미래창조과학부와 한국인터넷진흥원 등 민관군 합동대응팀이 10일 기자회견을 열고 "해킹 관련 접속기록과 악성코드의 특성을 분석한 결과 북한의 소행이라는 결론을 내렸다"고 밝혔지만 "주장에 의한 주장일 뿐"이라는 반박이 나오고 있다. 또한 국정원 주도로 이뤄진 정부의 발표가 지난 9일 MBC 등 언론을 통해 보도된 정부의 보안 대책 미흡에 대한 비판을 물타기하기 위해 급조됐다는 의혹도 제기됐다.  

과거 북한 소행이라고 추정한 내용이 최근 벌어진 해킹의 흔적과 겹친다고 해서 북한소행이라고 하는 것은 무리가 있다는 주장이다. 또한 국가기관이 보안상 취약점을 발견해놓고 쉬쉬하다가 언론보도로 드러나자 면피용으로 북한 소행이라고 결론짓고 있다는 의혹도 제기됐다.

민관군 합동대응팀은 이날 미래창조과학부에서 기자회견을 열고 "지난해 6월 28일부터 북한 내부 PC 6대가 금융사에 1590회 접속해 악성코드를 유포하고 PC 저장자료를 절취했으며, 공격한 다음 날인 3월 21일 해당 공격경유지를 파괴, 흔적 제거까지 시도했다"고 밝혔다.

북한소행 해킹은 "일방적 주장일 뿐"

합동대응팀이 지난 3월 20일 방송과 금융기관을 상대로 한 해킹에 대해 북한 소행이라고 결론을 내린 근거는 크게 4가지다.

우선, 합동대응팀은 지난해 6월 28일부터 최소한 6대의 북한 내부 PC가 1천590회의 접속을 통해 금융기관에 악성코드를 유포하고 PC에 저장된 자료를 절취했다면서 이에 대한 근거로 통신상의 문제로 수초 또는 수분간 노출된 북한 인터넷프로토콜(IP)을 확인했다고 밝혔다.

특히 북한IP의 위조 가능성을 부인하면서 "발견된 13개의 북한 IP는 2009년 북한에 할당된 대역이었고, 최근 우리민족끼리 사이트 공격이 있었는데 그 사이트의 IP대역과 동일하다"고 주장했다.

하지만 이에 대해 김인성 한양대 교수는 "단순한 외국 유해 사이트까지 차단하고 있는 정보기관이 북한 IP를 알고 있으면서도 그럼 왜 차단하지 않았느냐"라면서 "북한 IP 대역으로 직접 공격이 들어왔다면 IP를 열어놓았다는 건데 책임을 방기한 것이 된다. 정부의 해명대로라면 모순에 빠지게 된다"고 반박했다.

김 교수는 "접속 로그에 특정 아이피(인터넷주소)가 나왔다는 얘기인데 이에 대한 소스와 검증이 없으면 일방적인 주장에 불과하다"고 말했다.

합동대응팀은 또한 악성코드 76종 중 30종 이상이 과거 북한이 사용한 것과 일치하다는 점도 이번 해킹 공격이 북한의 소행이라는 주요 근거로 제시했다.

하지만 김 교수는 "악성코드라는 것은 전 세계가 공통적으로 쓰는 것"이라면서 "악성코드라는 것이 미국에서 만들었다고 해서 미국에서만 쓰이고 중국에서만 쓰이는 것이 아니다. 특정한 악성코드를 썼다고 해서 특정 집단이 썼다고 할 수가 없다"고 반박했다.

▲ 전길수 한국인터넷진흥원(KISA) 침해사고대응단장이 10일 오후 정부과천청사 미래창조과학부 브리핑실에서 '3.20 사이버테러' 중간 조사결과를 발표하고 있다. 정부는 피해 업체의 감염 장비와 국내 공격경유지 등에서 수집한 악성코드 76종을 분석하고 수년간 국가정보원과 군에 축적된 북한의 대남해킹 조사결과를 종합적으로 반영해 3.20 사이버테러가 북한 소행이라는 조사결과를 내놨다 ©연합뉴스

합동대응팀은 이번 해킹 공격에 사용된 경유지 49곳 중 22곳이 과거 북한의 경유지와 일치하다는 점도 북한 소행의 근거라고 했는데 이를 입증할 수 있는 것은 국가정보원과 기무사 등 정부에서 축적한 자료라고 하고 더 이상 확인이 불가능하다고 밝혀 문제로 지적된다.

