북한 인터넷주소(IP)로 접속해 메르스 관련 파일을 사칭한 악성코드는 교육용 자료로 드러났다. 정부와 보안업계가 가짜 메르스 관련 악성코드로 한바탕 소동을 겪었다. 실험용 악성코드 관리를 둘러싼 논란이 커질 전망이다.
미래부와 한국인터넷진흥원, 보안업계는 지난 12일 ‘메르스 병원 및 환자리스트’ ‘중동호흡기증후군 관리지침’ 등 문서를 가장한 악성코드가 이메일로 뿌려져 주의를 당부했다.
정부는 주요 정보통신 기반시설 등에 관련 내용을 알리고 대응에 만전을 기했다. 글로벌 보안 기업 시만텍도 이례적으로 국내서 메르스 사칭 트로이목마 악성코드 확산 경고를 내렸다.
사태가 커지자 뒤늦게 한 보안기업이 메르스 사칭 악성코드가 교육용 자료였다고 밝혔다. 해당 기업은 사회적 이슈를 접목해 악성코드 분석 교육용 샘플을 제작했다. 하지만 샘플이 제대로 관리되지 않았고 이메일로 전송됐으며 글로벌 악성코드 수집 플랫폼인 ‘바이러스 토털’에 올라갔다.
일부 보안기업은 지난 3일 메르스 악성코드 등장을 파악해 관련 기관에 알렸다. 메르스 사칭 악성코드가 바이러스 토털에 등장했지만 실제로 기능이 거의 없었기 때문이다. 노골적으로 북한 IP로 접속하는 것도 의심스러웠다. 게다가 관련 악성코드는 대부분 안티바이러스솔루션으로 진단·치료됐다.
보안업계는 이번 소동으로 향후 실제 공격이 나타났을 때 제대로 대응되지 않을까 우려했다.
A기업 관계자는 “북한 등 특정 공격자 수법이 알려지면서 메르스 악성코드 샘플처럼 조작해서 신고하면 분석가는 혼란스러울 수밖에 없다”며 “이번처럼 북한 IP로 접속하는 악성코드는 누구나 개발할 수 있는 것이어서 항상 신중을 기해야 한다”고 말했다.
B악성코드 분석가는 “아무리 교육용이라도 악성코드를 제작해 사용하는 것은 보안전문가 양성에서 매우 중요한 도덕성과 윤리성 배양에도 반하는 행동”이라며 “북한 IP로 연결이 가능했던 것이 차후 악용될 소지가 없는지 더 많은 조사와 다양한 전문가 논의가 필요하다”고 말했다.
가짜 메르스 악성코드로 정부와 업계가 엄청난 혼란을 겪으면서 처벌과 재발 방지 목소리가 높다.
구태언 법무법인 테크앤로 대표변호사는 “실험용 악성코드 제작만으로 정보통신망법 제 48조 위반이 성립하지 않는다”며 “다만 배포과정에 의도적 행위가 있다면 죄가 성립할 수도 있다”고 설명했다.
김인순기자 insoon@etnews.com