈도 2003이었고, 외부로 원격접속 포트가 노출되었으며 방화벽이 없어 손쉽게 접속이 가능했다고 큐브피아는 설명했다.

그 일이 있은 지 12일 뒤인 9월 15일, 서울엔 대규모 정전사태가 발생했다. 사고가 나자 큐브피아의 권석철 대표는 9월 16일 기자회견을 열고 “사이버 공격이 정전 사태의 원인일지 모른다”고 말했다. 이날 간담회에서 그는 “지난 3일 중국의 한 해킹 관련 사이트에서 고창전력시험센터의 서버가 악성코드에 감염된 사실을 보여주는 정보를 발견하고 이를 국정원에 신고했으나 9일 국정원으로부터 ‘해당 서버에 조치가 취해졌으며 다른 문제는 발견되지 않았다’는 답을 받았다. 하지만 이 시험센터의 서버가 한국전력 내부 망과 연결됐을 가능성이 크며 이번 정전 사고와도 관계가 있다고 보인다”고 밝혔다.

그러나 국정원은 이 주장에 대해 “고창전력시험센터 해킹 사고는 시험용 서버 개발을 담당했던 용역업체 직원이 악성코드에 이미 감염돼 있던 서버를 별도의 확인 절차 없이 고창시험전력센터 내부로 반입함에 따라 발생했고, 전력 제어망이 외부로부터 해킹을 당하지 않았으며, 9·15 정전과도 무관하다”고 반박했다. 하지만 국정원의 해명에도 불구하고 의구심은 풀리지 않았다. 권 대표는 “‘악성코드’가 센터 내부로 들어왔다면 세균처럼 다른 곳을 전염시키며 돌아다닌다. 구제역이 발견됐는데 쉬쉬하는 꼴과 마찬가지”라고 말했다.

<월간중앙>이 최근 한전 측에 재차 이 사건을 문의한 결과 “9월 3일 고창전력시험센터의 서버에 침투한 악성코드는 해킹이 맞지만 9월 15일 정전 사태와는 무관하다”는 답변이 돌아왔다. 한전 관계자는 “정전 사고는 전력거래소가 전력 수요량 예측을 잘못해 발생한 사고였다”고 말했다. 그는 “고창전력시험센터는 한전 자회사에서 연구용으로 만들었으며 한전의 내부 망이나 전력 제어 망과는 완전히 별도로 분리돼 있다”는 설명도 덧붙였다.

한전 측은 큐브피아가 기자회견을 한 직후 이 회사에 공문을 보내 “근거 없는 이야기로 혼란을 주지 말라”고 경고했다. 하지만 큐브피아 측은 여전히 의혹을 거두지 않았다. 마침 이때 한전은 공문에 한전의 내부 망이 고창전력시험센터와 어떻게 분리돼 있는지를 보여주는 그림을 첨부했다. 하지만 한전은 오히려 이 그림을 통해 한전 네트워크 망의 취약점을 자인한 꼴이 됐다. 이 그림을 살펴보면 고창전력시험센터의 관리 감독은 한전의 자회사인 한전KDN이 담당하고 있다. KDN은 한전의 자회사로 급전, 송·변전 등 전력 계통의 업무를 담당하는 IT서비스업체로 한전 내부 전산망과 연결돼 있다. 고창전력시험센터가 직접적으로 한전 내부 망과 연결돼 있지 않지만, KDN과 연결돼 있다면 충분히 한전 내부 망과도 연결됐을 가능성이 높다고 큐브피아는 지적했다.


▎한국전력 거래소의 상황실 모습.

“고창전력시험센터 서버는 외부에 연습용으로 만든 사이트라 하지만 네이버나 다음 같은 일반 포털 사이트처럼 검색 창에 도메인을 치고 들어가는 사이트가 아니다. 내부 IP를 쳐야 들어가는, 일반인들은 검색하기 힘든 사이트다. 결국은 내부 IP를 누군가 알고 들어갔다는 얘기다. 고창전력시험센터가 아무리 연습용 사이트로 만들어 놓았다 해도 KDN이 통제하는 곳이고 KDN은 한전 내부 망과 연결될 수 밖에 없다. 이곳이 뚫린다면 다른 한전 내부 망의 길도 해커들은 충분히 찾아낸다. 누군가 KDN 사이트에 침입해 악성코드를 깔다가 실수로 동영상을 올렸고, 그 동영상을 우리가 발견한 것이다. 그들은 자신들이 깔아 놓은 악성코드를 지우려 다시 공격했을 수 있고, 이미 다른 곳으로 악성코드가 옮겨갔을 가능성이 높다.”

