오유에 댓글이나 달던 '국정원' 빅 브라더가 된다니

3월 20일 오후 KBS, MBC, YTN 등 국내 주요 방송사와 일부 은행 전산망이 일제히 마비되는 사태가 발생했습니다. '3.20 전산망 대란'으로 불리는 이번 사태는 악성코드에 의한 공격으로 KBS,MBC.YTN,신한, 농협은행 등의 전산망이 마비되고, 회사 전산망에 접속한 PC가 재부팅되지 않고 다운되는 등의 피해가 발생했습니다.

'3.20 전산망 대란'이 벌어지자 대다수 언론들은 북한의 소행이라는 주장이 나왔고, 이것이 '3.20 전산망 대란'의 원인이었다고 앞다퉈 보도하기도 했습니다. 그리고 며칠이 지난 뒤 또다시 지방자치단체에서 사용하는 통신망이 26일 오전 10시 50분께부터 80분간 장애를 일으켰으며, YTN 홈페이지도 외부의 소행으로 마비됐다고 하기도 했습니다. 

이처럼 전산망이 마비되는 사태와 해킹 사건 등이 계속 발생하면서도 왜 막지 못하고 있는지, 진짜 북한이 모든 사이버테러를 감행했는지를 알아봄으로 앞으로 우리에게 닥쳐올 위험을 정리해봤습니다. 

' 중국 IP 경유 북한 소행, 그러나 하루 만에 뒤집힌 결과' 

3월 20일 KBS,MBC.YTN,신한은행 등의 전산망이 마비되자마자 일부 언론들은 이번 사태가 북한 해커 소행이라고 보도하기 시작했습니다. 이들 언론은 '3.20 전산망 대란'에 사용된 악성코드가 '7.7 디도스 대란', '농협망 전산사고', '고려대 이메일 악성코드 주요사건', '중앙일보 해킹 사고' 등에 사용됐던 악성코드와 제작 기법 등이 같거나 매우 흡사하다며 북한 소행이라고 주장했습니다. 

▲ 3.20 대란이 터진 다음 날 머니투데이는 '단독'이라며 이번 사건이 북한 해커 수법이라고 보도했다. 출처:머니투데이

  
민·관·군 합동대응팀은 3.20 전산망 대란의 발원지가 중국이라고 발표했는데, 이런 정부의 발표 또한 북한이 중국을 경우하여 해킹을 했다는 의혹을 불러일으키며 북한이 '3.20대란'의 주범이라고 주장하기도 했습니다.

그러나 민·관·군 합동대응팀은 하루 만에 3.20 전산망 대란이 중국발 공격이 아닌 농협 내부망을 이용해 이뤄진 공격이라고 말을 뒤집었습니다.

대응팀은 농협 시스템에서 발견한 '101.106.25.105' IP주소가 공식적으로 중국에 있기 때문에 무조건 근원지가 중국이라고 섣부르게 단정했는데, 농협이 사내에서 해당 IP주소를 생성해 사용한다는 조사만 했다면 이런 어처구니 없는 발표를 하지는 않았을 것입니다.

▲ 조선일보는 3.20대란이 북한이 저지른 사이버테러라는 식으로 1면 기사에 보도했다. 출처:조선일보

북한이 3.20대란을 벌였을 수도 있습니다. 그러나 중국발 사이버테러라는 식으로 정부가 확인도 제대로 하지 않으면서 발표하고 이것을 언론들이 받아쓰기한다면 외교적인 분쟁이 있을 수 있습니다. 테러의 진원지가 중국이라는 말은 결국 북한과 중국이 공조해 사이버테러를 벌였다는 말처럼 들리고, 이는 중국 입장에서 확실한 증거도 없이 자신들을 범인으로 모는 것과 다를 바가 없기 때문입니다.

중국 외교부 대변인은 방통위가 중국발 공격이라는 발표를 하자마자 "해커들이 다른 나라 IP를 이용해 공격하는 건 통상적인 수법으로 중국과는 무관한 일"이라며 불쾌감을 나타내기도 했습니다. 이처럼 어설픈 수사는 외교분쟁까지도 일으킬 수 있기 때문에 늘 제대로 수사하고 발표해야 합니다.

