지난 3월20일, 국내 주요 방송사와 금융사들이 사이버테러를 당해 시스템이 일제히 마비되는 사태를 겪었다. 이날 오후 2시경부터 KBS와 MBC, YTN, 농협과 신한은행 등의 내부 전산망이 일제히 마비되면서 큰 혼란이 일어났다. 경찰은 동시다발적으로 비슷한 기관에서 전산망이 마비된 만큼 사이버 테러일 가능성이 큰 것으로 보고 수사에 착수했다. 방송통신위원회는 “사이버 위협 합동대응팀이 채증한 악성코드를 분석한 결과 업데이트관리서버(PMS)를 통해 악성코드가 유포된 것으로 추정된다”고 밝혔다.
일부 방송사, 금융사 일제히 전산마비
3월20일 오후 2시~2시20분쯤 KBS, MBC, YTN과 신한, 농협, 제주은행, NH생명보험, NH손해보험 등의 전산망에서 장애가 발생했다. KBS 관계자는 “오후 2시쯤부터 본사 사옥 내 컴퓨터 수백 대의 전원이 일제히 꺼졌고 재부팅을 시도하자 ‘부팅 파일이 삭제됐다’는 메시지와 함께 부팅이 되지 않았다”고 말했다.
MBC 관계자는 “오후 2시10분쯤 화면이 갑자기 검게 변하더니 컴퓨터가 작동을 멈췄다”며 “다시 부팅하려 해도 되지 않았다”고 전했다. YTN도 비슷한 시간대부터 전산 장애를 겪었다. 방송사들은 전산망이 접속되지 않아 기사 송고 등에 차질을 빚었다.
일부 금융권에서도 전산 장애가 일어나 영업점 창구 업무는 물론 현금자동입출금기(ATM), 인터넷, 스마트 뱅킹 이용 등에 큰 차질이 빚어졌다. 농협 관계자는 “오후 2시쯤 일부 직원의 개인 컴퓨터 화면이 까맣게 변했으나 본사 메인 서버가 공격당한 것은 아닌 것으로 파악했다”며 “오후 2시15분 전 영업점의 랜선을 뽑도록 한 뒤 오후 3시50분쯤 업무를 재개했다”고 말했다. 신한은행은 오후 4시쯤 전산망이 복구됐다.
경찰청 사이버테러대응센터에는 오후 2시20분을 기점으로 전산망 장애 신고가 일제히 접수됐다. 경찰 관계자는 “경찰청과 서울경찰청 사이버센터 수사관 4명을 1개조로 각 회사에 보내 상황을 파악했다”이라면서 “로그 기록을 봐야 하기 때문에 북한의 사이버 테러 여부를 단정할 수는 없다”고 말했다.
한편 국가정보통신망과 군 전산망에는 이상이 없는 것으로 파악됐다. 정부는 이날 방통위, 행전안전부, 국방부, 국가정보원 등 10개 부처 담당관이 참석한 가운데 사이버위기 평가회의를 개최하고 사이버 위기 ‘주의’ 경보를 발령한 뒤 조사에 착수했다.
박근혜 대통령은 오후 김장수 국가안보실장 내정자로부터 관련 상황을 실시간으로 보고받고 대응을 지시했다. 김 행 청와대 대변인은 “박 대통령은 ‘우선 조속히 복구부터 하고 원인을 철저하게 파악해 대책을 강구하라’고 지시했다”고 전했다.
사상 초유의 전산마비 사태에 방송사들 ‘패닉’
내부 전산망이 마비된 방송사들은 일제히 혼란에 빠졌다. KBS, MBC, YTN 등 피해 방송사들은 이날 오후 내내 피해 상황을 파악하고 대책 마련에 분주했다. KBS, MBC, YTN에서는 갑작스럽게 사내 컴퓨터가 다운된 후 컴퓨터가 재부팅되지 않기 시작했다. 까맣게 된 화면에서는 ‘재부팅하라’는 영문 메시지가 떴지만 재부팅이 되지 않는 상황이 지속됐다.
