원자력발전소(원전) 설계도가 유출된 초유의 해킹 사태가 해를 넘기고 있다. 자신들이 한국수력원자력(한수원)에 침투한 해커임을 밝힌 원전반대그룹(Who Am I)이 언제 또다시 한수원 내부망에 침투할지 불확실한 데다 아직 해커의 주요 공격 루트조차 파악하지 못하고 있기 때문이다. 원전반대그룹은 2014년 12월 25일 크리스마스와 27일 ‘원자력의 날’에 추가 공격을 하겠다고 예고했지만 일단 당일에는 아무 일 없이 지나갔다. 하지만 언제 또다시 보안망이 뚫릴지 모르는 상황이라 불확실성은 오히려 커졌다.
한수원 내부 문서 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사) 역시 갈피를 못 잡고 있다. 해커의 인터넷주소(IP·인터넷프로토콜)가 중국 선양 지역인 것으로 확인됐을 뿐 더는 밝혀낸 게 없다.
지금까지 확인된 사실관계를 정리하면 2014년 12월 9일 원전반대그룹은 한수원에서 원전 제어·발전시설 안전을 담당하는 직원 300여 명에게 집중적으로 ‘e메일 폭탄’ 공격을 감행했다. 해커는 직원들에게 악성코드가 포함된 e메일을 10~15통씩 보냈고, 한수원이 검찰에 제출한 직원들의 개인용 컴퓨터(PC) 30여 대 가운데 4대의 데이터가 모두 파괴됐다. 이후 해커그룹은 소셜네트워크서비스(SNS) 트위터를 통해 자신들의 존재를 직접 알렸다. 언론사 몇 곳에는 미리 빼낸 설계도 등 자료를 공개했다.
덮으려다 문제 키워
해커그룹은 트위터와 언론을 활용하면서 자신들의 존재감을 드러냈다. 이는 한수원의 초동 대응과도 관련 있다. 언론에서 관심을 갖고 취재에 들어가자 한수원 측은 “내부적으로 피해가 거의 없다”고 해명했다. 당시 보안업체들에 감염 PC의 조사를 의뢰하고 이 사실이 퍼지는 상황이었지만 발뺌하기 급급했던 것으로 보인다.
문제는 한수원이 공격 사실을 쉬쉬하자 해커그룹이 더 적극적으로 나섰다는 점이다. 일반적으로 특정 목적을 갖고 해킹한 경우 해커들은 실력을 뽐내거나 자신의 목적을 위해 적극적으로 해킹 성공 사실을 알리는 경향이 있다. 주요 해킹 공격 사례에서 ‘어나니머스(Anonymous·익명)’가 자주 언급되는 이유도 어나니머스 트위터 계정에서 해킹 사실이 자주 발표되기 때문이다. 많은 해커가 ‘어나니머스’라고 쓰인 이미지를 해킹한 웹사이트에 띄우는 등 행적을 남기기도 한다. 결국 한수원이 일을 덮으려다 오히려 문제를 키운 측면이 크다.
한수원은 2013년 주요 금융사와 방송사 전산망이 해킹당한 ‘3·20 사이버테러’ 이후 ‘국제 표준정보보호 경영시스템’을 적용하고 24시간 실시간 보안관제체계를 구축했다며 다양한 홍보 활동을 전개해왔다. 하지만 실제로는 2012년 이후 안전성 개선을 위한 과제 56개에 1조1000억 원을 투입하면서 정보보안 항목은 빼는 등 대응에 허점을 보인 것으로 알려졌다. 그동안 “사이버 공격으로부터 안전하다”고 했던 원전 제어 시스템에도 악성코드가 유입된 흔적이 발견됐다. 정부합동수사단은 12월 22~26일 고리·월성 원자력본부 사이버 보안체계를 긴급 점검한 결과 일부 장치에서 웜바이러스 치료 기록이 확인됐다고 밝혔다.
“북한이 배후”라며 흐지부지
2013년 청와대 홈페이지에 대한 공격과 3·20 사이버테러, 2014년 한수원 원전 설계도 유출 등 해킹 공격이 잇따르고 있다. 공공기관뿐 아니라 주요 국가기관 시설과 금융사, 언론사, 통신사가 해킹에 무방비로 노출돼 있다는 사실이 알려지면서 보안에 대한 관심도 높아졌다. 그때마다 정부나 주요 기관은 테러대응조직 신설 등 대책을 내놨지만 전시성에 머물렀다는 지적이 나온다.