' 7만3천건의 사이버테러 중 북한 소행은 단 6건'

북한이 3.20대란의 주범이 무조건 아니라는 것이 아닙니다. 그렇다고 무조건 주범이라는 전제도 잘못된 것입니다. 

면밀하고 과학적으로 수사하고 발표하고 물증을 잡아 외교적으로 압박해야 범인을 잡을 수 있는데 무슨 일만 터지면 북한이라고 하니 범인은 못 잡고 매번 이런 일을 당한다는 사실을 우리는 기억해야 합니다.

▲3.20 대란을 보도한 조선일보의 북한과의 연계성 관련 기사. 출처: 조선일보.

사이버테러만 일어나면 무조건 북한이라고 주장하는 언론들이 있습니다. 그들은 과연 대한민국에서 이루어지는 사이버테러 중 도대체 몇 건이 북한에 의해 일어나는 일인지 조사나 하고 이런 기사를 쓰는지 모르겠습니다.

실제로 대한민국에서 발생하는 사이버테러 중 국정원 조사 결과 북한 소행으로 의심되는 사이버테러는 극소수에 불과합니다.

국정원이 국회 정보위 소속 의원에게 제출한 자료에 의하면 지난 2008년부터 2012년까지 5년간 국가 공공기관을 대상으로 발생한 사이버테러는 총 7만3천30건이며, 그중에 단 6건만 북한 소행으로 분류되고 있습니다.

국정원이 북측 소행으로 판단된다고 밝힌 '사이버 침해사고'는 ▲2009년 국립환경과학원 ▲2009년 한미연합사 ▲2009년 7월7일 디도스 ▲2011년 3월4일 디도스 ▲2011년 농협 전산망 ▲2012년 중앙일보 등으로 비율로 따지면 극소수에 불과합니다.

물론 북한 소행이라고 판단하는 사건들이 굵직한 사건도 포함되어 있지만, 무슨 일만 터지면 '북한 소행'이라고 하기에는 가능성이 낮다는 사실을 알아야 합니다. 즉 모든 범죄 용의자를 수사 선상에 놓고 수사해야지, 이것은 무조건 북한 소행이라는 단정하고 수사한다면 진짜 범인을 놓칠 수 있습니다.

이 자료를 보면 국정원이 지난 5년간 발생한 사이버테러 대부분을 북한 소행으로 판단하고 있다는 일부 보수언론의 주장과 상반된다는 사실을 알 수 있는데, 사이버테러를 무조건 북한과 자꾸 연루시키는 집단을 보면, 이들이 이것을 통해 무언가를 얻고자 하는 이유가 있으며, 진짜 범인을 왜곡시키고 있다는 의혹을 지울 수가 없습니다.

' 이미 알려진 사이버테러의 위험, 왜 막지 않았을까?'

3.20대란은 갑자기 일어난 사건이 아닙니다. 실제로 이번과 같은 전산망 마비를 일으키는 사이버테러의 위험성은 미국을 비롯한 여러 나라에서 예견했고, 우리나라도 이에 대한 대책을 마련해야 한다는 주장도 제기됐었습니다.

▲ 한국금융연구원 발간한 '미국 은행들의 온라인 해킹범죄 공동대응 강화'란 보고서에서 발췌

한국금융연구원이 지난해 발간한 '미국 은행들의 온라인 해킹범죄 공동대응 강화'란 보고서에서는 이번 3.20 대란과 같은 APT(통신망 등에 미리 숨겨놓은 악성코드를 나중에 한꺼번에 작동시키는 수법)에 대해 경고하기도 했습니다.

보안업체들은 네이트 해킹사건 등을 통해 앞으로 APT 공격이 빈번하게 일어날 것으로 예측했고, 이런 경고에도 불구하고 대다수 금융업체와 방송사들은 아무런 조치도 취하지 않고 무기력하게 당한 것입니다.

▲ 3.20대란이 다크서울로 명명된 악성코드에 의해 이루어졌다고 주장한 소포스. 출처:네이키드 시큐리티.

