주간동아 468

..

국가기관 해킹은 누워서 떡먹기?

모의해킹에서 아마추어들에게 3곳 중 2곳 뚫려 … 해킹 사실 통보했는데도 보안 무방비

  • 송화선 기자 spring@donga.com

    입력2005-01-06 16:25:00

  • 글자크기 설정 닫기
    국가기관 해킹은 누워서 떡먹기?

    아마추어 해커들에게 해킹당한 KISTEP과 ITA 홈페이지

    2004년 12월○일, 모 대학 동아리방. 컴퓨터 주위에 둘러앉은 10명의 대학생들 사이에서 탄성이 터져나왔다. ‘한국과학기술기획평가원(KISTEP)’ 홈페이지가 대학 1, 2학년 해커들의 손에 ‘점령당하는’ 순간이었다.

    이들이 웹 서버 침투를 시도한 것은 겨우 5~6시간 전. 하지만 해커들은 어느새 서버에 보관된 홈페이지 접속자들의 아이디, 비밀번호, 주소 등을 손에 넣었다. 그리고 유유히 다른 디렉토리를 둘러보며 KISTEP의 각종 자료 파일들이 줄줄이 다운로드되는 것을 지켜보기 시작했다. 해커들 사이에서 ‘혹시 KISTEP이 우리를 잡기 위해 파놓은 함정에 걸린 게 아닐까’ 하는 수군거림이 일 만큼 손쉬운 작업이었다.

    국회 디지털포럼(회장 한나라당 서상기 의원)이 대학생 아마추어 해커들을 고용해 2004년 12월9일부터 14일까지 국가기관 3개를 모의 해킹한 결과, 2개 기관이 해커에게 주요 정보를 빼앗긴 것으로 밝혀졌다.

    서상기 의원은 12월21일 국회에서 열린 ‘국가기관 모의 해킹 결과 보고 및 국가 사이버 위협 대응체계 구축’ 토론회에서 “정보통신부(이하 정통부), 과학기술부(이하 과기부)와 산하 기관들의 정보 보호 수준을 파악하기 위해 아마추어 해커 10명으로 해킹팀을 구성해 한국정보보호진흥원(KISA), 정보통신연구진흥원(ITA), KISTEP 등 3개 기관에 모의 해킹을 시도했으며, 이 가운데 ITA와 KISTEP을 해킹하는 데 성공했다”고 밝혔다.

    KISA는 해커를 찾아내고 역습까지 펼쳐 정보보호 전문기관으로서의 자존심을 지켰지만, 다른 기관들은 허약한 보안 시스템을 그대로 노출시키며 체면을 구긴 셈이다.



    해킹 프로그램 이용해 손쉽게 침투

    이번 결과가 특히 충격을 주는 이유는 해당 기관들이 일찌감치 해킹 사실을 알고 있는 상태에서 이뤄진 일종의 ‘공개 테스트’였기 때문. 디지털포럼은 11월27일 정통부와 과기부에 정식 공문을 보내 “11월30일부터 12월14일 사이에 아마추어 해커들이 3~4개 기관 시스템에 침입할 것”이라며 협조를 구했고, 각 부서는 철저한 신원 확인과 획득 정보 외부 유출 금지 등을 약속받는 조건으로 이 ‘테스트’에 응했다.

    국가기관 해킹은 누워서 떡먹기?

    정보 보호 전문기관의 자존심을 지킨 KISA 홈페이지

    이때부터 대상 기관의 전산 및 보안 담당자들은 ‘수성’을 위한 전쟁에 뛰어든 것이나 다름없었다. 해당 기관들은 이번 시험의 제물이 되지 않기 위해 각종 네트워크 상황을 모니터링하며 비상 근무에 돌입했고, KISA는 8명으로 특별 대응팀을 구성해 3교대로 운영하며 자체 시설과 인터넷침해사고대응센터, 인증관리센터 등 3대 시설 보안에 나섰을 만큼 총력을 기울였다.