실제로는 사이버테러에 대응할 시스템을 구축하지 않았고 책임 소재도 명확하게 가려지지 않았다. 익명을 요구한 금융당국 보안 전문가는 “사이버보안에 대한 명확한 목표를 설정하는 것도 아니고 그때그때 주먹구구식 땜질 처방만 내놓고 이후에는 나 몰라라 하는 사례가 많았다”며 “북한이 배후라는 얘기가 흘러나오면서 자연스럽게 추후 대응 논의는 묻히는 형국”이라고 설명했다. 테러를 막지 못한 데 대해 책임지는 사람은 없고 해킹 주체가 누구인지에 대한 의문만 증폭되다 결론 없이 끝나버리는 경우가 대부분이라는 설명이다.
정부는 2013년 사이버테러를 막기 위해 범정부 차원에서 대응체제 정비에 나선다고 발표한 바 있다. 민·관·군 합동대응팀은 당시 사이버테러 이후 사이버 위기 경고를 ‘관심’에서 ‘주의’로 한 단계 높이고 정부통합전산센터 내 정보 시스템과 통신장비, 통신망 등에 대해 24시간 집중 관제를 실시했다. 사이버위기대응긴급대응반을 편성하고 침해 사고에 대비하는 즉각적인 지원체계도 갖춘다고 발표했다.
특히 한수원은 사무용 PC에 대한 내부망과 외부망을 분리해 해킹을 원천 차단하는 방법을 썼다. 원전 전용 제어망은 한수원 사무실과는 물리적으로 분리돼 별도로 운용하면서 안전성에 대해 장담해왔지만 결국 해킹에 속수무책이었다.
한편 ‘좀비PC 방지법’이라 부르는 악성프로그램 확산 방지 등에 관한 법률을 제정해야 한다는 목소리도 높아지고 있다. 2012년 새누리당 한선교 의원이 발의한 이 법안은 악성코드에 감염된 PC가 발견되면 인터넷을 차단하거나 좀비PC를 강제로 치료하게 하는 내용을 담았다. PC방 등 다중이용시설 운영자의 경우 PC에 백신 소프트웨어를 의무적으로 설치하고 악성코드 감염 여부를 정기적으로 점검하게 했다. 만약 감염 PC가 발견되면 방송통신위원회가 침해 사고 원인을 조사, 분석하기 위해 PC에 접속하고 자료를 수집할 수 있게 했다. 백신 업그레이드를 제때 하지 않은 PC방 업주에게는 2000만 원 이하 과태료를 부과하는 등 강력한 제재 조치도 포함했다. 하지만 사이버테러 대응 효과보다 개인정보 등 사생활을 침해할 우려가 있고, 감염 PC 한 대 때문에 PC방 전체 서버 PC를 차단해야 하는 등 개인이 손실을 감수해야 한다는 이유로 반대 여론이 만만치 않다.
사이버보안은 인터넷 접속을 아예 차단하지 않는 이상 언제나 위험에 노출돼 있다. 한수원 외에 국방부 산하 기관 등 주요 시설 역시 언제든 타깃이 될 수 있다. 공격이 있을 때 얼마나 신속하게 막는지를 고민하는 게 사이버테러 대응의 출발점이 될 것이다.
한수원 내부 문서 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사) 역시 갈피를 못 잡고 있다. 해커의 인터넷주소(IP·인터넷프로토콜)가 중국 선양 지역인 것으로 확인됐을 뿐 더는 밝혀낸 게 없다.
지금까지 확인된 사실관계를 정리하면 2014년 12월 9일 원전반대그룹은 한수원에서 원전 제어·발전시설 안전을 담당하는 직원 300여 명에게 집중적으로 ‘e메일 폭탄’ 공격을 감행했다. 해커는 직원들에게 악성코드가 포함된 e메일을 10~15통씩 보냈고, 한수원이 검찰에 제출한 직원들의 개인용 컴퓨터(PC) 30여 대 가운데 4대의 데이터가 모두 파괴됐다. 이후 해커그룹은 소셜네트워크서비스(SNS) 트위터를 통해 자신들의 존재를 직접 알렸다. 언론사 몇 곳에는 미리 빼낸 설계도 등 자료를 공개했다.
덮으려다 문제 키워
해커그룹은 트위터와 언론을 활용하면서 자신들의 존재감을 드러냈다. 이는 한수원의 초동 대응과도 관련 있다. 언론에서 관심을 갖고 취재에 들어가자 한수원 측은 “내부적으로 피해가 거의 없다”고 해명했다. 당시 보안업체들에 감염 PC의 조사를 의뢰하고 이 사실이 퍼지는 상황이었지만 발뺌하기 급급했던 것으로 보인다.
문제는 한수원이 공격 사실을 쉬쉬하자 해커그룹이 더 적극적으로 나섰다는 점이다. 일반적으로 특정 목적을 갖고 해킹한 경우 해커들은 실력을 뽐내거나 자신의 목적을 위해 적극적으로 해킹 성공 사실을 알리는 경향이 있다. 주요 해킹 공격 사례에서 ‘어나니머스(Anonymous·익명)’가 자주 언급되는 이유도 어나니머스 트위터 계정에서 해킹 사실이 자주 발표되기 때문이다. 많은 해커가 ‘어나니머스’라고 쓰인 이미지를 해킹한 웹사이트에 띄우는 등 행적을 남기기도 한다. 결국 한수원이 일을 덮으려다 오히려 문제를 키운 측면이 크다.