캐나다 보안업체 소포스는 '네이키드 시큐리티'를 통해 3.20 대란의 원인이 '다크서울(DarkSeoul)'로 명명됐었던 악성코드 때문이라고 밝혔습니다. 소포스는 이번 악성코드가 특별히 정교한 것은 아니며, 이미 1년 전에 감지했던 악성코드였다고 밝혔습니다. 또한, 악성코드에 숨겨진 명령어들이 특별히 혼란을 초래할 만한 것도 아니며, 이런 이유로 무조건 북한의 공격으로 단정 짓기는 어렵다고 덧붙였습니다.

보안업체의 말이 무조건 옳다고 할 수는 없지만, 그들의 주장을 어느 정도 감안해서 듣는다고 해도, 이번 악성코드 자체가 정교한 것도 아니고, 충분히 사전에 탐지될 수 있었다는 점은 인정할만합니다. 그렇다면 왜 대한민국은 이와 같은 일을 막지 못했을까요?

▲ KBS 직원들이 3.20대란으로 피해를 입은 서버를 복구하고 있다. 출처:연합뉴스.

그동안 여러 차례 악성코드에 의한 사이버테러가 있었지만, 원천적으로 이런 문제를 해결하는 '망분리'를 하지 않았기 때문입니다. 망분리는 직원이 업무 용도로 사용하는 내부망과 인터넷 접속이 가능한 외부망을 따로 구축하는 방식을 말합니다.

중요 서버에 대한 침입을 막기 위해서는 외부 인터넷망과 사내 네트워크 사이를 분리시켜야 하지만, 3.20 대란으로 전산망이 무너진 KBS,MBC.YTN 등의 방송사는 취재기자의 사용방법이 어렵다는 이유로 그동안 망분리를 외면했었습니다.  

신한은행의 경우 악성 코드가 심어진 업데이트 관리서버(PMS)를 외부망과 분리하지 않았고, 2011년 해킹 공격을 당했던 농협도 여전히 내부망과 외부망을 분리하지 않아 똑같은 일을 다시 당한 것입니다.

이처럼 충분히 3.20 대란을 막을 수 있는 상황이었지만, 대한민국 방송사와 금융사들은 해킹 공격이 수차례 일어났어도 비용과 불편하다는 이유 등으로 가만히 앉아 있다가 또 당한 것입니다.

' 오유사이트에 댓글이나 달던 국정원이 사이버테러를 막는다고?'

3.20대란으로 금융사의 문제도 발견됐지만, 중요한 것은 KBS가 무너졌다는 점입니다. KBS 방송이 사이버테러에 속수무책으로 당했다는 점은 혹시나 발생할 재난이나 전쟁 상황에서 국가 공영방송으로 그 역할을 하지 못할 수 있다는 부분입니다.

▲ 재난방송 업무협약을 맺은 국토해양부,경찰청,산림청,KBS. 출처:국토해양부

쉽게 예를 들어 우리가 전쟁이나 재난이 발생하면 여러 방송사가 보도하지만 실제로 국가기관의 정보를 받아 공식적인 보도와 피해상황, 대처요령을 보도하는 방송은 KBS입니다. 그런데 이런 KBS가 전쟁이나 재난 상황에서 제대로 그 역할을 해주지 못한다면 큰 혼란을 초래할 수 있습니다.

하지만 KBS는 그저 재난방송을 담당하는 공영방송이라고 떠들어만 댔지. 농협 해킹 사건 이후에 보안전문가들이 경고했던 위험성은 깡그리 무시하고 사이버테러에 대한 대응책 마련을 아예 하지도 않았습니다.

만약, 누군가 방송을 장악할 목적으로 사이버테러를 강행하거나 사이버테러 때문에 전산망이 마비됐다는 이유로 정보를 조작한다면 어떤 사태가 발생할지를 생각한다면 KBS가 그토록 많은 수신료를 걷으면서도 왜 사이버테러를 대비하기 위한 대응책이나 '망분리'를 하지 않는지 고개가 갸우뚱해지는 대목입니다.

▲ 국정원이 민간까지 지휘할 '사이버 테러법'을 추진한다고 보도한 조선일보.