해당 방송사들은 전산망 마비를 속보로 전하며 뉴스 특보를 편성, 피해 상황을 실시간으로 전했다. 그러나 업무를 보던 직원들은 갑작스런 전산망 마비에 일손을 놓고 망연자실했다. 일부 직원들이 허망한 표정으로 앉아 있거나 뉴스 특보를 주시했다. 급한 업무를 휴대전화로 처리하기도 했다.
해당 방송사들은 전산망이 마비되자 사내 방송을 통해 직원들에게 랜선을 빼고, 컴퓨터 전원을 끌 것을 지시했다. KBS는 자사 인터넷 홈페이지 접속도 차단했다. 당장 방송 차질은 빚어지지 않았지만 제작 준비 과정에서 차질이 빚어졌다. 라디오 방송은 음원을 인터넷으로 다운해 사용해야 하지만 인터넷 접속이 안돼 CD를 일일이 찾아서 써야 하는 불편을 겪었다.
MBC의 한 직원은 “직접적인 방송 제작을 제외하면 사실상 내부 업무가 마비된 상황이었다”며 “전산망 마비가 길어지다 보면 방송 제작에도 차질이 생길 것 같아 걱정했다”고 말했다.
아직까지 뚜렷한 원인은 파악되지 않고 있지만 KBS는 뉴스 특보를 통해 북한의 해킹 가능성을 언급했다. KBS 관계자는 “외부에서 의문의 코드가 들어온 것으로 추정하지만 정확한 원인을 파악하는 데 2시간 정도 걸릴 것으로 보인다”고 말했다.
한편 지상파 방송 3사 가운데 SBS는 별다른 피해를 보지 않았다. 그러나 SBS는 만약의 사태에 대비해 비상회의를 소집했고, 사내 방송을 통해 수상한 메일을 열지 말고, 문제가 감지되면 바로 신고할 것을 직원들에게 당부했다. SBS 관계자는 “MBC, KBS와 다른 전산망을 쓰고 있어 무사할 수 있었던 것 같다”고 전했다.
한편 이번에 사이버 공격을 받은 3만 2,000여대의 컴퓨터를 원래 상태로 되돌리는 것은 사실상 불가능할 것으로 보고 있다. 이번 해킹으로 피해를 입은 개별 PC는 저장장치인 하드디스크가 파괴됐기 때문에 다시 사용하려면 포맷(완전히 지우는 것)하고 새로 프로그램을 깔아야 하기 때문이다.
3월21일 업계에 따르면 방통위와 보안업계 관계자들은 일단 해킹당한 개별 PC의 데이터 복구는 어려울 것으로 보고 있다. PC의 부팅 영역만 문제가 있는 것이 아니라 하드디스크까지 완전히 손상됐기 때문이다.
한국인터넷진흥원(KISA)의 한 관계자는 “이렇게 시스템이 파괴되면 되살리기 어렵다”며 “전문가들이 데이터를 복구할 수도 있겠지만 그렇다고 해도 한두 시간에 해결될 문제가 아니다”라고 말했다.
복구가 안되면 차선책에는 하드디스크를 깨끗이 지우고 다시 설치하는 방법이 있다. 그러나 이 경우 데이터가 완전히 유실된다. 다만 방송사나 은행은 비즈니스 특성상 백업시스템을 잘 갖추고 있어 개별 PC에 저장한 중요 데이터가 완전히 손실되는 사태는 없을 것으로 업계에서는 보고 있다.
이런 복구 문제로 인해 방송사들은 뉴스와 라디오 등 생방송 프로그램 제작에 한동안 차질을 빚었다. KBS, MBC, YTN 등 피해 방송사 3곳의 전산망은 대부분 복구됐으나 손상된 개별 PC에 대한 복구 작업이 진행 중이라 업무가 완전히 정상화되기까지는 상당한 시간이 걸렸다.