 

“군부대도 순환정전 대상인가?”

큐브피아의 해명이 아니라도 9·15 정전 사태에는 몇 가지 풀리지 않는 의문점이 있다.

첫째, 사고가 난 뒤 한전은 전력거래소로부터 전력량이 부족하다는 보고를 받고 오후 3시부터 순환 정전을 실시했다고 발표했다. 하지만 9월 15일 당일 스마트 폰의 트위터 상에는 순환 정전 이전부터 곳곳에서 정전이 됐다는 내용의 글들이 올라왔다. 강남에 사무실을 둔 A씨의 사례를 보자.

“9월 15일 오후 3시까지 사당에 있는 거래처를 방문하기로 했다. 그런데 2시가 조금 넘은 시간 남부순환도로에서 갑자기 신호등이 꺼졌다. 그 때가 2시 15분쯤이었다고 기억한다. 도로 주변 상점도 일부는 불이 꺼지고 일부는 불이 켜져 있었다. 무슨 일인가 해 스마트폰을 열어 트위터를 보니 이미 트위터 상에는 천안, 전주, 부산 등 전국의 여러 곳이 ‘정전’이 됐다는 글들이 올라와 있었다.”

한전 측은 정전은 여러 가지 다른 이유로도 충분히 일어날 수 있다며 “트위터에 올라왔다는 정전은 한전의 순환정전과 관계 없이 일어날 수 있다”고 말했다. 그러나 해킹 전문가들은 일부 지역의 정전 역시 악성코드를 이용해 충분히 원격조정이 가능한 일일 수 있다고 말했다.

둘째, 전력거래소가 발표한 오락가락한 예비전력 문제다. 정전 사태가 난 직후 전력거래소는 9월 15일 오후 단전 직전 예비전력이 343만kw였다고 발표했다. 규정에는 100만kw 밑으로 떨어져야 단전을 실시하게 돼 있다. “왜 서둘러 단전을 했느냐”는 의문이 제기되자 전력거래소는 예비전력이 “149만kw”였다고 말을 바꿨다. 9월 18일 최중경 지식경제부 장관은 국정감사에서 궁지에 몰리자 “단전 당일 실제 예비전력은 24만kw에 그쳤다”며 “전력거래소가 허위보고를 했다”고 말했다. 전력거래소 측은 “처음에 발표한 숫자는 모니터 상에 나타난 공급 예비전력이었고, 나중에 실제 예비전력을 발표하라는 요구가 빗발치자 수치를 바꿨다”고 말했다. 해킹 전문가들은 “한전과 연결된 어느 서버라도 악성 코드에 감염되면 예비전력량의 원격수치 조작은 얼마든지 가능하다”고 말했다.

9월 21일, 민주당 김영환 의원은 한전과 지경부가 9·15 정전 사태의 진상을 은폐한다는 의혹을 제기했다. 김 의원은 “9월 21일 전력거래소의 급전소를 방문해보니 9월 15일 정전 당시 예비전력 제로의 상황이 수십 분간 이어졌음을 확인했다”고 밝혔다.

“18일 최중경 장관은 24만kw로 발표했지만 이는 단순히 산술적인 수치일 뿐 정확한 상황은 주파수 대역대로 판단할 수밖에 없다. 정상 단계는 60Hz± 0.2이고 59.8Hz 이하로 내려갈 경우 예비전력 제로(0) 상황이다. 주파수를 확인한 결과 오후 2시13분부터 2시59분까지 약 46분 동안 예비전력이 제로였고, 이후에도 수 차례에 걸쳐 이 같은 상황이 벌어졌다. 전력거래소 실무자들의 순환정전 결정은 피할 수 없는 조치였다. 국가적 위기상황이었음이 분명했고 전력거래소 내부에서도 원인 규명이 안 됐다.”

