北 사이버 전사 앞에 벌거벗은 한국 인터넷

지난 12일, 경찰은 언론에 충격적인 사실 두 가지를 공개했다. 국방부 정보보안 용역을 맡은 업체가 외부 세력에 의해 해킹 당했다는 것과 국내 대형 병원 한 곳이 北해커에게 당한 뒤에도 8개월 동안 이를 알지 못했다는 것이다. 두 곳 모두 ‘하우리’가 정보보안을 맡고 있었다.

경찰청 사이버 안전국은 “지난 4월, 다른 사건을 수사하다 ‘하우리’에서 유출된 것으로 보이는 문서를 발견했다”면서 확인 결과 ‘하우리’ 직원의 업무용 PC 한 대가 해킹된 것을 확인했다고 밝혔다.

경찰 사이버 안전국에 따르면, ‘하우리’의 업무용 PC에서 유출된 문서는 국방부에 제출하기 위해 작성한 백신사업 입찰제안서 등이었다고 한다. 이에 경찰은 관련 사실을 즉각 국방부에 알렸다는 것이다.

경찰 사이버 안전국 측은 해킹 주체가 누구인지 등에 대해서는 구체적으로 밝히지 않았다. 하지만 같은 날 다른 사건에서 해커가 북한 사이버 전사라는 정황이 드러났다.

지난 12일 경찰 사이버 안전국은 북한 사이버 전사로 보이는 해커가 ‘하우리’의 업무용 PC를 해킹한 뒤 여기서 발견한 ‘취약점’을 활용해, 서울에 있는 모 대학병원의 중앙 전산통제시스템과 전산망 관리자 권한을 장악한 정황이 드러났다고 밝혔다.

경찰이 밝힌 사실에 따르면, 매우 심각한 상황이었다고 한다. 북한 사이버 전사가 ‘하우리’를 공격한 시점이 2014년 8월이었으며, 지난 4월까지 8개월 동안 해당 대학병원의 전산망을 완전하게 장악하고 있었다는 것이다.

이는 북한 사이버 전사가 해당 대학병원에서 진료를 받은 사람들의 모든 신상정보와 진료기록 등에 접근할 수 있었다는 뜻이다. 그럼에도 해당 대학병원은 공격을 당한 줄 모르고 있었다고 한다.

경찰 사이버 안전국은 ‘하우리’의 업무용 PC를 공격해 대학병원 전산망을 장악한 것이 북한 사이버 전사라고 봤다. 2013년 3월 YTN과 KBS, 신한금융지주 등을 공격했던, 북한의 ‘3.20 사이버 테러’ 당시 사용됐던 IP가 나타난 것이다.

국내 보안업계는 ‘하우리’가 북한 사이버 전사들의 해킹에 당했다는 소식이 전해지자 “이제 북한은 ‘하우리’의 제품을 쓰는 모든 기관 전산망을 마음대로 드나들 수 있을 것”이라는 비관적인 전망을 내놨다.

몇몇 보안전문가들은 특히 국방부 각 부대와 산하기관에서 사용하는 PC들이 북한 사이버 전사에게 무방비로 노출될까 염려하고 있다.

‘하우리’는 2009년 11월 전군에 보급된 20만여 대의 PC에 백신을 설치하는 사업을 수주한 바 있다. 이어 2011년 3월과 2014년 5월에도 국방부의 백신 설치 사업을 수주했다. 즉 국방부의 모든 PC는 ‘하우리’의 제품이 깔려 있다고 봐야 한다.

북한 사이버 전사는 이 ‘하우리’의 본사 직원이 업무용으로 사용하는 PC에서 ‘취약점’을 찾아내 ‘하우리’의 보안 프로그램을 사용하는 대학병원 등을 공격한 것이다. ‘취약점’이란 보통 프로그래머가 만든 뒤에 미처 파악하지 못한 보안 허점을 의미한다. 때문에 공격을 당했다는 것을 알아채기 전까지는 공격자가 무엇을 해도 알지 못하기 때문에 위험하다.

지난 7월 22일에 국내에 보도됐던, 북한 사이버 전사의 탈북자 사이트 해킹 또한 이런 ‘취약점’을 공격한 것이었다.

현재 새정치민주연합이 국정원을 물고 늘어지고 있는, RCS 프로그램 제작사 ‘해킹팀’의 공개된 기밀 자료에는 이 같은 ‘취약점 공격’ 노하우 등이 들어 있다고 한다.  

