국내 금융기관 53곳이 지난 7월부터 10월까지 넉 달간 해커로부터 집중 공격을 받은 것으로 드러났다. 방산업체를 노린 해킹에 이어 해외에서도 3·20과 연관된 조직 활동이 포착됐다. 지난 2013년 3월 20일 금융사와 방송사를 마비시킨 사이버 공격 조직 활동으로 추정돼 긴장감이 고조되고 있다.
23일 금융보안원 등 관계기관과 업계에 따르면 7월부터 10월까지 53개 금융기관에 북한발 해킹 시도가 감지돼 긴급 대응한 것으로 확인됐다. 금융권이 재빠르게 대응하면서 이렇다 할 피해는 나타나지 않았지만 제2의 3·20 사이버테러 경계령이 내렸다.
금융보안원은 금융권 150여곳을 관제하면서 관련 공격을 발견했다. 53개 기관에 2013년 3월 20일 금융권을 마비시킨 북한 조직이 사용하는 것과 동일한 명령&제어(C&C)와 통신한 기록이 감지됐다. 해커는 금융인터넷 서비스 서버 취약점을 찾는 공격을 감행했다. 이 과정에서 C&C 서버와 통신한 기록이 남았다.
금융권 해킹 시도는 과거 3·20 때처럼 사회 혼란을 노린 것으로 분석된다. 과거 일부 금융사만 노린 것과 달리 이번에 53개 금융기관에 침투를 시도하며 범위를 확대했다. 많은 금융서비스가 마비될수록 사회 공포감은 높아진다.
북한 해커 조직은 지난해부터 서울지하철·코레일(교통), 한국수력원자력(에너지), 농협(금융권), 청와대·국회·국방부(정부) 등 주요 기반 시설 전반에 사이버 테러를 감행 중이다. 이들은 최근 2015 서울 국제 항공우주 및 방위산업전시회(ADEX)에 참가한 국내외 386개 방산업체를 대상으로 표적공격(스피어피싱)을 했다. 한컴오피스 취약점을 악용해 악성코드를 심은 이메일을 발송했다. 이들이 보낸 이메일을 열어본 기업 전산망은 모두 악성코드에 감염됐다. 11월 초 PC에 저장된 정상 시스템 파일을 감염시켜 존재를 숨기는 북한발 악성코드가 공공기관에서 발견됐다.
북한 해커조직은 한국은 물론이고 해외까지 사이버전 영역을 확대한다. 지난해 11월 소니픽처스를 해킹한 데 이어 최근 유럽에서도 북한으로 추정되는 조직 흔적이 발견됐다. 팔로알토네트웍스는 최근 3·20 대란에 사용된 악성코드와 상당 부분 유사한 사이버 공격 사례를 보고했다. 유럽 운송과 물류 업계에 공격을 감행했다.
한 북한전문가는 “과거 3·20 사이버테러를 일으킨 때와 달리 현 정권은 북한 사이버전사를 경쟁시키며 팀별로 한국 내 주요 시설을 모두 해킹하는 작전을 세웠다”며 “이미 주요 시설에 상당수 사이버 땅굴을 파고 각종 자료를 빼돌렸을 가능성이 크다”고 설명했다. 그는 “그들은 필요한 시점에 사이버 심리전을 포함해 물리적 마비를 일으키도록 준비할 수 있어 철저한 조사가 시급하다”고 말했다.
앞으로 북한 사이버공격이 얼마나 더 늘지를 예측하기는 어렵다. 하지만 현 수준보다 줄어들지는 않을 것이라는 게 전문가 분석이다.
북한사이버전 전문가는 “수치화할 수는 없지만 북한공격은 더 은밀하게 끊임없이 지속될 것이라는 점은 분명하다”고 내다봤다.
토니콜 파이어아이 공공정부 부문 CTO는 “중국과 러시아에 이어 북한과 이란이 새로운 공격 주체로 등장했다”며 “공격을 모두 막을 수는 없지만 영향을 최소화해야 한다”고 설명했다.
김영린 금융보안원장은 “금융권을 노린 사이버 공격은 어제오늘 일은 아니지만 북한 해커 흔적을 발견해 긴급 대응했다”며 “수많은 공격 시도가 계속돼 긴장을 늦추지 말고 지속적으로 보안에 투자해야 한다”고 말했다.
김인순기자 insoon@etnews.com