최근 김 의원에게 당시 상황을 다시 물었더니 “전력거래소 내부자 제보를 받고 급하게 찾아가 확인했으며 예비전력 제로였던 게 틀림없다”고 말했다.

<월간중앙>은 전력거래소에 9월 15일의 상황을 집중적으로 추궁했다.

사고가 났던 9월 15일 오후 2시 이후 상황을 다시 말해 달라.

“이미 언론에 24만kw였다고 발표했다.”

전력 거래소의 예비전력량 발표는 계속 오락가락했다. 처음엔 343만kw라고 했다가 나중엔 149만kw라고 수정했다. 그리고 국감에서 최중경 장관은 전력거래소가 처음엔 허위보고를 했고, 실제 예비전력은 24만kw에 그쳤다고 말했다. 도대체 어떤 말이 맞나?

“예비전력량이 오락가락한 건 공급 예비전력량과 실제 예비전력량이 달랐기 때문이다. 처음에 다른 수치를 발표한 이유는 실제 예비전력이 아닌, 공급 예비전력을 기준으로 말했기 때문이다.”

24만kw는 예비전력 제로라는 말이다. 있을 수 있는 일인가?

“2001년 전력거래소가 생긴 이래 처음 있는 일이다. 그 전에 한전도 지금 전력거래소가 하는 일을 했지만 유례없는 일로 알고 있다.”


▎2003년 8월 최악의 정전사태를 맞은 뉴욕 시내 전경. 이 정전은 발전소 중앙제어 시스템이 ‘블래스터 웜 바이러스’에 감염 돼 발생했다.

정부 발표는 전력거래소가 수요예측을 잘못해서 났다고 했다. 그런데 갑자기 “있을 수 없는 일이 일어나” 순환정전을 할 수 밖에 없었다는 얘기인가?

“있을 수 없는 일 맞다. …우리도 예상하지 못했던 일이다.”

전력 수요, 예측 계산이 잘못됐다는 정부 발표는 뭔가?

“추석 연휴가 끝난 직후라 조업률도 예측 못했고, 늦더위가 그렇게 심할 줄도 몰랐다. 갑자기 벌어진 상황에서 수요 증가를 예상 못했기 때문에 일어난 일로 알고 있다.”

명절이 올해만 있었던 것도 아니고 게다가 늦더위라지만 폭염이 온 것도 아니었다. 국가의 전력을 관리하는 기관이 이런 어처구니없는 실수를 한다는 것 자체가 납득이 잘 안 된다. 해킹의 가능성을 내부적으로 철저하게 조사했는지 궁금하다.

“가능성은 열어 두었지만 내부적으로는 해킹이 아니라고 결론 내렸다.”

<월간중앙>이 “해킹이 아니었다는 근거를 제시해 달라”고 요구하자 전력거래소, 한전 양측 모두 명확한 근거는 내놓지 않았다. 한전 관계자는 “이미 결정된 일인데 해킹 가능성으로 몰고 가면 더 이상 취재에 응하지 않겠다”고 말했다.

셋째, 순환정전의 대상 문제다. 한전의 순환정전 조치로 주요 국가시설인 군부대에서도 정전사태가 생겼다. 육군 부대 116개 곳, 공군 8개 곳, 모두 124곳이다. 특히 이 가운데는 강원도 22사단이 관리하는 최전방 초소와 전라남도 31사단, 해안 데이터 기지도 정전됐다. 또 수도방위 사령부 일부 건물과 76사단 사령부 일부 건물 등 군 부대 핵심 지휘소가 정전됐다. 군 부대 시설은 순환정전 대상에서 포함돼서는 안될 중요 국가시설이다. 매뉴얼을 무시하면서까지 왜 순환정전을 시켰을까? 이 질문에 한전은 노 코멘트로 일관했다.

9·15 한전 정전사고에는 수 많은 이해 관계가 얽혀 있다. 해당 기관과 전력거래소, 지식경제부와 한전의 보안을 책임지는 국정원까지. 한전 정전 사태가 벌어진 직후 지식경제부와 한전, 전력거래소 등은 서로 책임을 떠넘기면서 우왕좌왕했다. 당시 한 일간지는 ‘지경부가 정전사태를 조직적으로 은폐했다’는 제목의 기사를 싣기도 했다. 지경부가 “전력거래소가 전기를 끊기 전에 사전통보를 받지 못했다, 전력거래소가 ‘선(단전)조치, 후 보고’를 했다”고 말하자 전력거래소 이사장은 “단전 직전 지경 부에 보고했다”고 상반된 입장을 보였으며, 책임론이 제기되자 지경부가 뒤늦게 말 맞추기를 시도하려 했다는 내용이다.