    디지털포럼 관계자는 “정통부 정보 보안 담당자가 11월 말부터 연일 야근에 시달리다 프로젝트 종료일 결국 쓰러졌다는 이야기를 들었다”며 “해당 기관들은 자신들이 할 수 있는 한 최선을 다해 시스템을 방어한 것”이라고 전했다. 그런데 이들의 튼튼한 ‘방패’가 아마추어 해커들의 뭉툭한 ‘창’에 뚫려버린 것이다.

    이번 모의 해킹에 참여한 해커들의 신분은 모 대학 1, 2학년생 10명이라는 것을 제외하고는 철저히 비밀에 부쳐져 있는 상태. 이들은 기자와 접촉할 때도 공중전화를 이용해 직접 전화를 걸어오겠다고 할 만큼 보안에 신경을 썼다. 한 대학 동아리 친구들로, 순수 아마추어 해커인 자신들이 세상에 노출될 경우 불이익을 받을 수 있다는 점을 우려한 때문이다.

    하지만 막상 해킹 과정에 대한 이야기가 시작되자, 이들은 정색을 하고 맞선 국가 기관의 노력이 안타깝게 느껴질 만큼 이번 해킹을 일종의 게임으로 여기고 ‘즐겼음’을 털어놓았다.

    “반드시 해킹에 성공해야겠다는 마음은 별로 없었어요. 평소 우리가 공부한 것이 어떻게 쓰이나 한번 시험해보자는 생각이었죠. 하필 프로젝트 기간이 기말고사 시험과 겹쳐서 많은 시간을 낼 수도 없었고요. 저녁 시간이나 쉬는 시간 짬짬이 기숙사, 동아리방 등에 모여 몇 시간씩 해킹을 했어요.”(K대 03학번 정모군)

    KISA는 해킹 감지하고 해커 추적하기도

    이들은 해킹을 위해 단 한 번도 밤새우거나 수업을 빼먹은 적이 없다고 했다. 고도의 해킹 기법이나 고가 장비를 사용하지도 않았다. 개인 컴퓨터를 그대로 썼고, 널리 알려진 해킹 프로그램을 이용해 시스템의 취약점을 파고드는 데 집중했다. 이들이 사용한 해킹법은 일정 수준의 컴퓨팅 실력만 있으면 누구나 할 수 있는 ‘보안 패치 미비로 인한 윈도 취약점 침투’, ‘웹 애플리케이션 취약점 공략’ 등. 그런데도 KISTEP은 주요 정보를 노출시켰으며, ITA는 보유 도서 자료 등이 있는 ‘library’ 웹 서비스가 피해를 입었다.

    국가기관 해킹은 누워서 떡먹기?

    2004년 10월20일 정통부 국정감사에서 정부의 정보 보안 능력에 대해 묻고 있는 서상기 의원

    이에 대해 참여 대학생들은 “ITA와 KISTEP의 경우 기본적인 보안 솔루션을 설치했지만 관리가 허술해 인터넷에서 쉽게 구할 수 있는 해킹 프로그램만으로도 침투할 수 있었다”며 “개인신상정보 노출과 정보 유출을 위한 백도어(back door·뒷문)를 설치하는 것도 어렵지 않았다”고 설명했다.

    이들이 이번 해킹에 전력을 기울이지 않았다는 것은 장소 선택에서도 쉽게 드러난다. 해당 기관이 쉽게 IP를 추적할 수 있는 학교 안 공개된 장소에서 시스템을 공격하다 KISA에 신분이 노출되는 실수를 저지른 것.

    무단 해킹을 하다 적발될 경우 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’에 의해 ‘3년 이하의 징역 또는 3000만원 이하의 벌금’에 처해지지만, 이들은 디지털포럼에 ‘해당 기관의 대외비 이상에 해당하는 기밀문서 또는 유형의 자료 등은 물론, 기타 중요 문서나 자료 등을 절대 반출하지 않겠다’는 내용의 ‘보안준수 서약서’를 제출했을 뿐 아니라, 해당 기관들의 승인을 받았기 때문에 법적 처벌은 받지 않았다.

