수년 간 반복된 개인정보 유출 사건이 사이버 테러에 쓰일 무서운 무기로 재가공되고 있다. 하루에도 수백건씩 새로 등장하는 ‘멀웨어넷(Malware Net)’도 사이버전의 연장선이다.
2011년 이후 알려진 국내 개인정보 유출·침해 건수는 총 2억3000만건이 넘는다. 국민 일인당 4회 이상 정보가 유출된 셈이다. 해커가 이런 정보를 수집한 데이터마이닝이나 빅데이터 분석으로 가공한다면 뛰어난 파괴력을 가진 무기로 재탄생된다. 한국수력원자력(한수원) 기밀문서 유출이 내부자 소행이 아닌 해커 소행이라면 이런 작업을 거쳤을 확률이 매우 높다.
◇개인정보유출 기업 대규모 해킹 시발점
올해 초 국민·롯데·농협카드가 사상 최대인 1억400만건의 민감한 개인정보를 유출했다. 파이어아이코리아는 지난해 6월 정보 유출 사고 발생 후 실제로 국내 기업과 기관 전산망을 위협하는 지능형지속위협(APT) 공격이 급증했다고 밝혔다. 당시 유출된 정보에는 다른 사고와 달리 회사 이메일이 대량으로 포함됐다. 나이를 추정할 수 있는 주민번호와 회사, 부서정보에 더해 수입을 예상할 수 있는 카드 사용금액이 모두 나갔다.
전수홍 파이어아이코리아 대표는 “당시 유출된 정보만으로 공격 대상 직급과 업무권한까지 추론할 수 있다”며 “아주 정교하게 표적을 선정해 공격할 수 있다”고 설명했다.
파이어아이는 국내에서 벌어진 APT 공격 중 하나인 스피어 피싱이 증가한 데 주목했다. 스피어 피싱은 공격 대상 기업 핵심 인사를 노리는 해킹 방법이다. 공격자는 대상 인물을 잘 아는 사람이나 외부 기관을 사칭해 악성코드가 담긴 파일을 이메일에 실어 보낸다. 피해자가 악성코드에 감염되면 해커는 기업 중요 정보유출을 시도한다. 전 대표는 “당시 사건 여파가 기업이나 국가 기관을 대상으로 한 대규모 해킹 시발점이 될 수 있다”고 분석했다.
◇스치기만 해도 폭탄이 터지는 인터넷 환경
보안업체 빛스캔은 올 초부터 비정상적으로 급증한 멀웨어넷이 금융정보 탈취 이외에도 기업 내부 침투에 연관된 사례를 찾아 관계 기관에 제공했다. 지난 7월 국내 1·2위 여행사에서 악성코드 유포가 발생했는데 이때 한수원과 연계된 서브 도메인 서비스도 악용됐다. 이곳은 한수원 직원들이 이용하도록 회사가 지정한 여행사다.
관련 악성코드는 주로 전자금융사기를 위한 공인인증서 탈취와 파밍용이었으나, 악성코드 대부분은 자료를 빼내는 백도어와 좀비PC로 만드는 기능이 기본으로 들어있다. 공격자는 단기적으로 금전적 이득을 획득하고 장기적으로 각종 사이버테러 수행에 악성코드 감염 PC를 악용한다.
문일준 빛스캔 대표는 “올해 수집된 정보를 확인하니 지난 7월 여행사 악성코드 유포 시 한수원 서브 도메인 서비스도 악성코드 감염에 이용된 정황이 확인됐다”며 “이 도메인은 한수원 직원들을 위해 별도로 만들어진 서비스였다”고 밝혔다. 문 대표는 “한수원 관련 여행사 사이트에 방문만 해도 악성코드에 감염되는 형태였다”며 “한수원 자료 유출 형태로 볼 때 오랜 기간 좀비 PC가 내부 침입 통로로 활용됐을 가능성이 있다”고 덧붙였다.
◇악성코드는 오랜 시간 잠복해 특정 조건에서만 움직인다
보안 업계는 올 초부터 에너지·화학·국방·외교·안보 분야를 노린 공격이 지속적으로 나타난 데 주목한다. 일 년여에 걸쳐 오랜 시간동안 사이버테러를 계획한 한수원을 집중 공략했다는 분석이 나온다. 치밀한 계획 아래 수행된 작전이라면 흔적을 남겼을 리 만무하다. 특히 최근 악성코드는 실행되기 전에 윈도 등의 정상 시스템 파일로 보이다가 실행되면 암호화를 풀고 활동하다 다시 정상 파일로 가장한다. 최상명 하우리 차세대보안센터장은 “악성코드가 활성화되는 시점을 순간적으로 놓치면 찾아내기 어려울 정도로 지능화되고 있다”고 설명했다.
한수원에서 현재까지 유출된 내부 문건만 봐서는 당장 원전을 멈추는 등의 영향을 끼치는 어렵다는 의견이 우세하다. 하지만 사이버 공격에서 100% 안전한 시설은 어디에도 없다는 게 보안전문가들의 중론이다.
김휘강 고려대 정보보호대학원 교수는 “지금은 한수원 내 모든 PC와 제어시스템에 전수검사를 해야 한다”며 “제대로 투자해 시스템 취약점을 진단하고 백도어가 남아있는지 파악해야 한다”고 말했다. 그는 “현재 망이 운영되는 상태에서 점검하는 것이 아니라 별도의 새로운 망을 하나 만들어 이중화하는 방식을 택해야 한다”고 덧붙였다.
김인순기자 insoon@etnews.com