모니터 상으로 보면 한 눈에 알 수 있는 예비전력량을 허위로 보고했다는 자체도 납득하기 힘들뿐더러, 서로 책임을 떠 안기려는 관계기관들도 문제다. 이들의 이해득실에 가려져 진실 규명이 제대로 안 된다면 비슷한 국가적 손실과 안보 위협을 막을 길이 없다.

“99곳 막아도 한 곳 뚫리면 소용없어”

9·15 정전사태 이후 국내에는 세 건의 대형 정전사고가 잇달아 일어났다. 12월 6일에는 울산석유화학공단 일대가 정전사고로 발칵 뒤집혔고, 이틀 후인 8일에도 울산화력발전소 일부 설비가 고장 나 가동이 멈춰섰다. 울산석유화학공단 정전사고를 처음 접한 곳은 신울산전력소에 설치된 용연변전소의 원격제어조정실이었다. 용연변전소에는 근무자가 없으며, 컴퓨터 회로망을 통해 원격조정하게 돼있다. 3인 1조로 근무하는 원격조정팀에서 용연변전소에 전류가 끊긴 사실을 확인한 후 정비·송전팀에 연락해 40여 분 만에 복구했다고 한다. 이 정전사태로 인해 이 선로에서 전기를 공급받는 울산석유화학공단 내 446개 업체에 전기 공급이 중단됐고 10여 개의 석유화학 기업의 생산라인이 마비됐다. 한전은 피해액이 약 200억원에 이른다고 발표했다. 두 번이나 잇따라 정전사태가 발생한 울산화력발전소 사고는 발전기 터빈에서 갑자기 진동 수치가 높아져 가동이 멈췄다고 밝혔지만 정확한 원인은 아직 밝혀지지 않았다.

최근 몇 년 사이 주요 국가기관과 기업의 해킹 사례도 부쩍 늘었다. 일명 ‘77 디도스’는 2009년 7월 7일 사흘간 일어난 해킹사건으로 청와대를 비롯해 공공기관 홈페이지와 군사 홈페이지를 타깃으로 엄청나게 많은 좀비PC를 통해 대량 데이터를 보내 공격한 사례다. 국가기관들은 3~4일간 속수무책으로 당해야 했다.

디도스 공격이란 수십~수백만 대의 PC를 원격조종해 특정 웹사이트에 동시에 접속, 단 시간 내에 과부하를 일으키는 행위다. 하루에 수십 대의 차량이 통과하리라 예상하고 만든 한적한 2차선 도로에 갑자기 수천~수만 대의 차량이 한꺼번에 나타나는 격이다.

2011년 3월 4일에도 청와대와 국정원 등 주요 정부 기관을 공격하는 디도스 공격이 있었다. 7·7 디도스의 악성 코드와 패턴이 거의 비슷했다. 경찰청 사이버테러 대응센터는 “정부가 그동안 대비를 했기 때문에 7·7 디도스 때보다는 파괴력이 떨어졌지만 대신 악성코드가 진화했다”고 말했다.


▎우리나라를 대상으로 한 북한의 사이버 공격 가능성은 매우 높고 국가안보를 크게 위협하는 주체다.

이 밖에 지난 한해 동안 현대캐피탈의 고객정보 유출을 비롯해, 농협의 전산장애에 이어 리딩투자증권, 나이스정보통신, SK커뮤니케이션즈의 네이트 회원정보 유출 같은 해킹 사고가 잇따라 벌어졌다.

한국인터넷진흥원(KISA)은 2011년 1월에서 10월까지 악성 코드 피해신고는 1만8647건, 해킹 사고만 9659건에 달한다고 발표했다. 2010년의 경우 악성코드 신고는 1만7930건, 해킹 사고는 1만6295건이었다.

