합참 “인포콘 3단계는 7.7대란 이후 처음”…국정원, CERT 비상대기

  • ▲ 20일 오후 2시 무렵 YTN의 전산망 마비 속보
    ▲ 20일 오후 2시 무렵 YTN의 전산망 마비 속보


    3월 20일 오후 2시, 농협과 신한은행의 정보 전산망이 마비됐다.
    비슷한 시각 MBC, KBS, YTN 정보 전산망도 먹통이 됐다.

    오후 3시 10분, 국방부와 합참은 정보작전방호태세를 의미하는 ‘인포콘’을 4단계에서 3단계로 격상했다.
    합참 관계자도 놀라는 분위기였다.

    “인포콘 4단계는 여러 번 있었지만, 3단계까지 격상된 건 지난 2~3년 이래 처음이다.
    이건 (군에서) 공격징후를 포착한 것으로 보면 된다.”


    인포콘은 5단계로 돼 있다.

    평시에는 5단계(평시 준비태세)다. 일반적인 정보보호 활동을 하는 단계다.
    4단계(증가된 준비태세)는 일반적인 위협으로 판단되는 징후나 경보를 포착했을 때다.
    3단계(향상된 준비태세)는 특정한 정보체계에 대한 공격징후를 포착했을 때 발령한다.
    2단계(강화된 준비태세)는 정보체계에 대한 제한적인 공격상황이 발생했을 때 내린다.
    1단계(최상 준비태세)는 정보체계에 대한 전면공격, 즉 사이버전쟁 때 발령한다.

    즉 20일 국방부가 민간 분야의 정보전산망 마비를 보고 인포콘을 3단계로 격상했다는 건 ‘공격을 당했다’고 본다는 의미다. 


    KBS, MBC, YTN, 농협, 신한은행 정보 전산망 마비,
    중앙일보 공격과 닮았다?


    지금까지의 ‘사이버 테러’는 디도스 공격을 통한 통신망 마비나 개인정보 해킹 수준이 대부분이었다.

    하지만 20일 ‘공격’은 예전과 달랐다.

    KBS나 YTN의 경우 회사 내부 PC 500여 대에서 동일한 증상이 나타났다.
    먼저 ‘PC를 재부팅하라’는 메시지가 뜨고, 그대로 실행하면 PC의 운영체계(OS)가 부팅되지 않는 에러가 나타났다.

    이는 서버나 PC에 악성 웜(Worm) 바이러스(악성 코드)를 미려 숨겨둔 뒤 필요할 때 활성화시켜 OS가 하드디스크를 인식하지 못하게 하는 형태의 공격이다.

    게다가 KBS와 MBC에서는 각각 'KBS.exe', 'MBC.exe'라는 실행파일이 발견됐다.

    이런 공격을 하려면 바이러스 메일이나 웹하드-P2P를 통한 공격으로는 어림도 없다.
    최근 주요 기관마다 방화벽이나 보안필터를 강화했기 때문이다.

    그렇다면 방법은 ‘전문적인 방법’, 즉 [어드민 계정](서버의 관리자 권한을 가진 계정, 서버 관리정보를 모두 볼 수 있고 바꿀 수 있음)을 해킹해 [백도어](시스템 개발자만 접근 가능한 일종의 비밀접속창구)를 만들어 서버나 내부망 시스템에 웜 바이러스를 심어놓는 것이다. 

    이와 유사한 일은 2012년 6월 <중앙일보>에서 실제 벌어졌다.

  • ▲ 2012년 6월 해킹당했을 당시 중앙일보 홈페이지. 북한 소행으로 밝혀졌다.
    ▲ 2012년 6월 해킹당했을 당시 중앙일보 홈페이지. 북한 소행으로 밝혀졌다.


    지난 1월 16일 경찰청 사이버테러대응센터는 2012년 6월 <중앙일보>가 입은 사이버 공격 피해를 분석한 결과 북한 체신청 산하 기업인 조선체신회사의 회선을 사용한 [이스원](IsOne)이라는 사용자가 4월 21일부터 <중앙일보>의 주요 서버를 해킹했다고 밝혔다.

    북한 측 인터넷 회선을 이용한 공격자는 <중앙일보> 웹사이트와 신문제작시스템 등에 대한 ID와 패스워드 등 접속정보를 수집하고 비활성 악성코드를 심었다.