    이에 대해 이번 해킹에 참여한 한 대학생은 “KISTEP 침투에 성공한 뒤 우리끼리 ‘이런 것도 안 막아놓다니, 정말 어이가 없다’고 혀를 찼다. 그 정도로 보안이 취약했기 때문에 별 주의 없이 함부로 시스템에 접근했던 것이 화근”이라며 “한 친구의 기숙사 방에서 KISA에 접근하다 IP 추적을 당해 학교 정보통신팀의 소환을 당했다. 처음부터 우리가 프록시 서버를 경유해 IP 주소를 지운 뒤 침투했다면, 그렇게 쉽게 꼬리가 잡히지는 않았을 것”이라고 말했다. 전문 해커였다면 역공에 노출되지 않고 해킹에 성공했을 수도 있다는 지적이다.

    이번 모의해킹 프로젝트가 시작된 것은 2004년 6월 중국 해커들이 원자력연구소와 국가 공공기관 등에 침입한 사건 이후 우리나라의 정보 보안 수준이 어느 정도 높아졌는지를 점검해야 한다는 의원들의 지적이 있었기 때문.

    이 프로젝트를 주도한 서상기 의원은 “국정감사 과정에서 국가정보원과 KISA 등에 정보 보안 수준을 물으니 모든 준비가 다 돼 있다고 대답해 이 프로젝트를 시작했다”며 “중국 해커의 침투 이후 보안이 강화된 상태인 데다 해킹 위험 경보까지 켜져 있는 상황에서 국가의 중요한 과학기술 데이터베이스를 보유한 KISTEP과 정보통신 정책을 다루는 ITA가 아마추어 해커에 의해 뚫린 것은 심각한 사건”이라고 지적했다.

    서 의원은 이번 결과를 계기로 “향후 발생할지 모르는 국제 해킹 피해의 가능성을 막기 위해 국가적인 대책 마련이 필요하다”고 지적했다.

    정보통신보안업체 ‘하우리’의 권석철 사장도 “최근 들어 전 세계적으로 해커 전문 조직이 급증하고 있다”며 “특히 중국과 동유럽 국가 출신인들을 중심으로 한 실력 있는 해커 조직들이 번성하고 있는데, 이들이 국가 기관을 공격 대상으로 삼을 경우 각국의 해커들이 뛰어들어 정보를 뺏고 빼앗기는 사이버 전쟁이 벌어질 수도 있다”고 경고했다.

    “전문해커 육성해 보안전문가로 키워야”

    권 사장은 “1990년대 중반 정부가 해커들을 대량 검거해 구속하면서부터 우리나라의 해킹 기술이 크게 쇠퇴하기 시작했다”며 “해킹은 보안을 위한 필수 기술인 만큼 정부 차원의 대책 마련이 필요하다”고 강조했다.

    이에 대해 정통부 석호익 정보화기획실장은 “이번 모의 해킹에 산하 기관이 뚫린 것은 유감이지만 소중한 결과로 삼을 것”이라며 “2005년 상반기에 통신과 방송, 네트워크가 모두 연결되는 유비쿼터스 시대에 대비한 정보 보호 대책을 발표할 것”이라고 밝혔다.

    과기부 송기동 기획관리실 과장도 “2005년에는 과학기술 정보보안센터를 설치하고 국가정보원·KISA 등과 긴밀히 협조해 체계적이고 종합적인 보안 활동을 전개할 것”이라고 말했다.

    하지만 아직 우리나라의 보안 의식은 많이 부족하다는 게 일선 관계자들의 지적이다. 정보 보안업체 ‘STG Security’의 문재철 사장은 “요즘에는 돈만 주면 무슨 일이든 해준다는 전문 해커들이 늘어나 경쟁 회사의 비밀정보 빼내기, 네트워크 침입 경로 알려주기, 보안제품의 취약점 알아내 무력화하기 등의 영역에서 무차별적으로 활동하고 있다”며 “우리나라도 보안 시스템 구축에 들이는 비용을 지출이 아닌 투자로 보는 시각이 확대돼야 하며, 정부 차원에서 보안전문가로 활동할 수 있는 전문 해커들을 육성해나가는 등 다각적으로 노력하는 것이 필요하다”고 제안했다.







    댓글 0
    닫기