한 보안업계 관계자는 “파악된 수치가 그 정도니 실제 우리 생활에서 일어나는 해킹은 그보다 훨씬 많을 것”이라며 “이제 해킹 없는 청정 지역을 만들기는 사실상 불가능하다”고 말했다. 그는 “100곳의 해킹 중 99개를 막는다고 해도 한곳이 뚫리면 아무런 소용이 없기 때문에 얼마나 빨리 발견하느냐가 관건”이라고 설명했다.

 

해커들은 어떻게 공격하나

2003년 8월 14일 미국 뉴욕에서는 최악의 정전사태를 맞아 시민들이 고립된 적이 있다. 지하철이 멈추고, 신호등은 마비됐으며, 교통대란으로 곳곳에서 사고가 발생했다. 휴대전화는 불통이 됐으며 냉장고가 돌지 않아 음식은 썩어나갔다. 수천 명의 시민이 에어컨이 가동되지 않는 지하철 속에 갇혀 더위와 암흑 속에 떨어야 했다. 미국 북동지역과 캐나다 온타리오 지방의 갑작스러운 정전으로 시작된 재난은 미국과 캐나다 전역으로 퍼졌다. 캐나다 항공사의 예약 시스템이 마비됐으며 23개의 기차가 멈춰서고 군사 시설이 다운됐다. 미국과 캐나다 시민 5000만 명이 정전으로 고립됐으며, 두 나라의 경제적 손실은 약 60억 달러에 달했다.

이 정전 사태의 원인을 두고 미국 정부는 “송전선에 걸린 나뭇가지 때문”이라고 발표했다. 하지만 추후 결정적 원인은 치명적 웜 바이러스인 ‘블래스터’였던것으로 밝혀졌다. 웜 바이러스는 디스켓이나 메일에 업혀 바이러스를 퍼뜨리지 않고 인터넷을 통해 스스로 길을 찾아다니면서 바이러스를 퍼뜨린다. 해커들이 발전소에 이 바이러스를 퍼뜨린 것이다.

취재 중 만난 한 해커는 “e-메일이나 USB를 통해 퍼뜨리는 해킹은 이미 옛말이 됐다. 방어벽 때문에 밖에서 안으로 들어오긴 힘들다 해도 모든 기관은 내부에서 인터넷을 사용하기 때문에 그 정보들이 안팎으로 교류되면서 해커들은 내부로 들어가는 연결 망을 찾아낸다”고 설명했다.

3500만 명의 개인정보가 유출된 SK커뮤니케이션의 네이트 회원정보 유출은 ‘알약’ ‘알집’ ‘알쇼’ 등 국산 소프트웨어(SW)로 잘 알려진 인터넷 보안업체 이스트소프트의 서버가 악성 코드에 감염되면서 일어난 해킹 사건이었다. 해커가 SK커뮤니케이션 사이트를 직접 공격하지 않고도 이스트소프트의 알툴즈 공개 프로그램 업데이트 서버에 침투해 악성코드를 심었고, SK커뮤니케이션즈 내부 직원이 이스트소프트 제품을 업데이트 하면서 내부 직원 PC가 원격조종되는 ‘좀비PC’가 돼버렸다.

이런 해커들의 침투는 스카다(SCADA) 시스템으로 운영되는 국가의 주요 기반시설까지 노린다. 스카다는 수력, 댐, 도로교통, 발전소 등 국가 주요 망을 관리하는 시스템으로 사람이 수동적으로 관리하지 않고 시스템으로 원격조정되는 사이버 시스템이다. 대부분 국가에서는 주요 국가 기반시설에 이 스카다 시스템을 쓴다. 앞서 사례를 들었던 전력거래소와 한전 역시 이 시스템으로 운영된다.

사람이 일일이 수동으로 조정하지 않고 버튼 하나만으로도 전 시스템을 조정하는 게 스카다 시스템의 가장 큰 장점이다. 하지만 이 편리한 원격조정 시스템은 동시에 무시무시한 단점이기도 한다. 원격조정되기 때문에 한곳만 뚫려도 모든 시스템이 한 순간에 장악당하는 맹점이 있다. 스카다 시스템을 쓰는 기관은 대부분 국가 주요 기관 시설이라 해킹을 당했을 때 그 피해규모는 상상을 방불케 한다.