    [이스원](IsOne)’은 공격이 시작되기 직전인 6월 4일을 전후로 북한 IP를 통해 <중앙일보> 사이트에 집중 접속했다.
    미리 심어놓은 악성코드는 6월 7일부터 활성화돼 서버 관리 정보를 [이스원](IsOne)에게 보낸 것으로 밝혀졌다.

    [이스원](IsOne)은 공격 당일, 10개국 17개 경유 서버를 활용해 <중앙일보>의 신문제작시스템을 삭제하는 [악성코드]를 다시 전송했고, 이 때문에 <중앙일보>는 6월 9일자 신문 발행에 큰 차질을 빚었다.
    <중앙일보> 홈페이지 또한 입을 가리고 웃는 고양이 사진과 녹색 코드가 나열된 화면이 떴다.

    [이스원](IsOne)의 이 같은 공격은 북한군이 “혁명무력의 특별행동이 곧 개시된다”고 협박했던 4월 23일부터 준비한 것이었다.

    20일 KBS, MBC, YTN 등에 대한 공격도 이와 유사하게 비활성 악성코드를 직접 심은 뒤 나중에야 활성화시킨 것으로 보인다는 지적이다. 


    20일 공격과 <중앙일보> 공격,

    그리고 스턱스넷


    <중앙일보> 사이버 공격과 20일 주요 방송과 금융기관을 공격한 악성코드가 정확하게 무엇인지, 근원지가 어딘지는 정보보호진흥원(KISA)과 경찰청 사이버테러대응센터, 국정원 사이버테러대응센터에서 찾고 있다.

    하지만 이 기관들은 이번 정보망 마비가 [해킹]이라는 데는 의견을 같이 하고 있다.

  • ▲ 2009년 이란의 원심분리기 공격을 시작으로 세계 각국을 공격했던 '스턱스넷'의 공격 개념. 시스템에 침투해 있다 원격으로 활성화된 뒤 시스템 프로그램을 망가뜨린다.
    ▲ 2009년 이란의 원심분리기 공격을 시작으로 세계 각국을 공격했던 '스턱스넷'의 공격 개념. 시스템에 침투해 있다 원격으로 활성화된 뒤 시스템 프로그램을 망가뜨린다.



    이를 보면 오버랩되는 사건이 있다.
    2009년부터 몇 달 동안 이란의 핵개발용 원심분리기 1천여 개를 파괴했던
    최악의 악성코드 [스턱스넷](Stuxnet)이다.

    [스턱스넷](Stuxnet)은 2010년 6월 벨로루시에 있는 ‘바이러스블로카다(VirusBlokAda)’라는 보안업체에서 처음 확인했다고 알려져 있다.
    하지만 이란은 그 전에 6종류의 변종 [스턱스넷] 공격을 받아 6만 대 이상의 PC가 피해를 입었다.

    [스턱스넷]은 본래 보안이 가장 취약한 시기인 ‘제로데이’를 노려서 윈도우 OS를 사용하는 서버나 PC에 침입한다.

    그런데 이란의 원전용 원심분리기를 공격한 [스턱스넷]은 독일 지멘스社가 만든 SCADA(Supervisory Control And Data Acquisition. 감시 제어 및 데이터 취득, 산업용 대규모 시스템 프로그램) 소프트웨어만을 집중 공격했다.

    ‘바이러스블로카다’가 발견한 [스턱스넷]은 산업용 시스템에 침입한 뒤, 이를 다시 프로그램해 정보를 유출하는 것이었다.

    이후에 발견된 [스턱스넷]은 원격 통합 감시제어시스템을 겨냥해 ‘프로그램 로직 제어기(PLC)’에 침투해 기존의 프로그램을 재설계하고 숨기는 능력까지 갖추고 있었다.

    보안업체 시만텍에 따르면, 2009년 처음 [스턱스넷] 공격을 받았던 이란은 현재 PC의 60% 이상이 여기에 감염돼 있는 것으로 봤다.
    보안업체 카스퍼스키는 이란이 [스턱스넷]의 공격을 받은 것을 놓고 [사이버 전쟁]이라고 표현하기도 했다.

  • ▲ 이스라엘의 사이버 부대 '유닛 8200'에 대한 보도. 그 실체는 아직 베일에 쌓여 있다.
    ▲ 이스라엘의 사이버 부대 '유닛 8200'에 대한 보도. 그 실체는 아직 베일에 쌓여 있다.



