뭔가 이상한 ‘사이버 공안정국’

일사불란하게 진행된 중국발 해킹사태… 누군가를 위해 ‘단순 바이러스 감염’ 부풀린 느낌

		일부 언론이 호들갑을 떤 중국발 해킹 사태는 왜 앞뒤가 맞지 않는가. 혹시 누군가를 위해 ‘단순 바이러스 감염’을 부추긴 ‘해킹 이벤트’는 아니었을까.

▣ 김재섭/ 한겨레 정보통신 전문기자 jskim@hani.co.kr

국회, 국방연구원, 원자력연구소, 공군대학 등 주요 국가기관 10곳에서 사용 중인 개인용 컴퓨터(PC) 211대가 해킹을 당했다고 난리다. 가 지난 7월13일부터 연일 엄청난 지면을 할애하며 분위기를 띄웠고, 다른 언론들이 뒤따랐다. 대부분 ‘정보당국 관계자’의 말을 빌리는 형태로 중국 국적의 해커 조직이 우리나라 주요 국가기관의 컴퓨터를 해킹해 중요 자료를 빼갔고, 주한미군사령부도 뚫렸다고 보도했다. 중국 인민해방군 소행인 것 같다는 분석을 내놔, 외교적인 문제로 비화시키기까지 했다.

호들갑 너무 떠는 것 아닌가?

반면 전문가들 사이에서는 국가기관의 PC 몇대에서 악성 바이러스가 발견된 것을 갖고 너무 호들갑을 떠는 것 아니냐는 지적이 일고 있다. 한 보안업체 관계자는 “띄워도 너무 띄웠다”며 “사이버 공안정국을 만드는 것 같다”고 말했다. 국민에게 컴퓨터 보안에 대한 경각심을 갖게 하는 것 이상의 ‘무언가’를 노린 것 같다는 지적도 나오고 있다.

지금까지 언론들이 ‘정보당국 관계자’의 말을 빌려 보도한 이번 국가기관 해킹 사태를 요약하면, 한국어를 할 줄 아는 중국 국적의 해커를 포함한 해커 조직이 정보 유출을 돕는 기능을 가진 변종 피프(Peep)와 변종 리백(Revacc) 바이러스를 만들어 전자우편의 첨부파일에 숨겨 해킹을 당한 곳으로 지목된 국가기관 직원들에게 지속적으로 보내 감염되게 한 뒤, 미리 해킹해놓은 민간기업의 컴퓨터를 경유지로 삼아 바이러스에 감염된 PC에 담긴 자료를 빼냈다는 것이다.

보통 컴퓨터 해킹 사건의 경우, 추적하는 데 몇주 내지 몇달이 걸리거나, 그나마도 대부분 추적에 실패한다. 하지만 우리나라 정보당국은 중국 정부의 협조도 없는 상태에서 며칠 사이에 해커의 신원과 중국 인민해방군 산하 대학의 재학생이라는 것까지 밝혀냈다. 게다가 비밀리에 조사하고 대책을 마련하는 관례를 깨고, 해킹을 당한 곳의 이름과 무엇을 하는 곳인지와 해커의 신원까지 소상히 공개했다.

따라서 이번 해킹 사태의 전모가 곧 밝혀지는가 싶었다. 하지만 그 뒤 하루도 지나지 않아, 인민해방군의 장벽에 막혀 수사가 더 진행되기 어렵다는 얘기가 ‘정보당국 관계자’의 입을 통해 나왔다. 동시에 국가사이버안전센터는 이번 해킹 사태와 관련한 보도자료를 내어 외교 문제를 일으킬 수 있으니 추측 보도를 자제해달라고 요청했다.

언론 보도로 한껏 고조되던 분위기가 다시 가라앉았다. 이번 국가기관 해킹 사태가 국민들에게 사이버 테러나 컴퓨터 보안에 대한 경각심을 갖게 한 것은 분명하다. 하지만 석연찮다. 무엇보다 사태가 불거진 때부터 가라앉기까지의 과정이 너무 일사불란하다는 느낌을 지울 수 없다. 무엇보다 정보당국의 주장대로 해킹으로 보기에는 앞뒤가 맞지 않는 부분이 너무 많다. 마치 한편의 쇼를 본 것 같은 느낌까지 든다.

국가사이버안전센터 관계자는 “정보를 빼내는 기능을 가진 바이러스를 국가기관 컴퓨터에 감염되게 했고, 민간기업 컴퓨터를 해킹해 정보를 빼내는 경유지로 활용했다”고 거듭 주장했다. 이 관계자는 “바이러스를 담은 이메일을 이들 기관의 직원에게 집중적이고 반복적으로 보내 클릭하게 하는 방법으로 컴퓨터에 감염되게 했다”며 “대규모 해커 조직이 벌인 것 같다”고 설명했다.

정말 국가기관을 겨냥했다면…

그러나 이 관계자는 해킹당한 민간기업 컴퓨터에 이들 국가기관 정보를 빼가는 경유지로 활용된 흔적이 있느냐는 질문에는 “확인해줄 수 없다”고 말했다. 다른 정부기관, 민간기업, 개인의 PC도 점검했는데 이번에 해킹당한 곳으로 지목된 국가기관들에서만 바이러스가 발견됐느냐는 질문에는 “정부가 민간기업과 개인의 컴퓨터를 어떻게 점검하겠느냐”고 되물었다.