실제 2008년 폴란드 우츠시에서 일어난 열차 충돌사고는 14살의 청소년이 TV 리모컨을 이용해 일으킨 해킹 사고였다. 그 소년은 오랫동안 전차 운행시스템을 연구해왔고 리모콘을 이용해 이 시스템을 교란시켜 실제 충돌사고를 일으키는 믿지 못할 일을 벌였다. 당시 폴란드 언론은 “비누 총으로 비행기를 납치한 것처럼 놀라운 일”이라고 말했다. 실제 세계 곳곳에서는 상상할 수 없는 사이버 테러가 일어나고 있다.

스카다 시스템이 더 이상 안전하지 않다는 건 국제 해킹보안 컨퍼런스 ‘POC2011’에서도 발표됐다. 지난해 11월 4일 이 행사에서 이스라엘 해커 야니브 미론(Yaniv Miron)은 “SCADA Dismal, or Bang SCADA’라는 주제로 충격적인 내용의 보고서를 발표했다.

그는 당시 이 행사에 참석한 국내 언론 <데일리시큐>와의 인터뷰에서 “이번 발표는 스카다 시스템이 처한 주요 위협을 다뤘다. 이 문제는 수력 발전, 원자력 발전, 공장, 시스템, 군 무기 시스템 등에 영향을 끼칠 수 있는 위협”이라고 말했다.

그는 “일반적으로 스카다 시스템은 외부와 분리돼 있어서 해킹에 안전하다고 생각하지만 그것은 잘못된 생각”이라며 “악의적인 공격자가 시스템에 의도하지 않은 명령을 내릴 때는 인증도 필요없고 아이디 패스워드도 필요없다. 단지 네트워크 IP 주소만 알면 공격이 가능하다”고 설명했다.

“스카다 시스템은 외부와 차단된 시스템이지만 실제로 대부분 관리자는 일반 윈도우 PC와 스카다 시스템을 작은 터미널로 연결해서 사용한다. 당연히 일반 PC는 인터넷이 가능하다. 관리자가 웹서핑이나 인터넷 연결을 하게 되는 과정에서 바이러스 감염이 이루어지고 윈도우 시스템이 감염됨과 동시에 스카다 시스템까지 감염이 될 수 있다.”

더구나 현재 우리 스카다 시스템의 보안 레벨이 10년 전 수준 그대로여서 더 큰 문제라는 지적도 있다. 대부분 예전에 제작되거나 도입한 시스템이기 때문이다. 국내 원자력발전소를 비롯해 스카다 시스템을 사용하는 모든 기간 망을 일체 정비할 필요가 있다는 말이다.

선관위 디도스 공격,

풀리지 않은 의문


최근 해킹에서 나타나는 또 하나의 추세는 정치적 목적을 가지고 특정 홈페이지를 해킹하거나 공격하는 핵티비즘(Hacktivism)이다. 핵티비즘은 해커(haker)와 행동주의(activism)의 합성어로 정치·사회적 목적을 위해 정부나 기업·기관 등의 인터넷 웹 사이트를 해킹하거나 파괴하는 행위를 가리키는 말이다.


▎10·26 선관위 디도스 해킹 공격에 사용됐던 압수품.

지난해 12월 4일 예비 러시아 대통령 블라드미르 푸틴이 이끄는 ‘통합 러시아당’이 총선에서 과반수가 넘는 의석을 확보했지만 부정선거 의혹을 받아 러시아에서 대규모 시위가 벌어졌다. 러시아 선거감시 기구인 골로스에 따르면 반정부 성향 언론사와 선거감시 기구가 디도스 공격을 받아 배후에 정부가 연결됐다는 의심을 받았다.

국내에서도 핵티비즘으로 의심받는 해킹 사건이 일어났다. 지난 10·26 서울시장 재·보선 날 이루어진 중앙선관위와 박원순 시장 후보 홈페이지에 가해진 디도스 공격이다. 10월 26일 오전 5시 50분부터 6시 52분까지 원순닷컴이 디도스 공격을 받았고, 6시 15분부터 8시 32분까지 선관위 홈페이지가 디도스 공격을 받았다. 경찰이 넘겨받은 선관위 로그 파일에 따르면 “디도스 공격 외에는 (다른 혐의를) 발견하지 못했다”고 했지만 전문가들의 입장은 다르다.

