총선 앞두고 사이버테러 위협 우려 고조, ‘폭풍전야’
북한의 사이버테러설이 제기되며 긴장감이 크게 고조됐던 3월이 지나갔다. 지난 1월 6일 북한의 4차 핵실험과 이어진 장거리 로켓(미사일) 발사 이후 위기감이 커졌던 사이버테러 위협 이슈는 그동안 꽤 시들해졌다.
테러방지법에 이어 정부와 여당이 주축이 돼 국회 처리를 강행해 말 많던 사이버테러방지법도 4·13 총선이 눈앞에 다가오면서 논란이 한 풀 꺾인 듯 보인다.
지난 2~3월 정부는 연일 북한의 사이버테러 위협을 경고하면서 위기감을 높였다. 국가정보원은 지난 3월 8일 국무조정실 미래창조과학부 금융위원회 국방부 등 14개 부처 국장급이 참석한 가운데 열린 ‘국가사이버안전 대책회의’에서 북한에 의한 사이버공격 사례를 한꺼번에 이례적으로 공개하기도 했다.
안보 이슈가 정치상황에 이용되는 일이 많다보니 사람들은 식상해 했다. 이 기회에 민간 감시·사찰, 국정원 권한 확대를 위한 법통과에, 또 눈앞에 다가온 선거정국에서 유리한 고지를 점하기 위한 수작일 것이란 인식도 상당히 많았다. 이같은 생각이 절로 들만큼 강하게 밀어붙인 것도 사실이다.
그 와중에 열린 구글의 인공지능 알파고와 이세돌 9단의 세기의 대국에 온 국민의 관심이 쏠렸다. 사이버테러 위협과 관련법 이슈는 금새 밀려났고 이후 총선정국이 펼쳐졌다.
연초 불거진 ‘사이버테러·대란’ 설은 3월까지는 말 그대로 ‘설’로 끝났다. 그런데 문제는 4월이다. 총선을 앞둔 지금이 그야말로 ‘폭풍전야’라는 것이 정부 관계기관과 민간 사이버보안 전문가들의 얘기다. 실제로 지금도 심각한 사이버공격 시도와 이를 막기 위한 대응 전선이 펼쳐지고 있어 긴장감을 늦출 수 없는 상태라고 전했다.
최근 만난 한 보안 전문가는 “조용한 듯 보이지만 지속적으로 북한발 사이버공격 시도가 이뤄지고 있다. 발견돼 대응조치가 이뤄지면 또 새로운 공격을 시도하는 과정이 계속되고 있다”며 “혹시라도 찾아내지 못한 대규모 공격이 철저히 준비되고 있고 시점을 기다리고 있지 않을지 우려스럽다”고 말했다.
그는 “앞으로의 공격은 2013년 3.20 사이버테러보다 훨씬 심각한 수준이 될 수 있다”며 “인터넷·전산망 마비, 데이터 파괴, 심리전 등 지금까지 일어났던 모든 공격 형태나 그 이상의 공격이 나올 수 있다. 말하기 조심스러운 이야기이지만 사이버테러로 인한 인명피해가 있을까봐 걱정”이라고 했다.
다른 보안 전문가도 “알려지지 않았지만 심각한 수준의 사이버공격이 최근 많이 나타나고 있다”고 상황을 전했다.
또 다른 업계 관계자는 “다음 발생할 대형 사이버공격은 ‘블랙아웃(정전)’이라는 예상이 많다”며 우려했다.
4일 한국침해사고대응팀협의회(CONCERT)가 한국과학기술회관에서 개최한 ‘기업 정보보호 이슈 전망-CONCERT FORECAST 2016’에 기조연설자로 참석한 신대규 한국인터넷진흥원(KISA) 침해사고분석단장도 비슷한 견해를 나타냈다.
신 단장은 “사이버테러는 갑작스럽게 예기치 못한 상황에서 발생한다”며 “북한발 사이버테러 위협은 허상이 아니라 실존하는 위협으로 다가오고 있다는 것을 인식해야 한다”고 경고했다.
올해 발생한 사이버위협으로는 대표적으로 1월 초 청와대, 외교부, 통일부 등 국가기관을 사칭한 이메일 유포 공격(스피어피싱)이 있다.
300여명을 대상으로 이뤄진 이 공격은 처음에는 악성코드 없는 이메일을 발송해 응답이 이뤄져 신뢰관계가 형성되면 악성코드를 포함한 이메일을 발송해 감염을 시도했다.
또 이 때부터 홈페이지 해킹 및 악성코드 삽입(워터링홀) 공격, 소프트웨어 취약점 악용한 악성코드 유포도 많이 이뤄진 것으로 나타났다.
군·보수성향 홈페이지를 이용해 악성코드를 유포한 워터링홀 공격은 치고 빠지는 ‘시간차공격’을 벌이며 탐지·대응을 어렵게 만드는 공격 수법을 이용했다.
