북한이 범인이면 모두가 행복하다

조작 가능한 IP주소 외에 ‘북한 소행’ 증거 없는 농협 해킹…검찰 발표로 농협은 희생자 이미지, IBM은 소송위기 탈출, 국정원은 민간 전산시스템 접근 기회 노려

검찰이 농협 해킹의 주범으로 북한을 지목하면서 농협은 해킹을 당한 책임의 부담을 덜게 됐다. 서울중앙지검 첨단범죄수사2부 김영대 부장검사가 지난 5월3일 농협 전산망 장애에 대한 수사 결과를 발표하고 있다. 한겨레 이종근

#1. 최원병 농협 회장은 해킹과 관련해 지난 4월14일 국민에게 머리를 숙였다. 최 회장은 “대한민국 최고의 공신력을 자랑하는 농협에서 이처럼 불미스러운 일이 발생하여 3천만 고객 여러분께 큰 불편과 실망을 드린 점 다시 한번 머리 숙여 깊이 사과드리는 바입니다”라고 밝혔다.

#2. 사고 다음날부터 수사에 들어간 검찰은 해킹이 북한 소행이라고 결론 내렸다. 서울중앙지검 첨단범죄수사2부(부장 김영대)는 5월3일 “2009년 7·7, 올해 3·4 디도스(DDos·분산서비스거부) 공격을 한 집단과 동일 집단이 치밀하게 준비해 실행한 것으로서, 북한이 관여된 초유의 사이버 테러”라고 규정했다. 농협 서버 관리업체인 한국IBM 직원의 노트북이 지난해 9월 북한 정찰총국이 배포한 악성코드에 감염돼 좀비 PC가 됐고, 북한이 이 노트북을 나중에 원격 조종해 농협 전산망을 공격했다고 검찰은 밝혔다. 그 근거로 3·4 디도스 공격에 사용된 인터넷 프로토콜(IP) 주소가 이번에도 사용된 점을 들었다.

농협은 피해보상 책임도 줄어

해킹으로 망가진 농협 전산망은 사건 발생 18일이 지난 4월30일에 정상화됐다. 며칠 뒤 검찰이 사고 원인으로 북한을 지목하며 사건은 일단락됐다. 농협 전산망 관리 분야에서 오랫동안 일한 관계자는 “북한 소행으로 결론 나면서 (피해 고객을 제외한) 모든 관계자가 행복한 상황이 됐다”고 말했다.

농협은 허술한 보안관리로 고객에게 집단소송을 당하는 등 심각한 위기에 처할 수도 있었다. 하지만 북한의 사이버 테러라는 검찰의 규정으로 급격한 추락은 피할 수 있었다. 농협 관계자는 “내부자 소행 또는 내·외부자 공모 등의 의혹이 나돌았는데, 만약 그것이 사실이었다면 회사의 명예가 곤두박질쳤을 것”이라며 “북한 소행으로 발표돼 모두 안도했다”고 말했다. ‘해킹을 못 막는 금융기관’에서 ‘북한 테러의 희생자’로 이미지가 바뀌었다는 안도인 셈이다. 게다가 고객 피해 책임에서도 한발 비켜설 수 있게 됐다. 한 변호사는 “검찰 발표로 농협이 관리 소홀의 책임이 있기는 하지만 불가항력적인 북한의 테러가 주된 원인이 돼버렸다”며 “북한 쪽 소행이 더 커 피해 보상 책임이 줄어들 수 있게 된 것”이라고 말했다.

농협은 검찰 조사 결과 최고 보안등급 비밀번호를 수개월간 바꾸지 않는 등 허술하게 전산망을 관리한 것으로 드러났다. 최원병 농협 회장(가운데)이 4월14일 해킹과 관련해 대국민 사과문을 발표한 뒤 고개를 숙이고 있다. 한겨레 이정우

이렇게 되자 한때 책임 공방을 벌인 한국IBM과의 갈등도 물밑으로 가라앉았다. 농협은 해킹 사건 발생 초기 해킹 사건의 책임을 두고 한국IBM을 상대로 한 법적 소송을 검토했다. 농협의 한 관계자는 “서버에서 문제가 발생한 것인데 당연히 이를 관리하는 IBM에 도의적인 것은 물론 법적 책임이 있는 것 아니냐”며 “IBM을 상대로 법무팀에서 소송을 고려했지만, 현재는 더 이상 검토하지 않는 것으로 알고 있다”고 말했다.