이 관계자의 설명대로라면, 이들 국가기관이 해킹 피해를 당했다고 보기 어렵다. 이들 기관의 PC 사용자 가운데 일부가 전자우편을 통해 퍼지는 바이러스에 대비하지 않아 PC에 변종 피프와 리백 바이러스를 감염시킨 것에 지나지 않는다.

해킹 피해를 입은 게 되려면, 민간기업과 개인 PC까지 점검했는데 유독 이들 기관 PC에서만 바이러스가 발견됐어야 한다. 그렇지 않으면 바이러스 제작자가 인터넷에서 무작위로 수집한 전자우편 주소로 바이러스를 숨긴 첨부파일을 단 이메일을 보냈고, 그 가운데 일부가 이번에 해킹 피해를 당한 곳으로 지목된 PC 사용자에게 전달돼 감염됐다는 분석이 더 자연스럽다. 이 경우, 이들 국가기관은 해킹 공격을 받은 게 아니라, 직원들이 컴퓨터를 사용하면서 바이러스 같은 악성코드에 대비하는 자세를 갖지 않아 감염된 것으로 볼 수 있다.

정보당국의 설명과 언론의 보도대로, 해커가 우리나라 주요 국가기관을 겨냥해 해킹 공격을 했다면 문제는 훨씬 심각해진다. 해커가 이들 기관 직원의 전자우편 주소를 미리 수집했다는 얘기가 되기 때문이다. 이 경우, 해커가 이들 기관 직원의 다른 인적사항을 갖고 있다는 추측도 가능해진다.

민간기업 컴퓨터를 해킹해 정보를 빼내는 경유지로 활용했다는 주장도 분명하지 않다. 이 주장이 설득력을 가지려면, 해킹당한 민간기업 컴퓨터와 바이러스에 감염된 국가기관 PC 사이의 연관성을 보여주는 자료를 공개해야 한다. 하지만 이 부분에 대해 정보당국은 “확인해줄 수 없다”고 발을 빼고 있다.

기업, 정부기관, 대학 등의 홈페이지 서버, 초·중·고등학교의 실습실 컴퓨터, PC방 컴퓨터 등이 해커들의 경유지로 활용되고 있다는 사실은 어제오늘의 일이 아니다. 2002년에는 경찰청이 주요 대학과 국책연구기관 컴퓨터가 해킹된 것으로 드러났다고 발표했고, 그 전에는 보안업체가 2천여대의 컴퓨터가 해킹에 무방비 상태인 게 확인됐다는 자료를 낸 바 있다.

이들 컴퓨터가 대부분 방화벽 밖에 놓인데다, 초고속 인터넷에 연결돼 있는 탓이다. 해킹 얘기가 불거질 때마다 뚫린 곳으로 지목돼온 대학의 전산담당자는 “홈페이지 서버를 방화벽 안에 두면 접속 속도가 떨어져 이용자들이 불만을 제기한다”며 “방화벽 밖에 두다 보니, 대문 밖에 둔 벤치처럼 누구나 앉았다 갈 수 있다”고 말했다.

전문가들은, 해커들이 백신 프로그램에 검색되지 않는 바이러스를 개발해 사용하는 치밀함까지 보였다는 정보당국쪽 설명에도 의문을 제기한다. 바이러스는 컴퓨터에 감염된 뒤 피해를 일으켜 백신업체에 신고돼야 분석과 백신 개발 과정을 거친다. 한 보안업체 관계자는 “백신으로 검색되는 바이러스는 극히 일부에 불과하다”며 “백신 프로그램으로 검색되지 않는다는 것은 아직 피해를 일으키지 않았다는 것과 같은 뜻”이라고 설명했다.

커지는 ‘해킹 이벤트’의혹

정보당국의 설명은 물론 언론의 보도도 이런 기초적인 것까지 간과하고 있다.

따라서 정보당국이 다른 무엇인가를 위해 ‘해킹 이벤트’를 벌인 것 아니냐는 의혹도 제기되고 있다. 때맞춰, 국정원이 사이버 테러를 담당할 과학기술차장을 신설하는 쪽으로 조직을 개편하기로 하고, 청와대 등 관련기관의 의견을 수렴하고 있는 것으로 알려져, 이벤트 의혹을 키우고 있다.

주요 국가기관이 해킹에 뚫렸다고 하면서 관련자 문책 얘기가 없는 것도, 이번 해킹 사태가 과장됐을 가능성을 엿보게 한다. 주요 국가기관에 대한 보안 책임은 국정원에서 지고 있다. 국가사이버안전센터 관계자는 이런 지적에 대해 “서버는 공격을 받지 않았다”고 선을 그었다.

이처럼 이번 해킹 사태는 명쾌함보다 의문점을 더 많이 갖고 있다. 경찰 수사로 해소될 수 있을지 의문이다.