은행은 이보다 빨리 전산망을 복구해 전날 대부분 업무가 정상화됐으나 일부 지점에서는 이튿날까지 업무에 차질을 빚었다.
軍, 정보작전 방호태세인 ‘인포콘’ 격상
경찰은 전산망이 마비된 원인을 분석하기 위해 전문 수사 인력을 파견한 뒤 원인 조사에 나섰다. 경찰은 북한을 포함한 외부 세력의 공격일 가능성이 높다고 보고 수사를 벌이고 있다.
경찰청 사이버테러대응센터는 3월20일 오후 해당 언론사와 금융기관의 전산망이 마비됐다는 신고를 받고 25명 규모의 수사전담반을 편성했다. 피해 기관마다 4명씩 전문 수사관 총 20명을 현장에 파견했다.
경찰은 현장에서 보안 관계자들의 진술을 토대로 피해 상황을 파악하고 주요 전산망 서버와 컴퓨터를 똑같이 복제하는 이미징 작업을 실시해 분석 자료를 확보했다. 이 자료를 분석해 정확한 전산망 마비 원인을 조사할 예정이다. 수사 담당 경찰관은 “자료의 용량이 매우 클 것으로 보여 분석 작업에 시간이 오래 걸릴 것”이라고 예상했다.
경찰은 정확한 마비 원인에 대해서는 조심스러운 반응을 보이면서도 외부 공격 가능성에 무게를 두고 있다. 언론사와 금융기관을 노려 동시다발적으로 전산망 마비가 벌어진 만큼 사이버 테러일 가능성이 크다고 설명했다. 외부 해킹으로 인한 악성코드 유포, 디도스(DDoS·분산서비스 거부) 공격, 자체적 네트워크 장애 등 모든 가능성을 수사할 방침이다.
지난해 6월 발생한 중앙일보 해킹사건과 2011년 국방부, 네이버, 국민은행 등 40여 개 기관과 업체에 대한 디도스 공격처럼 북한의 소행일 가능성이 높다고 보고 이 사건들을 담당했던 전문 수사관들로 수사팀을 꾸렸다.
경찰 관계자는 “보안전문가, 정보기술(IT) 칼럼니스트들이 다양한 분석을 내놓고 있지만 수사기관에서 이렇다 할 원인을 내놓기는 아직 조심스러운 상황이다”라며 “수사를 더 지켜봐야 알 수 있다”고 말했다.
청와대와 정부는 이와 관련해 원인 파악과 함께 긴급 대응에 나섰다. 김장수 국가안보실장 내정자가 청와대 국가위기관리상황실을 가동해 국방부와 국정원, 경찰 등 유관 부서로부터 피해 상황과 원인 등에 대해 종합적으로 보고를 받고 있다.
박근혜 대통령도 김 내정자로부터 관련 상황을 실시간으로 보고받고 대응을 지시한 것으로 전해졌다. 김 행 청와대 대변인은 브리핑에서 “김 내정자가 위기관리센터를 중심으로 관련 비서관과 함께 상황을 파악 중”이라며 “상황이 파악되는 대로 소상히 국민들에게 알리겠다”고 말했다.
김 대변인은 “현재 민·관·군이 포함된 범정부 차원에서 사이버 위협 합동대응팀을 가동해 실시간으로 대처하고 있다”고 전하면서 이번 사태의 원인이 북한의 사이버 테러일 가능성에 대해서는 “아직 단정할 수 없다”고 말했다. 그러나 청와대는 북한발 사이버 테러 가능성 등을 포함, 다양한 시나리오를 염두에 두고 상황을 면밀히 파악 중인 것으로 전해졌다.
국방부는 이날 전산망 마비사태와 관련, 오후 3시10분부터 정보작전 방호태세인 인포콘(INFOCON)을 3단계(향상된 준비태세)로 한 단계 격상했다. 김민석 대변인은 “현재 군 전산망은 이상이 없고 (군 전산망 해킹을 위한) 외부 공격 시도는 없었다”면서 “우리 군은 이번 민간 전산망 마비와 관련한 원인을 확인하기 위해 관계기관과 적극 협조할 것”이라고 말했다.