    이란 정부는 이스라엘의 사이버 부대인 ‘유닛 8200(Unit 8200)’ 또는 미국 CIA가 [스턱스넷]을 만들어 자신들을 공격했다고 주장했지만 구체적인 근거는 내놓지 못했다.

    이스라엘이나 미국의 공격으로 보기에는 ‘스턱스넷’으로 피해를 본 나라들이 너무 많았다.

    지금까지 중국, 인도네시아, 인도, 미국, 영국, 말레이시아, 파키스탄 등이 '스턱스넷'으로 피해를 입었다. 


    북한,

    ‘형제’ 이란으로부터 스턱스넷 입수했나?


    20일 대규모 전산망 마비를 [스턱스넷] 때문이라고 말할 수는 없다.
    하지만 그 방식은 무척 비슷하다.
    북한 정찰총국이 우리나라에 대한 사이버 공격을 시도하는 방식을 보면 의심은 더욱 커진다.

    2012년 6월 4일 <중앙일보>의 보도다.

    … 2011년 9월 15일 인천공항 항공교통센터(ATC)의 전산시스템이 57분간 먹통이 됐다.
    비행자료를 외부 기관에 제공하는 비행자료전달장치(FDP)가 갑자기 작동하지 않았기 때문이었다.
    이 와중에 항공기 18대의 운항에 차질이 빚어졌다.

    당시 국토해양부는 “FDP는 외부 망과 연결되지 않았기 때문에 해킹의 가능성은 없다”고 밝혔다.

    그러나 당시 사건은 북한의 소행이었다는 정황이 드러났다.

    북한의 정찰총국(국장 김영철 상장)이 악성코드가 숨겨진 게임프로그램을 국내에 퍼뜨린 뒤 이를 통해 인천공항 등 국가 기간망에 대한 사이버공격을 시도하다 공안 당국에 적발됐다.

    서울지방경찰청은 국가정보원과 공조수사로 악성코드가 들어간 북한산 게임 프로그램을 국내에서 유통한 혐의(정보통신망법 위반 등)로 사행성 게임 개발업체 대표 조모(39)씨를 구속했다고 3일 밝혔다.…


    <중앙일보> 보도에 따르면 불법도박게임 개발업체가 북한으로부터 사들인 사행성 게임에 악성코드가 숨겨져 있었다는 것이다.
    이 보도는 더욱 심각한 상황도 설명했다. 

    …공안 당국은 또 2011년 ATC 마비사태의 배후가 북한의 정찰총국인 것으로 보고 있다.

    미국이 2010년 9월 이란 핵개발 시설의 원심분리기 1,000여 개를 망가뜨린 [스턱스넷]과 같은 웜 바이러스를 북한이 ATC에 침투시켰을 가능성을 조사 중인 것으로 알려졌다.

    실제 2011년 1월 국내서도 7,300여 대의 PC가 [스턱스넷]에 감염된 것으로 집계됐다.…


    즉 정찰총국이 우리나라를 공격하는 수단 중 [스턱스넷]과 같은 최첨단 악성코드를 언제 어떤 방식으로 침투시킬지 모른다는 것이다.

  • ▲ 북한의 사이버 부대는 정찰총국이 관리한다. 이곳 요원들은 대부분 미림자동화대학 같은 해커 양성소 출신이다.[그래픽: 연합뉴스]
    ▲ 북한의 사이버 부대는 정찰총국이 관리한다. 이곳 요원들은 대부분 미림자동화대학 같은 해커 양성소 출신이다.[그래픽: 연합뉴스]



    이스라엘 또는 미국이 만들었다는 [스턱스넷]을 북한이 어떻게 입수하느냐고? 

    방법은 간단하다.
    중립국이나 북한과는 무관한 ‘보안업체’로 위장해 “백신을 개발하려 한다”고 요청하면
    어디서든 얻을 수 있는 게 [바이러스]다. 


    북한의 다음번 공격 목표, 군대 아니다?


    20일 오후 KBS, MBC, YTN, 신한은행, 농협 등의 정보 전산망이 마비된 뒤 국정원과 경찰, KISA 등은 바빠졌다.

    국방부와 청와대도 긴장했다.
    정부는 신속하게 합동대응팀을 꾸려 이번 사건에 대응하기로 했다.

    정부 관계자들은 20일 전산망 마비를 ‘북한의 소행’이라고 단정 짓지는 않았지만
    '가능성'을 배제하지도 않고 있다.