‘하우리’ 측은 경찰이 관련 사실을 공개한 뒤 “아무 피해 없이, 다 끝난 이야기가 경찰을 통해 다시 나와서 당황스럽고 억울하다”며 항변하고 있다. 관련 ‘취약점’을 보강하는 업데이트도 모두 마무리했다고 밝혔다.

하지만 ‘하우리’ 측의 해명은 ‘피해업체의 입장 설명’으로 밖에 보이지 않는다.

‘하우리’는 ‘안랩’과 함께 국내 정보보안 시장을 양분하다시피 해 왔다. 안랩이 V3와 함께 국내 금융거래 때마다 ‘액티브 X’와 함께 빠지지 않고 등장하는 ‘AOS(안랩 온라인 시큐리티)’로 잘 알려져 있다면, ‘하우리’는 국방부를 비롯해 대형 의료기관, 공공기관, 대기업 등에 보안 프로그램과 컨설팅 등을 제공하고 있다.

안랩의 경우 “2000년 5월 V3를 북한에 제공했다”는 의혹에 시달린 바 있다.

2005년 3월 27일 황미경 당시 안랩 홍보부장은 ‘아이뉴스 24’라는 IT 전문지와의 인터뷰에서 “2000년이었던 것 같은데 북한에 V3를 증정용으로 보낸 적이 있다”면서 “이때 한 일간지 기자에게 이야기했는데, 이것이 기사화돼 북한 측에서 사과공문을 요청했고, 결국 북한에 V3를 공급할 기회를 놓쳤다”는 내용이었다.

이와 관련된 정황은 2000년 5월 KBS, 오마이뉴스 등에서도 보도된 바 있다. 당시 안랩 측은 “북한의 정보화 수준을 높일 수 있다”면서 인도주의적 차원에서 북한에 V3를 제공하겠다”고 밝혔었다.

이 같은 언론 보도를 근거로 자유청년연합은 2012년 7월 안랩을 국가보안법 위반 혐의로 검찰에 고발했다. 2013년 검찰은 “안랩이 북한에 V3 소스코드를 제공하거나 제품을 보낸 적이 없다”는 수사결과를 공개했지만, 안랩에 대한 의심은 사라지지 않았다.

2013년 YTN, KBS, 신한금융지주, NH농협이 큰 피해를 입었던 ‘3.20 사이버 테러’ 때는 안랩의 V3 업데이트를 담당하는 ‘APC 서버’가 뚫리면서 다시 의심을 받았다. 이후 안랩은 국민들로부터 북한 사이버 전사들의 공격에 취약하다는 의심을 계속 받아왔다.

그렇다면 남은 국내 보안업체 가운데 유명한 곳은 ‘하우리’와 ‘잉카인터넷’ ‘이스트소프트’ 정도인데 이번에는 ‘하우리’가 뚫린 것이다. 게다가 ‘하우리’는 나름대로 실력을 인정받고 있어서 국방부를 포함 정부기관과 대기업 등의 보안을 맡고 있었다. 때문에 국내 보안전문가들은 북한의 사이버 공격에 국내 상당수 기업과 정부 기관도 위험하다고 보는 것이다.

보안 전문가들은 북한 사이버 전사를 포함, 해커들이 가장 먼저 노리는 목표가 바로 보안업체라고 지적한다. 백신 등 보안 프로그램을 해킹하면, 가장 많은 목표를 손쉽게 뚫을 수 있다는 점 때문이다.

해커들과 함께 보안업체를 운영 중인 큐브피아의 권석철 대표는 북한 사이버 전사들이 ‘하우리’의 취약점을 공격한 것에 대해 “이는 비단 ‘하우리’만의 문제가 아니다”라고 지적했다.

한국 보안업체 뿐만 아니라 시만텍, 마이크로트렌드 같은 해외의 대형 보안업체들도 해커들의 ‘취약점 공격’에 당한 적이 있었다는 것이다. 즉 실력 있는 해커가 시간과 노력을 들여 뚫겠다고 마음먹으면, 못 뚫는 보안 프로그램은 없다는 뜻이다.  

권석철 큐브피아 대표는 “국내 언론들은 ‘망을 분리해 놨으니 안전하다’거나 ‘우리 프로그램은 거의 완벽하다’는 정부 기관 또는 일부 보안업체의 이야기를 주로 전달하는데, 세상에 취약점이 없는, 뚫리지 않는 보안 프로그램은 없다고 봐야 한다”면서 “이제부터는 인터넷 보안 문제에 대해 새로운 시각에서 접근할 때가 됐다”고 지적했다.