누가? 왜?…돈 요구도 자료 빼간 흔적도 없어 ‘오리무중’

경찰청 사이버테러대응센터 수사관들이 8일 오전 서울 미근동 사무실에서 청와대와 국방부, 미국 백악관 등 한·미 주요 정부기관 및 민간 사이트 25곳에 분산서비스거부(DDoS) 공격을 수행한 악성코드에 감염된 피시(PC)를 살펴보고 있다. 김태형 기자 xogud555@hani.co.kr

방통위, 공격대상만 확인…악성코드 경유지 못밝혀
국정원 ‘북한 배후설’에 민주 “사이버테러법 통과의도”

03

7~8일 이틀 연속 감행된 ‘사이버 공격’은 청와대를 비롯한 주요 정부기관과 금융기관, 포털, 백신업체 등의 누리집(홈페이지)을 대상으로 삼았다. 무엇보다 ‘누가’, ‘어떤 목적으로’ 이런 일을 저질렀는지가 관심거리다. 그러나 첫 공격이 있던 날로부터 하루가 지난 8일 밤늦게까지도 밝혀진 게 없다.

정부 주관부처인 방송통신위원회는 “공격 발생 즉시 악성코드 샘플을 수집해 분석했으나 공격 대상 사이트만 확인했을 뿐, 누가 만들었고, 악성코드 경유지가 어딘지 등은 파악하지 못했다”며 “수사기관에서 밝힐 사항”이라고 미뤘다.

‘분산서비스거부’로 불리는 디도스 공격은 원래 목적이 뚜렷한 게 특징이다. 해커가 공격 대상자에게 돈을 요구하거나, 때로는 누리집을 마비시켜 운영자를 바쁘게 만든 뒤 데이터베이스 서버 등을 해킹해 자료를 빼가려고 공격을 한다. 한 채팅사이트 운영자는 “공격을 받기 싫으면 돈을 내라는 메시지가 가끔 오고, 또 실제로 공격이 이뤄지기도 한다”고 말했다. 하지만 이번 공격은 이전과 양상이 좀 다르다. 주된 공격 대상이 주요 국가기관부터 은행·포털까지 망라돼 있으나, 돈을 요구하지도 않았고 데이터베이스 서버 공격을 시도하거나 자료를 빼간 흔적도 없다.

이 때문에 방통위와 한국정보보호진흥원까지도 도대체 누가, 왜 이들 사이트를 공격했는지 가늠조차 못하고 있다. 정보보호진흥원의 이명수 인터넷침해사고대응센터장은 “이번 공격에 사용된 악성코드는 변종”이라며 “어느 컴퓨터(서버)를 통해 배포됐고, 명령을 받는지에 대한 데이터가 없다”고 말했다.

경찰청, 사이버공격 수사착수

일부에서는 해커가 자신의 실력을 뽐내려고 일부러 사회적으로 민감한 곳을 골라 공격을 한 게 아니냐는 추측도 내놓고 있다. 특정 목적을 노린 소행이란 분석도 있다. 해킹 및 사이버테러 대응과 관련한 조직을 늘리거나, 사이버 보안과 관련한 시장 창출을 위해 의도적으로 벌인 ‘이벤트’일 수도 있다는 것이다. 이런 분석을 하는 쪽은, 사이버 보안 관련 업무를 하는 정부기관이나 보안업체에 의심의 눈초리를 던진다. 이런 의심은, 국가정보원이 국회 정보위원회 소속 일부 의원들에게 “이번 공격이 북한 또는 북한 추종 세력의 소행이라는 사실을 보여주는 자료를 입수해 조사중”이라고 흘리면서 더 커지고 있다. 박영선 민주당 의원은 “국정원이 근거를 대지는 못했다”며 “이번 건을 사이버테러 관련 법을 통과시키기 위한 여론 조성용으로 이용하는 것 같다”고 지적했다.

03

실제로 이번 사이버 공격과 정부의 대응 과정을 보면 상식적으로 이해되지 않는 부분이 적지 않다. 우선 첫 공격 대상 누리집들이 7일 저녁에는 마비되거나 접속이 안 되다 8일 오전에는 정상적으로 작동됐다는 게 이상하다. 방통위는 이날 “일부러 접속을 차단한 홈페이지를 제외하고는 모두 복구돼 정상적으로 작동하고 있다”고 밝혔다. 해커가 공격에 사용할 악성코드를 무작위로 유포했다면, 켜진 컴퓨터가 더 많은 8일 오전에 공격이 심해져야 한다.

방통위가 이번 공격의 뒤처리를 ‘주의’ 발령으로 끝낸 것도 석연찮다. 주의는 가장 낮은 ‘관심’ 다음 단계로, 국지적으로 인터넷 소통에 장애가 발생하거나 보안태세 강화가 필요할 경우에 발령하는 것이다. 공격 강도와 피해 정도가 크지 않다고 본 것이다. 김재섭 이정애 기자 jskim@hani.co.kr

• 전세계 ‘해킹과의 전쟁’
• 웹브라우저·백신 업그레이드…SW 정품사용도 도움