그 동안 우려됐던 악성코드에 의한 사이버테러가 현실화됐다. 주요 방송사와 은행의 전산망이 마비되는 `3·20대란`이 발생한 것이다. 중앙일보가 올 초 사이버 공격을 당한 적은 있지만, 주요 방송사가 동시 다발적으로 공격을 받은 것은 이번이 처음이다.
보안 전문가들은 북한의 소행에 무게를 두면서 국가정보원 경찰청 등 정부의 공식 발표에 주목하고 있다.
◇디도스보다는 악성코드에 무게
정부 당국은 북한의 소행인지, 외부 해커의 공격인지 여부에 대한 정확한 원인분석에 들어갔다. 하지만 보안 전문가들은 이번 사태가 최근 늘어나는 지능형 지속위협(APT) 공격에 따른 것으로 분석하는 분위기다.
3·20 대란의 원인으로는 분산서비스거부(DDoS)보다는 악성코드를 침투시킨 뒤 망을 셧다운 시키는 APT 공격이라는 분석이 설득력을 얻고 있다. 전산장애가 발생한 방송사 및 은행의 네트워크 트래픽이 크게 증가하지 않았기 때문이다.
청와대와 국민은행 등의 주요 사이트에 피해를 끼쳤던 지난 2009년 7·7디도스 대란 당시에는 트래픽이 정상수준을 훨씬 초과하는 상황이었다.
이날 사이터테러에 따라 보안관제 서비스 및 컨설팅을 하는 주요 보안 업체들은 비상대기에 들어갔다. 주요 보안 업체들 역시 자체 분석팀을 가동하기 시작했다. 국내 보안 전문가는 “현재 사태를 파악 중이며 현재로서는 PC 감염이 주요 원인으로 보인다”고 분석했다.
◇경색된 남북관계, 북한 소행 가능성 무게
전문가들은 북한의 사이버 테러 공격 가능성에 무게를 두고 있다. 이번 3·20사태가 방송사 등 국가 주요 시설에 동시다발적으로 이뤄졌기 때문이다. 치밀하게 계획된 공격 가능성이 높다는 것이다.
권석철 큐브피아 대표는 “내부 인트라 뿐 아니라 몇몇 백업 서버를 제외한 다른 모든 내부 시설이 피해를 입었다”면서 “일련의 과정에서 이런 것도 가능하다는 과시적 공격이 아니겠느냐”고 해석했다.
정태명 성균관대 교수는 “특정 통신사의 망이 해킹을 당했다면 1·25 대란처럼 그 망을 사용하는 모든 기업의 전산망이 다운됐을 것”이라며 “LG유플러스 전산망 단순 장애라면 이 통신망을 이용하는 모든 기업들이 피해를 입어야 한다”고 설명했다.
임종인 고려대 교수는 “예견된 공격이다. 북한 입장에서는 인명 피해가 없으면서도 타격을 줄 수 있는 것”이라며 “사이버 공격 분야가 북한으로서는 가장 손쉬운 공격일 것”이라고 설명했다.
김원석·윤건일기자 stone201@etnews.com