전문 해커 A씨는 “디도스 공격이 시작된 오전 6시부터 8시 반까지 선관위 홈페이지는 접속되고 자기 투표소를 찾으려고 주소를 입력하는 DB(데이터 베이스) 연동만 끊어졌다. 이는 홈페이지를 공격하는 디도스 공격이 아니라 내부 IP를 알고 들어와야 하는 다른 해킹 방법”이라고 의혹을 제기했다.

IP를 알려면 내부자가 연루됐거나 선관위의 방어벽을 뚫을 만한 전문 해커들이 있어야 가능한 일이다. 하지만 구속된 세 명은 도박 사이트를 운영했을 뿐으로 해킹 전문가들에 따르면 ‘준 전문가’에 해당된다. 준 전문가들은 홈페이지를 건드리지 않으면서 그 안의 일부만 뚫는 데는 한계가 있다고 한다. 전문 해커들은 자기 흔적을 남기지 않는데 이번에 잡힌 사람들은 본인 PC에 흔적을 남긴 점도 프로가 아니라는 사실을 입증한 셈이라고 했다.

그러나 경찰 관계자는 “디도스 공격만으로도 웹사이트 일부 기능에 장애가 올 수 있다”면서 “선관위 내부자 수사와 다른 해킹 가능성을 조사했지만 별다른 혐의점을 발견하지 못했다”고 말했다. 윗선 개입 여부의 혐의점을 두고도 경찰은 “한나라당 최구식 의원의 비서 공 모씨가 고향 후배 강 모씨와 윗 선의 개입 없이 단독으로 주도한 것이고 디도스 공격과 관련해 금품 거래는 없었다”고 수사 결과를 발표했다. 하지만 경찰 발표 5일 만에 부실 수사 논란이 일었다. 사건 전날 함께 술 자리에 있었던 박희태 국회의장 비서 김 씨가 최 의원 비서 공모 씨에게 두 차례에 걸쳐 모두 1억여 원 상당의 돈을 송금한 사실이 밝혀졌기 때문이다. 이로써 윗선 개입 여부가 다시 도마 위에 오르게 됐다. 총선과 대선이 코앞에 닥친 국내에서도 더 이상 핵티비즘으로부터 안전지대가 아님을 입증한 셈이다.

 

“사이버 교전에서 북한 의심되는 상대 만나기도”

“기업이나 기관의 의뢰를 받고 침투 진단 서비스를 하다 보면 가끔 상대 해커와 만나기도 한다. 이때 북한 쪽으로 의심되는 상대를 만나기도 한다. 한마디로 휴전선 최전방에서 북한군과 마주치는 격이다. 이른바 사이버 교전이다. 땅과 하늘에서 탱크와 비행기로 싸우지 않고 사이버 상에서 북한군과 싸운다.”

한 해커의 말이다. 한전 고창전력시험센터의 악성코드도 그 원산지가 중국임이 밝혀졌다. 전문가들의 말을 종합해보면 주로 한국으로 들어오는 공격자들은 대부분 중국을 경유할 가능성이 높다. 사이버 공격은 공격 진원지를 은닉하려고 다수의 중간 경유지를 사용해 공격 주체를 특정하기 곤란하지만 당국은 중국을 경유하는 대부분의 공격자가 사실은 ‘북한’일지 모른다는 가능성을 열어둔다. 7·7 디도스 공격도 당국은 공격 근원지가 북한체신성이 중국에서 사용하는 IP라는 사실을 밝혀냈다. 3·4 디도스 공격도 그것과 패턴이 거의 흡사했다.

국정원 관계자는 “7·7디도스 공격, 3·4 디도스 공격, 4·12 농협 사태의 공격 주체가 북한 소행으로 밝혀졌다”며 “우리나라를 대상으로 한 북한의 사이버 공격 가능성은 매우 높고 국가 안보를 크게 위협하는 주체”라고 말했다.

글로벌 보안기업 시만텍에 의하면 2011년 사이버 공격을 경험한 기업은 71%으로, 그중 공격 빈도가 증가했다는 기업은 21%, 사이버 공격으로 피해를 입었다는 기업은 92%로 나타났다. 그 가운데 보안사고의 84%가 금전적 피해를 입었다고 발표했다.