공공·기업 등에서 많이 사용하는 IT자원관리, 패치관리 솔루션, 보안 솔루션 업체 대상 해킹 공격도 크게 증가했다. 한 곳만 뚫는데 성공하면 수천 곳의 내부망 침투, 장악이 가능하다는 효과를 노린 공격이다.
이와 관련 보안·소프트웨어(SI) 업체 대상 해킹 공격은 이미 잘 알려져 있다. 2000만명 이상이 사용하는 인터넷뱅킹 보안 소프트웨어 업체 전산망 장악, 인터넷뱅킹용 보안 소프트웨어의 코드서명 인증서 탈취와 이를 이용한 악성코드 유포, 내부정보유출 방지 소프트웨어 취약점 활용 등이다.
이밖에도 페이스북 등 소셜네트워크서비스(SNS)에서 친구맺기 등을 이용한 정보탈취나 위성통신·기반시설 관련업체·공사 해킹 시도도 최근 지속적으로 포착되고 있다는 것이 신 단장의 설명이다.
그는 “2003년 발생한 1.25 대란은 인터넷이 마비됐다. 다행히 토요일이었다. 2009년 7.7 디도스(DDoS)는 홈페이지가 마비됐다. 2011년 3.4 디도스 이후 4월에 발생한 농협 해킹부터 실질적인 피해가 유발됐다. 만일 기반시설인 통신 철도 교통 제어시스템에 문제가 생긴다면 단순한 불편에서 그치지 않고 생명의 위협까지 생길 수 있어 굉장히 걱정하고 있다”고 했다.
이날 신 단장은 사견을 전제로 ‘4월 사이버공격’ 가능성을 점치며 “현재는 아무렇지 않은 상태가 아니다. 보안업체들과 함께 하는 사이버위협 인텔리전스 네트워크나 관계기관 회의를 해보면 매우 급박한 상황”이라고 지적하기도 했다. 그는 “김정일(국방위원장)이 생전에 핵과 미사일, 사이버공격 이 세 가지를 ‘만능의 보검’이라고 했다. 충성경쟁 상태라면 핵 실험으로 공을 세우고 미사일을 쏜 이후 사이버테러로 성과를 보이는 것으로 분석할 수 있다”고 견해를 밝혔다.
아울러 “지난 2009년 5월 25일 2차 핵실험 이후 37일 후에 7.7 디도스가, 3차 핵실험 뒤 43일만에 3.20과 4개월 후 6.25가 발생했다”며 “2~3차 핵실험 후 대북제재 조치가 내려지고 북 조평통성명이 발생한 후 7.7 디도스와 3.20 테러가 발생한 것으로 비춰보면 올해 3월 말에서 4월 초, 선거 전에 테러가 일어날 확률이 높다고 보고 있다”고 지적했다.
그는 “사회 분열과 내부 갈등 조장 등을 위해 선거 전에 일어날 가능성이 높다”고 전망하면서 “최근 기반시설·군·안보 관련기관 공격이 크게 늘어나고 있고 최근 3.20·소니·6.25 등의 공격 유형이 혼재돼 해킹조직이 연합해 공격·대응하고 있는 것으로 보인다”는 분석도 내놨다.
이같은 사이버위협에 대응하기 위한 방안으로 현재 ▲대규모 사이버공격 조기 탐지를 위한 모니터링 강화 ▲피해 최소화를 위한 침해사고 긴급 대응 ▲유관기관 공조 강화 ▲주요 정보통신기반시설 긴급 보안점검 ▲민간 사이버공격 대비 공동 모의훈련 실시 등을 진행하고 있다고 소개했다.
기업들에게는 시스템 점검을 생활화하고 주요 정보통신기반시설에 준하는 보안체계를 확립할 것을 강조했다. 관련 주요 점검항목은 ▲주요서버 계정별 접근권한 부여 등 접근통제 ▲시스템 접근 이력관리 ▲비인가 저장매체 통제 ▲네트워크장비 보안 설정 ▲전산장비 반출·입 통제 ▲내부 네트워크 접근통제 ▲업무·외부망간 자료전송 통제 등이 있다.
보안 업데이트 무결성 검증을 비롯한 소프트웨어 업데이트 체계 점검 시스템·웹·관리자PC 취약점 점검 등이 필요하다는 점도 강조했다.
한편, 국정원 국가사이버안전센터는 북한의 4차 핵실험 직후인 지난 1월 8일에 사이버테러 발생 가능성에 무게를 두고 사이버위기 ‘관심’ 경보를 발령했다. 한 달 만인 지난 11일 ‘주의’ 단계로 올렸다. KISA는 인터넷침해사고 경보단계를 ‘주의’로 상향하고 이를 유지하고 있는 상태다. 금융위원회도 금융전산위기 ‘주의’ 경보를 상향시켰다.
글. 바이라인네트워크
<이유지기자>yjlee@byline.network