금융사 2·3차 해킹 예고 징후

방송국과 금융기관의 전산망을 마비시킨 ‘3·20 사이버 테러’ 악성코드가 기업의 데이터 시스템과 개인용 PC에도 널리 유포된 징후가 포착됐다. 이에 따라 추가 해킹 피해를 막으려면 대응 시스템을 총괄하는 컨트롤타워가 신속히 필요하다는 지적이 나오고 있다.

보안업체 안랩은 25일 이번 해킹에 사용된 것과 유사한 악성코드가 더 배포돼 수백대 이상의 PC를 감염시킨 것으로 추정했다. 이 악성코드에는 부팅영역(MBR) 파괴 기능과 함께 명령제어(C&C) 서버와 통신하는 해킹 프로그램이 추가된 것으로 확인됐다. 특히 안랩은 1차 때의 경우 내부 타이머로 공격 시간대를 특정했지만, 신종 악성코드는 공격자가 원하는 시간대에 공격을 할 수 있도록 진화했다고 설명했다.

이날 일부 금융기관의 감염 전산 시스템을 점검하는 과정에서도 2차, 3차 공격을 예고하는 징후가 포착된 것으로 알려졌다. 이 금융기관은 장애 발생 이전 수준으로 전산망을 정상화했지만 악성코드가 아직 전산망 어딘가에 남아 있을 가능성이 있는 것으로 판단했다.

전문가들은 이번 해킹 사건을 계기로 사어버 공격을 종합적으로 지휘하는 국가 차원의 컨트롤타워를 만들어야 한다고 지적했다. 정부의 사이버 공격 대응 시스템은 여러 부처로 역할이 분산돼 있어 신속하고 체계적인 대응을 못 하고 있다는 것이다. 앞서 합동대응팀은 농협의 사설 인터넷 프로토콜(IP)을 중국 IP로 오인해 발표함으로써 혼란만 부추겼다.

김승주 고려대 정보보호대학원 교수는 “해킹 원인 파악에는 시간이 소요되고 그 사이에 추가 해킹이 발생할 수도 있다”며 “이 때문에 해킹 사건이 나면 신속한 결정을 내릴 수 있는 공공기관이 필요하다”고 말했다. 컨트롤타워 기관에 예산권 등 권한을 부여하는 대신 책임을 지도록 해야 한다는 것이다.

현재 정부의 사이버 공격 대응 체제는 국가정보원, 국방부, 경찰청, 방송통신위원회 산하 한국인터넷진흥원 등으로 분산돼 있다. 또 중앙행정기관에 대한 방어는 정부통합전산센터를 지휘하는 안전행정부 책임이다.

이번 사건을 계기로 청와대는 사이버비서관을 신설하기로 했지만 여기에도 한계가 있다. 김 교수는 “미국의 경우는 사이버안보보좌관이 정보를 취합해 대통령에게 보고한다”며 “사이버안보보좌관에 버금가는 지위와 책임을 주고 각 부처에 흩어져 있는 정보들도 모아서 공유해야 한다”고 강조했다.

정보보호 학계는 제18대 대통령직인수위원회에 ‘국가사이버안보정책보고서’를 제출한 바 있다. 보고서는 청와대에 사이버전담관 신설, 국가사이버안보법(가칭) 제정, 사이버 부문 예산 확대 등을 담고 있다. 하지만 아직 정책에 반영되지 않았다.

한편 경찰청은 지난 20일 사이버 공격을 받은 6개 기관 가운데 일부 PC에 악성코드를 심은 해외 IP 주소 목록을 확보하고, 미국과 유럽 일부 국가 등 4개국이 감염 경로로 확인됐다고 밝혔다. 그러나 중국은 포함되지 않았다.

홍혜정 기자 jukebox@seoul.co.kr