다행히 정부 행정기관과 지방자치단체의 통신망에서는 이상이 발견되지 않았다. 행정안전부는 정부통합전산센터를 통해 정부 기관의 이상 여부를 파악하는 한편 관련 부처와 원인을 파악하고 정보보호 대책을 강구하는 등 비상근무 체제에 들어갔다. 소방방재청 등 재난안전 대책 기관들도 외부 일정을 취소하고 상황을 주시했다.
또 북한의 소행인가?
정부는 이번 사태와 관련해 모든 가능성을 열어 놓고 배후를 추적하고 있다고 밝혔다. 하지만 또다시 북한 소행으로 결론이 집중되는 분위기다. 그러나 이러한 결론을 도출하는 과정의 논리성에 대한 문제제기가 나오고 있는 실정이다. 이번 방송사·금융사 해킹 사건이 북한의 소행일 가능성이 크다고 분석하는 이들의 논리는 크게 3가지다.
먼저, 중국을 경유해 해킹을 시도했다는 정황이다. 방송통신위원회는 NH농협의 경우 해커가 중국 IP를 통해 업데이트 관리 서버에 접속해 악성파일을 생성한 것으로 확인됐다고 밝혔다. 즉, 중국 인터넷을 주로 이용하는 북한의 해킹 수법에 비춰볼 때 이번 해킹 사건도 북한의 소행일 가능성이 크다는 얘기다.
두 번째는 이번에 나온 악성코드 가운데 북한해커들이 즐겨 사용하는 고유기법들과 유사하다는 주장이다. 전 세계에 수억 개에 달하는 악성코드가 있는데 이중 북한해커들이 쓰는 코드에 패턴이 있는 만큼 이를 통해 북한이 해킹할 가능성이 있다는 설명이다.
세 번째는 한미 연합 키 리졸브 훈련이 현재 진행 중이고, 북한은 지난 3월13〜14일 이틀 간 발생한 노동신문, 조선중앙통신 사이트 접속장애 현상을 미국과 남측의 사이버 공격 때문이라고 주장하고 있다. 즉, 이번 사태가 북한의 보복일 가능성이 있다는 얘기다.
청와대 측도 “북한의 소행일 가능성에 강한 의구심을 갖고 모든 가능성에 대해 면밀히 추적 분석하고 있다”고 밝힌 상황이다. 영국의 BBC 등 외신들도 북한이 지난주 받은 사이버 공격에 대한 보복일 가능성이 있다고 전했다.
하지만 이에 대한 반박도 만만치 않다. 먼저 중국 IP를 썼다는 이유로 북한일 가능성이 크다고 분석하는 것은 터무니없다는 지적이다. IP변경은 누구나 쉽게 가능하고, 중국은 세계 모든 해커들의 출입통로로 간주되는 만큼 이를 쉽게 북한과 연관 짓는 것은 무리라는 설명이다.
북한이 주로 쓰고 있는 해킹코드가 있다는 것도 의문이다. 전문가들은 하나의 악성코드에도 여러 패턴이 있는데 그중 일부를 가지고 북한해커들이 주로 쓰는 악성코드라고 밝히는 것은 성급하다고 주장한다. 또 이번에 밝혀진 트로이목마의 일종인 'Win-Trojan/Agent.24576.JPF' 악성코드는 미국의 소포스 랩(sophos labs) 회사가 2011년에 발견하고 조치를 취한 것과 유사한 악성코드로, 이미 공개돼 세계 수많은 해커들이 사용 가능한 악성코드라는 주장도 있다.
이런 상황에서 정확한 결론을 내리기 까지는 수개월이 걸리는 만큼 누구 소행이라고 찾는 것이 추정하는 것보다 어떤 식으로 해킹을 당했는지 찾아내 취약점을 보완하는 게 시급하다는 주장도 나오고 있다.