김 교수는 "지난 농협 해킹 사건 때도 국정원과 검찰에서는 추가 증거를 내놓지 않았다. 이번 해킹 공격도 국정원과 군이 감시하고 있는 특정 아이피를 통해 진행됐다고 하는 등 똑같은 행태를 보이고 있다"며 "북한 소행이라는 주장을 검증하려면 이번 해킹 사건을 조사한 민관군 중 민간 쪽에서 이름을 내걸고 확인을 해주고 근거를 제시해야 한다. 국가기관은 내부 자료라고 해서 절대 내놓지 않을 것"이라고 말했다.

민관군 합동대응팀에 참여한 안랩 관계자는 “우리는 악성코드 샘플을 조사해 정부기관에 제공했을 뿐이고, 악성코드가 해킹에 사용했다는 것은 그쪽(정부)에서 종합적으로 판단할 일”이라고 선을 그었다. 
    
MBC 보도 이후 국정원 주도 발표… 보안대책 취약 은폐 의혹
 
특히 이번 합동대응팀의 발표는 정부가 민간시설의 보안상 취약점을 인지했지만 쉬쉬하고 있다가 언론보도로 드러나자 비난 여론과 책임을 면피하기 위한 것이라는 주장이 제기돼 논란이 예상된다.

MBC는 9일 지난달 20일 방송사와 금융사 전산망을 마비시킨 해킹 사건 당시 악성코드를 심어놓은 곳은 국내 대표적인 보안 프로그램이라고 단독 보도했다.

MBC에 따르면 해킹 사건 당시 악성코드는 온라인 결제를 하려면 반드시 내려받아 설치해야 하는 '제큐어웹 엑티브X' 프로그램의 취약점을 이용해 침투됐다. 다시 말해 은행 등 제큐어웹 엑티브가 깔린 웹사이트에 방문한 고객이 업데이트 지시로 프로그램을 깔았을 때 악성코드에 감염될 수 있다는 말이다.

MBC는 이어 “제큐어웹 엑티브X 보안프로그램은 금융권 절반 이상이 쓰고 있고 2천만대 가량의 일반 PC에 깔려있어 금융권도 공문을 보내 취약점을 경고하고 대처하라고 지시했다”고 보도해 파장이 일었다. 

MBC는 국내 절반이상의 금융권과 2000만대 이상의 일반 PC에서 제큐어웹이 활용되고 있는 상황에서 이미 해커들에게 제큐어웹의 취약성이 타깃이 됐는데도 정부의 대책은 미흡하다고 지적한 것이다.

전직 해커 출신인 홍민표 에스이윅스 대표는 "제큐어웹은 고객과 은행이 통신할 수 있는 보안 모듈의 하나"라며 "대부분의 은행이 쓰고 있는 프로그램으로 다운을 받은 고객의 전 PC가 해킹으로 털릴 수 있어 사이버상 2차 위기가 올 수 있다"고 경고했다.

▲ 지난 9일 MBC는 '제큐어웹'(XecureWeb) 액티브엑스(ActiveX)가 '3.20 해킹'에서 악성 코드의 유포 경로로 활용됐다고 보도했다.

합동대응팀에 참여하고 있는 임종인 고려대 정보보호대학원 원장은 하지만 "MBC 보도가 오보라고 할 수 없다"고 반박했다.

임 원장은 "3.20 사이버테러의 피해 업체 6곳 중 2곳은 제큐어웹의 보안 패치를 설치하지 않았다"면서 "정확하게 관리자 PC를 장악 당한 것은 맞지만 장악 당한 경로가 다양해서 최초 감염 경로가 밝혀지지 않았다. 2곳은 패치가 안됐기 때문에 전문가들은 제큐어웹을 통해 당했을 것이라고 추정하고 있다"고 밝혔다.

임 원장은 또한 "3.20 사이버테러가 제큐어웹을 통한 감염이라고 확신해서 특정할 수 없지만 3월 25일 날씨닷컴은 완전히 제큐어웹을 통해 감염된 것으로 확인됐다"고 말했다. 

제큐어웹을 만든 보안업체인 소프트OO측은 그러나 민관군 합동대응팀의 발표를 신뢰한다는 원칙적인 입장을 밝혔다. 소프트포럼 관계자는 "합동대응팀에 소프트OO이 속하지도 않은 상황에서 3.20 테러는 연관이 없다고 공식적으로 발표됐으면 저희도 그대로 연관이 안된 것으로 받아들일 수밖에 없다"고 말했다.

이 관계자는 "지난해 6월 클라이언트 모듈의 업데이트 기능을 통해서 악성코드가 침투될 수 있다는 위험성이 있다는 권고를 받아들여 은행사나 민간기업에 보안 패치를 설치하도록 했지만 금융사 같은 경우 시스템 자체로 수동 설치가 간단치 않은 문제가 있었다"고 말했다.

