해커 출신의 보안 전문가인 손동식 윈스 상무(침해사고대응센터장)은 “언론사 웹사이트가 다른 산업에 비해서 가장 보안에 취약한 상황이면서 불특정 다수(독자)를 상대하기 때문에 악성코드에 오염돼 좀비 PC로 변질시키는 진원지로 이용되고 있다”고 지적했다. 국정원 해킹 사태 이후 보안 이슈가 중요해졌다고 알린 언론사들이 정작 무방비 상태라는 지적이다. 

손 상무는 “Firewall, IPS 등 기존 보안 시스템은 전통적인 보안체계인데 이는 7~8년 전에 수명이 끝났다”며 “백신 등 보안 프로그램을 우회하는 공격이 7~8년 전부터 이어지고 있다”고 말했다. 언론사나 언론인이 백신을 통해 보안을 유지하고 있다고 ‘착각’하더라도 충분히 자신들의 기사가 악성코드에 오염될 수 있다는 뜻이다. 

손 상무에 따르면 해커들은 언론사 웹사이트에 있는 기사 텍스트나 광고 이미지에 악성코드를 심고 이를 본 독자들의 컴퓨터가 좀비PC로 변질된다. 하지만 이는 독자들도 알아차리기 어렵기 때문에 악성코드의 생존 기간(평균 416일)은 꽤 긴 편이다. 손 상무는 “한국수력원자련(한수원)이나 농협 해킹사건도 10개월 이상 갔던 사건”이라고 말했다.

백신을 우회하는 이런 공격은 비정형적이다. 손 상무는 “일정한 패턴을 가지지 않은 비정형적인 위험을 APT(지능형지속위협)이라고 하는데 이는 맞춤형 악성코드가 77%를 차지한다”며 “그냥 우리가 알 수 없는 모든 해킹 공격을 APT라고 보면 된다”고 말했다. ‘맞춤형’ 악성코드이기 때문에 쉽게 감지하는 것도 어렵다.  

악성코드 오염 사실은 제3자에 의해서 탐지된다. “모 언론사 사이트를 갔다 오면 컴퓨터가 느려져요”, “제 (게임) 아이템이 사라져요”, “계좌가 이상해요” 이런 반응들을 통해 해킹 사실이 알려지게 된다. 언론사들은 ‘우리 사이트 털어봤자 텍스트밖에 없다’며 보안에 소홀하지만 전 국민에게 퍼질 가능성이 있기 때문에 보안에 신경을 써야 한다. 

▲ 이탈리아 스파이웨어 업체 '해킹팀'

손 상무에 따르면 해커들은 웹의 취약점을 이용해 악성코드로 공격한 뒤 Root 권한을 획득해 관리자 지위를 접수한 뒤 악성코드를 전파하게 된다. 다른 방식으로는 파일업로드의 취약점을 이용해 웹 쉘을 이용해 Root권한을 획득한 뒤 악의적인 공격을 수행하기도 한다. 

기자들을 공격하는 방식도 있다. 손 상무는 “기자들이 원격으로 파일을 업로드하고 아이디랑 패스워드를 공유하기도 하는데 이 계정이 뚫리면 기사를 다 수정할 수 있게 된다”며 “언론사 신뢰도에 타격을 입힐 수 있는 공격”이라고 말했다. 이런 해커들의 공격은 진원지를 알 수 없다. 따라서 기자들이 정기적으로 아이디와 패스워드를 바꾸는 작업도 필요하다. 

손 상무에 따르면 현재 APT(지능형지속위협)에 대응하고 있는 언론사는 두 곳 뿐이다. 손 상무는 “언론인들이 만드는 창조물이 더 이상 위협받지 않아야 한다”며 “아직 늦지 않았다. APT에 대응하기 위한 고민이 필요하다”고 말했다.