[김국배기자] '3·20 대란'이 터지고 처음 배후로 거론된 건 북한이었다. 농협 시스템을 분석한 결과 중국 서버를 통해 악성코드를 심은 것이 확인됐고, 북한 해커부대가 보통 중국의 서버를 이용한다는 것이 이유였다. '후이즈'라는 해커그룹이 자신들의 소행임을 주장하기도 했지만 언론의 관심은 오로지 북한에 쏠렸다.
그러나 정부는 하루 만에 사과했다. 농협 내부의 사설 인터넷프로토콜(IP) 주소를 중국 IP로 오인해서 생긴 해프닝이었다는 발표가 이어졌다. 악성코드 전파 경로가 중국이 아닌 것으로 밝혀지면서 북한 주도설은 다소 힘을 잃었고 정부의 신뢰도 추락했다. 엉뚱한 데만 손가락질 한 셈이다.
거기서 끝난 것이 아니다. 이제 3·20 대란은 안랩을 겨냥하기 시작했다. 지난 29일 안랩이 이번 사태와 관련해 일부 책임을 인정하고 공식 사과를 하면서부터다.
안랩은 피해를 입은 농협의 경우 자사 APC 서버의 '로그인 인증 관련 취약점' 탓에 악성코드가 내부망에 유포될 수 있었다고 밝혔다. APC는 안랩이 판매하는 기업용 패치관리시스템(PMS)이다. 기업은 APC 서버를 통해 사내망에 연결된 PC에 V3 백신을 자동으로 설치하거나 한꺼번에 업데이트한다.
이날 김홍선 대표는 "관리소홀에 대한 책임을 통감하며 진심으로 사과의 뜻을 전한다"고 말했다. 그러자 여론은 이번 전산망 마비 사태의 원인을 안랩에게 전가하는 듯 전환됐다. 이번 해킹의 주범이 해커가 아닌 안랩처럼 비칠 지경이다.
물론 안랩에 잘못이 없다는 이야기가 아니다. 다만 분명히 해두자는 것이다. 해커는 농협 내부에 있는 안랩 APC 서버의 취약점을 찾아내 로그인 없이도 악성코드를 뿌릴 수 있었다. 여기까진 팩트(Fact)고 안랩도 일부 책임을 인정한 부분이다.
여기에 중요한 사실이 하나 더 있다. 이러한 일련의 과정은 모두 내부망 침입 이후의 수순이라는 거다. 우리는 아직 해커가 누구인지 해킹의 진원지는 어디인지 어떻게 내부망에 침입했는지 뚜렷히 알지 못한다. 책임 공방을 벌이기엔 다소 이른감이 드는 이유다.
더군다나 해킹 수법은 나날이 진화하고 있다. 이번 해킹 공격만 해도 그렇다. 과거처럼 불특정 다수를 대상으로 하지 않고 해커는 특정 대상을 선택해 오랫동안 지속적인 공격을 준비하는 전형적인 지능형지속(APT) 공격으로 내부망에 침입한 것으로 추정되고 있다.
보안업계는 APT처럼 알려지지 않은 위협과 여전히 씨름 중이다. 매일 새롭게 발견되는 악성코드의 수만도 15만 개다. 알려지지 않은 악성코드에 의한 공격은 아직까지 국내외를 막론해 여느 보안업체도 선제적 대응이 쉽지 않은 것이 사실이다. '완벽한 보안은 없다'는 말은 보안업계의 진부한 핑계라는 쓴소리도 나오지만 진리이기도 하다.
그보다 3·20 대란으로 우리가 정말 손가락질 해야 할 건 열악한 국내 사이버 보안 수준이다. 보안업계는 이번 사건을 '사이버 테러'로 규정하고 있다. 이는 단순히 돈을 노린 전문해커를 넘어 국가차원에서 주도할 가능성도 배제할 수 없다는 뜻이다. 한 보안업체의 취약점을 방패 삼아 두루뭉술 지나가선 안 되는 이유다.
한국은 어떨까. 최근 사이버 테러를 둘러싼 미국과 중국의 신경전을 두고 '신냉전'이라는 표현이 나온다. 그만큼 위험수위는 높아지고 있다. 세계 각국이 앞다퉈 공세적으로 사이버 전력을 구축하고 있지만 한국은 여전히 민간에 크게 의존하고 있다.
그나마 군은 이번 사태로 사이버사령부의 인력을 1천여 명으로 늘리고, 사령관도 소장급으로 격상하는 방안을 검토하고 있지만 여전히 충분치 못하다는 지적도 많다.
반면 중국은 상하이에 본부를 둔 인민해방군 61398부대를 비롯해 세계 최대의 해커부대를 보유하고 있고 해커 병력만 2천~5천에 달하는 것으로 알려졌다. 그에 반해 한국은 고작 화이트해커 200~300명 수준에 불과하다.
최근에는 북대서양조약기구(NATO)가 사이버전 대응 매뉴얼까지 발간했다. 매뉴얼은 사이버 공격을 무력 분쟁으로 여기고 다른 국가에 의해 사이버 테러를 당했을 때 피해 정도에 따라 대응할 수 있다고 명시한다. 이제 사이버전이 상상이 아닌 현실이 된 것이다.
사이버 보안은 이제 선택이 아닌 필수다. 이번 사태에서 보안업체 하나 '잡는다'고 해결될 건 없다. 그보다는 민간 기업에만 의지하는 구조를 벗어나 정부와 기업, 개인의 활발한 정보 공유를 통한 사이버 보안 위협 대응에 포괄적으로 접근하려는 노력이 필요하다. 보안업체를 두고 책임 운운하는 것은 이번 사태에 대한 모든 조사결과가 나온 뒤라도 늦지 않다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기