청와대 등 정부기관과 새누리당, 일부 언론사에 대한 동시다발 사이버 공격은 다양한 방식으로 진행됐지만 하나의 세력이 저지른 것으로 추정된다.
청와대 공격은 홈페이지를 변조하는 해킹이었고 국무조정실과 국무총리 비서실, 새누리당 시도당은 디도스(DDoS·분산서비스 거부) 공격을 받았다. 일부 언론사는 기사송고 시스템 접속장애를 겪었다.
하지만 정부는 6월 25일라는 상징적 날짜를 선택한 점, 정부기관과 정당, 언론사 등 사회적 관심이 높은 곳을 노렸다는 점 등에 비춰 이 모든 공격이 한 단체의 소행일 것으로 추정하고 있다. 박재문 미래창조과학부 정보화전략국장은 정부과천청사 브리핑에서 “로그 기록 등 유사성을 살펴봐야 하지만 한 단체가 벌인 일로 의심하고 있다”고 밝혔다.
○ 공격의 경로
공격은 이날 0시를 기해 시작됐다. 보안업체 안랩에 따르면 25일이 시작되자마자 디도스 공격을 유발하는 악성코드가 일부 웹하드 업체를 통해 유포되기 시작했다. 안랩은 해당 악성코드 치료 백신을 만들어 정부기관과 개인 사용자에게 배포했다. 안랩 측은 “2011년 3·4 디도스 공격 때처럼 웹하드 업체가 악성코드 유포지가 됐다”고 설명했다. 당시 공격의 배후는 북한인 것으로 확인된 바 있다.
오전 9시 10분 시작된 청와대 홈페이지 해킹은 빠르게 복구됐지만 이 과정에서 해커는 자신이 수집한 정보를 공개하기도 했다. 청와대를 공격한 해커는 3개의 웹사이트 링크를 남겼는데 해당 링크를 클릭하면 각각 새누리당 당원, 청와대 홈페이지 가입 회원, 군 장병의 이름과 주소 생년월일 등 개인정보로 이어진다. 동아일보가 전화번호가 남겨진 해당 인물들을 전화로 접촉해본 결과 새누리당 당원 정보와 청와대 홈페이지 회원 정보는 사실인 것으로 확인됐다. 군 장병은 이름과 생년월일만 나와 확인이 불가능했다.
이 해커는 해커그룹 어나니머스라고 자처하며 새누리당 당원 250만 명, 청와대 홈페이지 회원 20만 명, 군 장병 30만 명의 신원정보를 갖고 있다고 주장했다. 해커는 이날 모두 20만9998명의 정보를 공개했다. 정부는 개인정보 유출에 따른 피해를 막기 위해 해당 사이트에 대한 접근을 차단했다. ○ 배후는 누군가
정보보안 전문가들은 이날 청와대 등을 공격한 세력은 북한일 가능성이 높다고 관측하고 있다. 이경호 고려대 정보보호대학원 교수는 “6·25 사이버 공격에 활용된 악성코드가 석 달여 전인 ‘3·20 사이버 테러’ 때와 유사하다는 얘기들이 일부 보안업체들 사이에서 나오고 있다”며 “북한의 소행으로 보는 게 맞다”고 주장했다. 3월 20일 벌어졌던 언론사와 금융회사에 대한 사이버 테러가 북한의 소행으로 결론 났기 때문이다.
일각에서는 국제 해커집단인 어나니머스의 일원을 자처하는 한 해커가 25일에 맞춰 북한 주요 웹사이트를 공격하겠다고 예고한 데 비춰 이에 대한 보복이라는 예상도 나온다. 청와대 홈페이지를 해킹한 해커는 스스로를 어나니머스라고 주장했다. 북한과 청와대를 공격한 해커들이 모두 어나니머스를 자처하는 셈이다. 이들은 서로가 서로를 가짜라고 지목하지만 해커그룹 어나니머스 자체가 실체가 모호한 집단이라 사실상 확인은 불가능하다.
이와 관련해 사정당국 관계자는 “어나니머스가 6·25 공격을 예고한 것에 반발한 북한 혹은 북한 추종세력이 청와대 홈페이지를 해킹했을 가능성이 높은 것으로 보고 수사 중”이라고 말했다.
○ 예고된 사태
진짜 문제는 3·20 사이버 테러 이후 비슷한 사태가 불과 3개월 만에 또 벌어졌다는 점이다. 보안업체 체크포인트코리아의 박성복 지사장은 “3·20 사태를 겪은 뒤 보안에 대비할 기간이 충분했는데도 국가 최상위기관의 홈페이지가 해킹당한 것은 심각한 일”이라고 지적했다.
사이버위기 경보를 ‘주의’ 단계로 격상시킨 정부도 바빠졌다. 국가정보원은 정부 웹사이트에 대한 조사를 맡았고, 한국인터넷진흥원(KISA)은 조선일보 등 언론사와 새누리당 홈페이지에 대한 사이버 공격의 방식과 배후세력을 파악하고 있다.
경찰도 나섰다. 경찰청 사이버테러대응센터는 “청와대와 해당 언론사에 수사팀을 급파해 피해 규모와 해킹 진원지 등을 확인하고 있다”고 밝혔다.
댓글 0