대신 보안시스템을 강화하기 위해 5100억원 규모의 투자 계획을 밝혔다. 농협은 2015년까지 최고 보안시스템과 최첨단 방화벽을 갖춘 정보기술(IT) 센터 신축과 최신 시스템 설치에 4천억원, 비상사태에 대비한 백업 및 재해복구 시스템 확대에 930억원, 기타 기반시설 확충에 170억원 등을 새로 투자할 계획이다. 또 정보보호 업무를 전담하는 최고정보보호책임자(CSO)를 두고 IT 인프라에 대한 상시 감시체제를 강화하는 등 보안 관련 조직을 대폭 확대하기로 했다.

이에 대해 농협의 한 하청업체 관계자는 “해킹 사건이 발생해 농협이 계획한 사이버 금융이나 보안 분야 등의 모든 투자가 멈췄다”며 “하지만 북한 소행으로 발표되고 일주일 지나 올 초 투자 계획보다 투자가 더 늘어나 하청업체를 비롯해 많은 관계자에게 도움이 되는 상황이 됐다”고 말했다.

국제 망신 면한 IMB 매출은 늘어

한국IBM에도 한때 위기로 점쳐진 해킹 사고는 오히려 기회가 됐다. 검찰 수사 당시 농협의 소송 제기에 대비해 맞대응을 고려했다. 국내 최대 로펌인 김앤장에 농협 소송을 대비해 수차례 자문했다. 하지만 농협이 소송 움직임을 멈추자 한국IBM도 자문을 중단한 것으로 알려졌다.

만약 농협이 소송을 제기했다면 큰 관심과 논란이 일 수밖에 없는 상황이었다. 한국IBM뿐만 아니라 IBM 본사 차원의 문제로 확대될 수 있기 때문이다. 국내는 물론 해외 보안 시장에서 ‘넘버1’ 자리를 차지하는 IBM이 해킹에 책임이 있다는 결론이 나올 경우 국제적 망신을 당하는 것은 물론 매출에도 큰 영향을 받을 수 있기 때문이다.

게다가 법정 다툼으로 진행돼 한국IBM이 결백을 주장하려고 당시 상황을 공개하거나 검찰의 조사 결과를 요청할 경우 민감한 상황이 전개될 수도 있다. 검찰이 “국가 보안상 공개가 곤란하다”며 비밀에 부친 ‘판도라의 상자’가 열릴 수도 있기 때문이다. 여기에 재판 과정에서 농협, 검찰, 국가정보원 등 관계기관의 발표 내용이 뒤집히거나 증거불충분으로 밝혀진다면 또 다른 파장이 일 수 있다. 이 때문에 한때 “농협이 소송을 제기하면 세계적인 관심사가 될 수 있다”는 전망이 나오기도 했다.

불안이 줄어든 대신 매출이 늘어났다. 농협이 보안시스템 강화를 위해 투자하겠다는 금액 중 상당액은 IBM에 돌아간다. 농협 관계자는 “비상사태에 대비한 백업 및 재해복구 시스템 확대 등의 목적으로 투자할 금액의 일부는 IBM의 장비와 서비스를 구입하는 데 쓰게 될 것”이라며 “해킹 사건에 책임이 있는 IBM으로부터 구입하고 싶지 않지만 그 분야에 대신할 다른 제품이 없다”고 말했다.

국정원은 이번 해킹을 민간 정보시스템에 접근할 수 있는 법안 마련의 기회로 삼고 있다. 국정원은 농협 전산시스템 파괴와 같은 사태의 재발을 막겠다며 ‘사이버안보 마스터플랜’을 7월까지 마련해 대통령에게 보고할 예정인 것으로 알려졌다. 마스터플랜에는 국정원이 현행법상 민간 분야에 관여할 수 없어 북한의 사이버 테러에 대응하기 어려우므로 대책 마련이 필요하다는 주장이 담겨 있는 것으로 알려졌다.

“중국의 IP 주소는 해커의 우회로”

농협 전산망 장애 사건 일지

또 국정원이 2008년 10월 공성진 당시 한나라당 의원과 함께 발의한 ‘국가 사이버위기 관리법’을 제정하자는 움직임도 있다. 이 법은 국정원장 직속으로 ‘국가사이버안전센터’를 두고(제4조 1항), 국정원장은 지원 요청을 받는 절차를 통해 사이버 공격에 신속하게 대응할 수 있도록 기술 지원 등 필요한 조치를 하며(제9조 3항), 국정원장은 사이버 공격 사고 조사 결과가 미흡하거나 국가 안보 및 이익에 중대한 영향을 끼친다고 판단되는 경우 직접 사고 조사를 할 수 있게(제10조 2항) 하고 있다. 아울러 금융기관 등 개인정보가 저장된 정보통신 기반시설에 국정원이 기술적 지원을 해서는 안 된다고 규정한 ‘정보통신기반보호법 제7조 3항’을 개정하는 방안도 고려 중이다. 국정원이 사이버 공격에 대응한다는 명분으로 금융기관과 포털 같은 민간 분야 전산시스템과 데이터베이스에도 접근할 수 있는 길을 열어주는 것이다.