국정원도 제큐어웹의 취약성에 대해 인지하고 있다는 것을 시인했다. 국정원 관계자는 "지난해 우리원에서 제큐어웹의 결함을 발견해서 관련 제작사인 소프트포럼에 보안을 권고한 사실이 있다"고 밝혔다.

국정원 관계자는 "제큐어웹과 관련된 공공사이트는 완벽히 시정을 했는데 은행 등 민간사이트 부분에는 권한이 없기 때문에 업체에 권고요청만 가능했다"고 해명했다.

이와 관련해 김인성 교수는 "보안업체 기술 연구소 책임자의 증언에 따르면 국정원이 작년 6월부터 제큐어웹이 취약하다는 것을 알고 있었고 보안업체에 대외적으로 공개하지 말라고 통제해왔다고 한다"면서 "결국 일반 업체에서 대응을 못하니까 해커들이 활개치고 다니는 것과 같은 것 아니냐"고 말했다.

실제 보안업계 관계자는 "업계 사이에서 제큐어웹을 포함해 엑티브X의 보안 문제로 감염이 심각하다는 것은 널리 퍼져 있고 개선하자는 목소리가 컸다"고 전했다.

또다른 보안업계 관계자는 "제큐어웹의 취약성 문제는 한 기업의 일이라기 보다는 보안 프로그램을 허용하고 금융권이 사용될 수 있도록 한 것이 정부니까 정부의 책임으로 당연히 이어질 수밖에 없다는 점에서 이번 발표는 석연치 않다"면서 "정부가 북한 소행이라는 점에 초점을 맞추는게 아니라 해킹에 취약한 보안 솔루션에 대한 대책을 논의하고 국민에게 발표해야 했다"고 말했다.

결국 정부는 지난해 보안프로그램의 취약성을 인지하고도 쉬쉬하고 있다가 논란이 일자 책임을 피하기 위해 뒤늦게 관련성을 부인하고 전산상 취약점을 이용해 해킹을 한 당사자가 북한이라고 주장하고 있다는 것이다.

김 교수는 "이날 브리핑은 해킹을 한 상대편이 강력하고 집요하게 해왔기 때문에 막을 수 없다고 얘기하는 것과 같은데 이미 8개월 전에 보안 취약성에 대해 얘기를 했어야 했다"라고 강조했다.

김 교수는 결국 "MBC 보도로 수많은 국민의 컴퓨터가 좀비 PC가 될 수 있다는 엄청난 내용의 얘기가 터져나오자 하루만에 책임을 덮으려고 한 것이 이날 브리핑"이라면서 "북한 소행이라는 근거가 나오지 않는 상황에서 북한은 모든 것을 해결할 수 있는 블랙홀인 셈"이라고 비판했다.

MBC 보도 이후 다음날에 갑자기 기자회견이 열리게 된 과정도 석연치 않다. 미래창조과학부에서 진행된 기자회견은 약 3시간 전에 결정돼 기자들에게 공지됐다. 원래 이날 오전에는 국가정보원 주재로 민관긴급대책회의를 열고 전산망의 취약성에 대한 대처 방안을 논의할 예정이었던 것으로 전해졌다.

지난 2011년 농협 해킹 당시 조사 발표는 3개월이 걸렸지만 이번 해킹 사건은 20여일만에 결과를 발표한 점도 이상한 대목이다.

정부 합동대응팀에서 해킹 사건을 수사 중인 경찰이 빠지고 국정원이 발표를 주도했다는 사실과 함께 경찰 내부에서 북한 소행으로 결론을 내는 것은 성급하다는 의견도 나왔던 것으로 전해졌다.

미래창조과학부 이승원 정보보호과장은 '국정원 주도로 긴급하게 발표한 게 아니냐'는 질문에 "민관군 합동대응팀은 사이버테러에 대해 계속 분석을 해왔고 이 정도 단계가 돼서 기자회견을 한 것"이라고 말했다.

이승원 과장은 하지만 'MBC 보도가 브리핑에 영향을 미쳤느냐'라는 질문에 "MBC에서 추측성 오보가 나오고 정부는 뭐하고 있는지 비난여론이 일어서 발표를 한 것"이라고 답해 MBC 보도가 발표에 영향을 끼쳤음을 시사했다.  

국정원 관계자는 언론보도 이후 책임 논란을 피하기 위해 이날 북한 소행의 해킹이라는 내용을 발표했다는 의혹에 대해 "국정원이 할 수 있는 조치를 모두 취했고 발표한 것인데 의혹이 있을 수 없다"고 부인했다.