    안보기관들은 이번 사건 이후에 대비해 긴장을 늦추지 않고 있다.
    북한이 언제, 어떤 방법으로 어디에 [사이버 무기]를 숨겨놓았는지 알 수가 없기 때문이다. 

    북한이 키우는 사이버 요원은 3천여 명에 달한다.
    그 중 최고로 꼽힌 요원들이 정찰총국에 간다.
    북한 정찰총국은 [스턱스넷] 뿐만 아니라, 세계적인 보안업체도 모르는 첨단 악성코드와 해킹 프로그램을 [국가 단위]로 개발하고 있는 것으로 알려져 있다.
    일각에서는 북한의 사이버 전쟁 능력이 美CIA(중앙정보국) 이상이라고 평가하기도 한다.

    게다가 [마약 수출국]인 북한은 직접 해킹에 나서지 않고, 정찰총국을 통해 중국이나 남미의 범죄조직을 이용해 [프리랜서 해커]를 고용할 수도 있다.
    이럴 경우 언제, 어디서 우리나라를 공격할 지 종잡을 수가 없다.

    안보기관들이 가장 우려하는 건 민간 부문의 보안의식이다.

  • ▲ 2009년까지의 개인정보유출사례. 이는 북한 정찰총국과 같은 '테러집단'에게는 훌륭한 '소스'가 된다.
    ▲ 2009년까지의 개인정보유출사례. 이는 북한 정찰총국과 같은 '테러집단'에게는 훌륭한 '소스'가 된다.



    정부 기관이나 정부가 관리하는 인프라가 아니라 20일 전산망 마비처럼 민간 분야가 ‘공격’을 받으면 정부가 어떻게 해줄 수가 없다. 

    현재 정부기관과 공기업 등의 보안 상황을 살펴보면 국정원, 경찰, 국방부 등 안보 기관과 중앙부처를 제외하고는 보안예산이 턱없이 부족하다. 

    보안에 문제가 생기면 국민 경제에 치명타를 가할 수 있는 금융·보건·교육 관련 기관과 주요 지자체의 보안망은 악성코드에 감염될 위험이 큰 '액티브 X'를 사용하는 '허술한 수준'이다.

    2012년 4월 방송통신위원회와 행정안전부 조사에 따르면 정부기관 및 산하단체의 40% 이상이 '액티브 X'를 '보안용'으로 사용 중이라고 한다.

    증권거래에서 큰 역할을 하는 '한국예탁결제원'이나 '한국증권전산(KOSCOM)', 광역지자체의 교육청들이 과연 북한 정찰총국을 막을 만큼 치밀한 보안망을 마련해 놨다고 장담할 수 있을까?

    민간 분야도 다르지 않다.
    전자상거래, 은행, 보험, 통신 관련 사이트들은 대기업과 중소기업을 막론하고, 보안 툴(Tool)을 덕지덕지 붙여놨을 뿐 거의 '액티브 X'를 사용하고 있다. 악성코드에 감염되도 막을 방법이 없다.
    (심지어 일부 업체는 개인정보를 외부에 '텔레마케팅용'으로 판매하기도 한다.)

    국민 개개인의 '의식'도 문제다.
    대부분의 개인들은 보안 문제에 대해 무신경하다.
    하루 9만여 개의 악성코드가 세상에 나타나고,
    우리나라가 매일 수천 건의 사이버 공격을 받는다는 걸 잘 모른다.
    무관심해서다. 

    수십만 개의 중소기업, 단체, 의료기관 등은 “설마, 별 일 있겠어”라며 보안 문제를 등한시 한다.
    하지만 이들이 갖고 있는 자료와 개인정보 등은 북한 정찰총국에게는 아주 좋은 [자료]가 된다.

    상당수의 국민들은 정부가 “위험하다”고 경고하면 “설마”하고 넘기는 경우가 많다.
    그러다 문제가 생기면 “지금까지 정부는 뭐 했냐”고 비난한다.
    정부의 자작극이라는 음모론까지 나온다.
    여기에 정치인과 언론이 가세하면 안보기관들은 맥이 빠질 수 밖에 없다.

    이럴 때 최악의 경우는?
    ‘광우병 시위’와는 비교가 되지 않을 정도의 ‘민심 이반’, 그리고 정부의 무력화다.

    20일 전산망 마비가 만약 북한 정찰총국이나 외세의 소행으로 밝혀진다면,
    그때부터는 민관군이 힘을 합쳐 막는 수밖에 달리 방법이 없다.