이에 대해 야당은 국정원이 민간 분야도 통제하려는 것으로 의심하고 있다. 국회 정보위 민주당 간사인 최재성 의원은 “민간인 사찰 우려가 상존하는 상황에서 정보기관이 활동 편의를 위해 법률적 근거만 확보하려 하고 있다”고 비판했다.

시민단체도 마찬가지다. 장여경 진보네트워크센터 활동가는 “사이버 테러를 막기 위해 공적인 기구가 필요한 것은 인정할 수 있다”면서도 “하지만 국정원은 비밀 정보조직이어서 사후 감독이 안 돼 민간 영역에 대한 통제권까지 주면 국민의 기본권 침해 등 문제가 발생해도 이를 제어하기 힘들다”고 지적했다. 또 “국정원이 농협 해킹을 계기로 법원 허가 없이도 민간 분야 전산시스템에 접근할 수 있는 권한을 획득하는 수단으로 활용하려는 것 같다는 의심이 든다”며 “금융회사·통신업체·포털 등 민간 분야의 전산시스템에는 금융거래 내역은 물론 통화 내역과 전자우편 등 개인정보가 들어 있어 사생활 침해 및 민간인 사찰 목적으로 악용될 수도 있다”고 말했다.

한편 검찰 발표 이후에도 보안 전문가들은 북한 소행인지에 대해 의구심을 접지 않고 있다. 이름을 밝히지 말아달라는 보안 전문가는 “검찰의 발표를 봐도 북한 소행이라고 어떻게 단정지을 수 있는지 모르겠다”며 “IP 주소는 얼마든지 위조가 가능한데 어떻게 그것이 근거가 될 수 있느냐”라고 말했다. IP 주소는 집 주소와 비슷한 것으로 침입자의 위치가 공개된다. 하지만 해커들은 대부분 자신의 위치와 정보가 노출되는 것을 막으려고 경유지 ‘세탁’ 과정을 거친다. 또 다른 전문가는 “중국의 IP 주소는 보안이 취약해 해커들이 가장 많이 사용하는 우회로”라며 “중국이 전세계 IP의 60%를 차지하는 만큼 IP를 근거로 배후가 북한이라고 단정하는 것은 근거가 빈약하다”고 말했다. 반면에 서울중앙지검은 지난 6월8일 농협 서버에서 발견된 악성코드를 통해 침입한 IP 자료를 더 확보해 조사한 결과, 이미 북한의 소행으로 결론낸 예전 3·4 디도스와 7·7 디도스 때 발견한 것과 동일한 IP 10여 개를 추가로 확인했다고 밝혔다.

보안등급 두고 엇갈리는 진술

게다가 한국IBM에 책임이 있다는 의혹 제기도 나온다. 농협 전산망 관리 분야에서 일한 한 관계자는 “사고가 일어나기 사흘 전인 4월10일 농협 서버 교체 작업이 있었는데, 이때 IBM 직원이 작업할 수 있도록 보안등급을 한 단계 낮췄다”며 “당시 일한 사람들끼리는 ‘그때 작업한 것이 사고 원인이 아니었나’라는 얘기를 했다”고 말했다.

이에 대해 검찰과 농협은 모두 부인하고 있다. 검찰 관계자는 “그때 작업이 있기는 했지만 보안등급이 낮아지는 등의 일은 없었다”며 “하지만 2009년 9월 대규모 서버 교체 작업 때 투입된 외부 개발 인력이 1천 명이 손쉽게 작업할 수 있도록 보안 규정이 허물어진 뒤 그대로 유지돼 계속 보안등급이 낮은 상태였다”고 말했다. 농협 관계자는 아예 이런 사실을 부인했다. 이 관계자는 “그날 서버 교체 등의 작업은 아예 없었고, 이에 따라 보안등급 조정도 없었다”고 말했다.

이정훈 기자 ljh9242@hani.co.kr