한국인터넷진흥연구원(KISA)의 해킹 대응팀 전길수 팀장은 “전 세계적으로 악성코드는 폭발적으로 증가한다. 수년 전만 해도 몇 백만 건이던 게 지난해 몇 억 건으로 폭발적으로 증가했다”며 “통계 자체가 무의미할 정도다”고 말했다.

전 팀장은 “해커 기술 못지 않게 보안·방어 기능도 발달하고 있지만 보안은 어느 쪽이 뚫릴지 몰라 전 방위적으로 체크해야 하는 부분인 반면 해킹은 타깃을 정해 공격하기 때문에 100% 막기가 힘들다”고 말했다.

롯데정보통신 보안컨설팅팀의 김계근 팀장은 “IT기술이 발달하면서 자연스럽게 해킹 기술도 발달하고, 여기에 대응하는 보안 기술도 발달한다. 보안업체들은 자체적으로 모의 해킹 인력을 두고 있지만 해킹 기술을 모두 따라잡긴 역부족인 게 사실”이라고 말했다.

취재 중에 만난 한 해커의 말은 이를 뒷받침한다.

“해커들은 투명인간이나 외계인이다. 이들을 잡으려면 고스트 버스터를 불러야 하는데 우리는 총 쏘는 군인을 불러다 싸우는 격이다. 해커들이 어떤 대상을 공격할 때는 이미 내부 정보를 다 훑고 공격한다. 해커들은 어디가 약하고 어디를 뚫어야 하고 어떤 소프트웨어를 쓰는지 다 파악하고 들어간다. 침투해서 몇 초 만에 나와야 하는지 가상 훈련까지 하니 웬만한 보안 시스템은 다 뚫는다고 보면 된다.”

수준 높은 보안 인력들을 키우려면 국가는 ‘화이트 해커’(White Hacker·순수하게 공부나 학업을 목적으로 해킹하는 사람)를 양성할 필요가 있다.

보안전문업체인 소프트포럼의 김재원 과장은 “요즘엔 온라인으로 해킹 프로그램이 공공연히 유통될 정도로 심각하다. 이런 프로그램들이 중국 블랙마킷에서 유통되면서 국가 안보를 위협하는 수준까지 올라와있다”며 “미국 같은 경우는 시민권까지 주면서 화이트 해커들을 양성하는데 우리도 화이트 해커들의 보상 체제를 연구해 블랙해커에 대응해야 한다”고 말했다.

소프트포럼은 2008년부터 매년 ‘코드게이트’라는 국제해킹방어대회를 개최하고 있다. 이 행사를 기획한 김 과장은 “유능한 해커들을 발굴한다는 취지도 있지만 언더그라운드에 있는 해커들을 끌어내 놀이터를 만들어주고 그들이 합법적 공간에서 최대한의 능력을 발휘할 수 있는 기회를 주기 위한 목적으로 만들었다”고 말했다.

국정원은 갈수록 지능화되는 해커에 대응하려고 지난해 12월부터 국가사이버안전센터(NCSC)내에 민관군 합동 대응팀을 구성해 운영한다. 하지만 얼마나 실효를 거둘지는 의문이다. 지난해 9월 한나라당 한선교 의원은 “정부의 디도스 감지 능력이 네트워크 용량의 3.2%뿐”이라고 지적했다. 한 의원은 “KISA가 자료에 따르면 우리나라 인터넷 서비스 총 네트워크 용량인 약 5.5 테라비트(Tbps) 중 정부가 디도스 공격을 탐지할 수 있는 용량은 이 중 3.2%에 해당하는 160기가비트(Gbps)에 불과하다”고 설명했다. 해킹 기술은 갈수록 늘고 국가의 감시기능은 여전히 제자리걸음이라는 사실을 보여주는 사례다.

주요 국가 기반시설에 단 1%의 해킹 가능성만 있어도 철저한 원인 규명을 해야 한다고 전문가들은 지적한다. 해킹은 우리의 상상을 초월해 지금도 도처에서 이루어지며 국가 안보를 위협하는 절체절명의 사안이기 때문이다.

201201호 (2012.01.01)
목차보기
  • 금주의 베스트 기사
이전 1 / 2 다음