새누리당은 3.20대란을 막기 위해 국가정보원이 민간까지 지휘 통제할 수 있는 '국가 사이버 위기 관리법'을 제정하기도 했습니다. 새누리당 서상기 국회 정보위원장은 '국가 사이버 위기 관리법'을 대표 발의한다고 하는데, 만약 이 법이 통과되면 국정원이 사이버 테러를 막기 위한다는 명목으로 모든 온라인의 정보를 규제하고 통제하고, 사찰할 위험이 커집니다.

앞서 오늘 글을 길게 작성한 이유는 이런 빅 브라더와 같은 법을 만들지 않고도 충분히 사전에 사이버테러를 막을 수 있었음을 알려드리고 싶었기 때문입니다.

'망분리'내지는 기관 스스로의 노력으로 사이버테러를 어느 정도 막을 수 있는데 구태여 국민의 정보를 국가가 장악하여 통제하는 법을 제정하려는 움직임은 자신들의 할 일을 제대로 하지 않은 기관이 아무 죄가 없는 국민에게 그 책임을 떠넘기려는 국가 권력의 횡포이기 때문입니다.

▲대선 직전 국정원댓글녀 공방에 민주당과 문재인 후보를 공격했던 새누리당. 그러나 계속해서 밝혀지는 대선 여론조작 국정원 직원들. 출처:한겨레,연합뉴스

그동안 밝혀졌던 국정원 직원들의 대선 여론조작이 여직원 김모씨뿐만 아니라 다른 직원도 가담했다는 증거가 나왔습니다. 경찰은 인터넷 오유사이트에 여당과 정보를 옹호하고 야당 후보를 비판한 글을 올린 혐의로 국정원 직원 1명을 추가로 입건했다고 발표했습니다.

대한민국의 잡다한 얘기가 오가는 유머 사이트에 댓글이나 달던 국정원이 '빅 브라더'가 될려고 합니다. 대한민국에서 발생하는 사이버테러가 북한의 소행이라고 늘 주장하지만, 국정원이 스스로 밝힌 북한 소행은 7만3천건 중 겨우 6건에 불과한 상황에서(이정도밖에 못 밝혔다면 이것도 국정원의 무능력을 단적으로 보여주는 예) 국정원이 무슨 능력이 있어 대한민국 사이버 세상을 통제하겠다고 나서는지 도대체 이해가 되지 않습니다.

해킹이나 사이버테러는 분명 지금 시대를 위협하는 요소입니다. 그러나 그것을 막기 위한 최소한의 조치와 대응책을 사전에 하고 그마저도 안 될 경우 법을 제정하는 것이 옳습니다. 그러나 계속 해킹 사건이 발생해도 '망분리'는 물론이고 악성코드에 대한 위험 요소 대응책조차 하지 않고 무조건 법을 제정하겠다는 시도는 과연 그들이 그런 법을 제정하면 사이버테러를 막을 수 있는지에 대한 의문마저 듭니다.

국가권력이 이 글을 읽고 있는 여러분의 IP주소를 찾아 '정부를 비난하고 보수우익에 좌파로 찍힌 아이엠피터 블로거'를 즐겨 찾기에 해놓은 '요주의 인물'로 분류한다는 상상만 해도 두렵기도 하면서 아예 '아이엠피터' 블로그에 오지 말라고 권유해드리고 싶습니다.

정말 잘못한 것은 수신료를 걷어 사이버테러를 막는 일 대신에 권력을 미화하는 방송을 만들고, 고객에게 수수료를 받고도 매번 해킹을 당하는 자들에게 있지, 선량하게 온라인에서 자기 생각과 글을 자유롭게 나누는 국민에게 있는 것이 아닙니다.

'빅 브라더'를 꿈꾸는 국정원이 과거 유머 사이트에 댓글이나 달던 자들이라는 사실을 해외 보안업체가 안다면 얼마나 창피하고 조롱받을지 걱정입니다. 국정원과 새누리당은 '사이버 테러법' 추진 대신에 제발 악성댓글이나 달지 않기를 바랍니다.