한수원은 2013년 주요 금융사와 방송사 전산망이 해킹당한 ‘3·20 사이버테러’ 이후 ‘국제 표준정보보호 경영시스템’을 적용하고 24시간 실시간 보안관제체계를 구축했다며 다양한 홍보 활동을 전개해왔다. 하지만 실제로는 2012년 이후 안전성 개선을 위한 과제 56개에 1조1000억 원을 투입하면서 정보보안 항목은 빼는 등 대응에 허점을 보인 것으로 알려졌다. 그동안 “사이버 공격으로부터 안전하다”고 했던 원전 제어 시스템에도 악성코드가 유입된 흔적이 발견됐다. 정부합동수사단은 12월 22~26일 고리·월성 원자력본부 사이버 보안체계를 긴급 점검한 결과 일부 장치에서 웜바이러스 치료 기록이 확인됐다고 밝혔다.
“북한이 배후”라며 흐지부지
2014년 12월 22일 한국수력원자력 해킹 사건을 수사 중인 개인정보범죄 정부합동수사단 직원들이 서울 서초구 서울중앙지방 검찰청 14층 인터넷범죄수사센터 상황실에서 자료를 살펴보고 있다.
실제로는 사이버테러에 대응할 시스템을 구축하지 않았고 책임 소재도 명확하게 가려지지 않았다. 익명을 요구한 금융당국 보안 전문가는 “사이버보안에 대한 명확한 목표를 설정하는 것도 아니고 그때그때 주먹구구식 땜질 처방만 내놓고 이후에는 나 몰라라 하는 사례가 많았다”며 “북한이 배후라는 얘기가 흘러나오면서 자연스럽게 추후 대응 논의는 묻히는 형국”이라고 설명했다. 테러를 막지 못한 데 대해 책임지는 사람은 없고 해킹 주체가 누구인지에 대한 의문만 증폭되다 결론 없이 끝나버리는 경우가 대부분이라는 설명이다.
정부는 2013년 사이버테러를 막기 위해 범정부 차원에서 대응체제 정비에 나선다고 발표한 바 있다. 민·관·군 합동대응팀은 당시 사이버테러 이후 사이버 위기 경고를 ‘관심’에서 ‘주의’로 한 단계 높이고 정부통합전산센터 내 정보 시스템과 통신장비, 통신망 등에 대해 24시간 집중 관제를 실시했다. 사이버위기대응긴급대응반을 편성하고 침해 사고에 대비하는 즉각적인 지원체계도 갖춘다고 발표했다.
특히 한수원은 사무용 PC에 대한 내부망과 외부망을 분리해 해킹을 원천 차단하는 방법을 썼다. 원전 전용 제어망은 한수원 사무실과는 물리적으로 분리돼 별도로 운용하면서 안전성에 대해 장담해왔지만 결국 해킹에 속수무책이었다.
한편 ‘좀비PC 방지법’이라 부르는 악성프로그램 확산 방지 등에 관한 법률을 제정해야 한다는 목소리도 높아지고 있다. 2012년 새누리당 한선교 의원이 발의한 이 법안은 악성코드에 감염된 PC가 발견되면 인터넷을 차단하거나 좀비PC를 강제로 치료하게 하는 내용을 담았다. PC방 등 다중이용시설 운영자의 경우 PC에 백신 소프트웨어를 의무적으로 설치하고 악성코드 감염 여부를 정기적으로 점검하게 했다. 만약 감염 PC가 발견되면 방송통신위원회가 침해 사고 원인을 조사, 분석하기 위해 PC에 접속하고 자료를 수집할 수 있게 했다. 백신 업그레이드를 제때 하지 않은 PC방 업주에게는 2000만 원 이하 과태료를 부과하는 등 강력한 제재 조치도 포함했다. 하지만 사이버테러 대응 효과보다 개인정보 등 사생활을 침해할 우려가 있고, 감염 PC 한 대 때문에 PC방 전체 서버 PC를 차단해야 하는 등 개인이 손실을 감수해야 한다는 이유로 반대 여론이 만만치 않다.
사이버보안은 인터넷 접속을 아예 차단하지 않는 이상 언제나 위험에 노출돼 있다. 한수원 외에 국방부 산하 기관 등 주요 시설 역시 언제든 타깃이 될 수 있다. 공격이 있을 때 얼마나 신속하게 막는지를 고민하는 게 사이버테러 대응의 출발점이 될 것이다.