신속한 결과였다. 민관군 합동조사단이 지난 3월 20일 방송사와 금융사의 전산망을 마비시킨 배후를 찾는 데는 한 달이 채 걸리지 않았다. 전과 확연한 차이다. 중앙일보 해킹 사건은 배후를 추적하는데 6개월이 소요됐다. 3500만명의 개인정보를 빼낸 SK컴즈 해킹 사건은 배후 찾기에 실패했다.
이번 3·20 사건에서는 인터넷 프로토콜(IP) 확보가 결정적이었던 것으로 보인다. 해커에겐 남기지 않아야 될 흔적이지만 통신상에서의 문제, 기술적 문제로 확인할 수 있었다는 게 당국의 설명이다.
전문가도 이에 대체로 동의하는 모습이다. 해커 출신 박찬암 라온시큐어 팀장은 “해킹 과정에서 인터넷이 잘 안 된다거나 하는 상황을 맞닿게 되는 경우가 있다”고 말했다. 불가피한 사정에 해커가 실제 IP를 드러내는 경우가 있는데, 이번이 그랬다는 것이다. 권석철 큐브피아 대표는 “짧은 시간 내 IP를 확인한 건 기술적으로 쉽지 않은 일”이라며 “의미 있는 성과”라고 말했다.
3·20일 해킹 사건은 북한IP가 드러나면서 정치적 이슈로 번지는 모양새다. 공격자로 지목된 북한은 해킹을 전면 부인하며 “남측의 고의적인 도발”이라고 주장했다. 우리 조사단의 발표 내용을 조목조목 반박하기도 했다.
하지만 배후가 드러났다고 해서 이번 사건이 모두 마무리된 것은 아니다. 공격자가 국내 전산망을 휘저은 과정을 밝혀내야 하고 빈틈을 메울 일들이 남아 있다.
당국 설명에 따르면 공격은 목표 기관 내부 PC나 서버를 장악한 뒤 실행하는 방법을 취했다. 기업 내부망에 접근할 수 있는 권한을 손에 쥐고 난 뒤, 공격자는 자료 절취와 전산망 취약점 등을 파악했다. 이 과정에서 보안 등 프로그램상의 취약점이 발견됐고 중앙서버를 통해 PC 파괴용 악성코드를 내부에 일괄 유포, 피해를 입힌 것이 이번 사태의 골자다.
그러나 여기에는 구체성이 결여돼 있다. 공격자가 어떻게 피해기업 모두의 내부 PC·서버를 장악했는지, 이 과정에서 우리 기업이 보안 수칙에 반하는 실수나 과오는 없었는지 확인되지 않았다. 해커가 내부 전산망에 들어와 어떤 방식으로 실체를 숨긴 채 공격을 했는지도 여전히 의문이다.
그간 보안 사고들은 구체적 원인을 따져보지 않고 어물쩍 넘어가는 경우가 적지 않았다. 100% 보안은 없다는, 해킹은 막을 수 없다는 전제를 당연시해서다. 그러나 완벽한 보안이 없다고 해서 잘못이나 과오까지 덮어지는 건 아니다. 철저한 분석과 반성, 보완책이 없으면 사고는 언제든 다시 찾아올 수 있다.
윤건일기자 benyun@etnews.com
