오리무중 한수원 해커, 한심한 주먹구구 대응

기자수첩입력 :2014/12/30 07:39

손경호 기자

정치적인 목적으로 해킹을 일삼는 공격자들을 '핵티비스트(hacktivist)'라고 부른다. 지난해 등장해 우리나라를 뒤흔들었던 '어나니머스 코리아', '하이 어나니머스'라는 해킹그룹은 최근 한국수력원자력을 해킹해 개인정보를 공개, 원전에 테러를 가하겠다고 협박한 원전반대그룹과 겹치는 구석이 있다.

정치적인 목적을 달성하기 위한 수단으로 해킹을 선택한 점, 트위터나 페이스북 등을 통해 자신들의 정당성을 알리면서 끊임없이 여론을 선동했다는 점에서 그렇다.

무엇보다도 이들의 화법에서 드러나는 아마추어스러운 느낌이 빼닮았다. 물론 원전 내부를 해킹했다고 주장하는 이들의 말이 사실이라면 국가기반시설의 보안시스템이 심각한 취약점에 노출돼 있다는 말이 된다. 그러나 예고와 달리 크리스마스를 기점으로 원전을 대상으로 한 2차 해킹은 아직 이뤄지지 않았다.

지난해 어나니머스 코리아라고 자칭하는 이들이 북한 웹사이트 가입자들의 신상정보를 유출시켜 우리나라를 떠들썩하게 했다. 6.25에 맞춰 북한 인터넷을 마비시켜버리겠다고 공언했으나 실제 공격은 이뤄지지 않았다. 그 사이 하이 어나니머스라 밝힌 또 다른 해커그룹은 일종의 보복성으로 청와대를 포함한 국내 정부 사이트를 대상으로 분산서비스거부(DDoS) 공격을 시도했다.

이들의 활동에 쓰인 공격수법 자체는 높은 수준의 기술이 아니었고, 실제로 취재해 본 어나니머스 코리아 역시 국내 중고생, 대학생 등으로 이뤄진 아마추어들이라는 점이 밝혀진 바 있다.

한수원 해킹은 어떨까. 공격수법이 명확히 밝혀지고 있지 않고 있다는 점에서 어나니머스라고 주장하는 이들보다는 높은 실력을 가진 것으로 추정된다.

그러나 해외에서 시리아전자군과 같이 이슬람 무장세력이 미국을 대상으로나 했을 법한 공격이 한국에서도 벌어지기 시작했다고 믿기에는 원전반대그룹 역시 '아마추어스럽다'는 느낌을 지울 수 없다.

이들은 한수원 관련 5차 정보유출 당시 트위터에 한수원 사이버 대응훈련 아주 완벽하시네. 우리 자꾸 자극해서 어쩔려고~ㅋㅋㅋ, 원전반대그룹에 사죄하면 자료 공개도 검토해 볼게, 사죄할 의향이 있으면 국민들 위해서라도 우리가 요구한 원전들부터 세우시지?라는 메시지를 던졌다.

올해 초 시리아전자군이 마이크로소프트(MS) 공식 트위터 계정을 해킹한 뒤 올린 것은 마이크로소프트 이메일(핫메일, 아웃룩)을 쓰지 말라. 그들은 당신의 계정을 모니터링하고, 관련 데이터를 정부에 판매하고 있다라는 메시지를 남긴 것과는 대조적이다.

원전이 국민들에게 피해를 줄 수도 있다는 점 때문에 반대한다고 나선 이들이 상대방을 놀림감으로 삼는 듯한 구어체를 쓰고 있다는 점에서 실제 원전에 반대하겠다는 것인지 조차도 믿음이 가지 않는다.

국가를 대상으로 한 사이버 테러 경험은 지난해 3.20, 6.25 사이버테러 이후 어나니머스 코리아, 올해 한수원 해킹까지 4차례다.

거듭 강조됐던 컨트롤타워의 역할은 이번에도 빛을 발하지 못했다. 청와대 국가안보실은 해커가 공격을 예고했던 크리스마스 당일 산업통상자원부, 대검찰청 등 10개 부처 관계자들과 회의 끝에 '국가사이버안보위기 평가회의'를 열고, 사이버 공격에 의한 원전 가동 중단이나 위험한 상황이 초래될 가능성은 없다며 원전 자료 유출 경위와 진원지를 규명하는데 주력할 것이라고 밝혔다. 이미 언론을 통해 보도된 내용을 되풀이 하는데 그쳤을 뿐이다.

사이버 테러는 누가 공격을 시도했는지 알기 어렵고, 해커가 아마추어가 아닌 이상 어떤 경로를 타고 들어와 어떤 시스템을 노렸는지 파악하기가 쉽지 않다는 점에서 마치 연쇄살인범을 잡는 것과 마찬가지로 오랜시간 프로파일링을 통해 범행동기나 공격그룹의 행동패턴을 파악하는 것이 필수다.

문제는 벌써 4차례나 유사한 공격을 당했는데도 불구하고, 일사불란한 대응이 이뤄졌다기보다는 주먹구구식 처방만 나오는 것 같다는 느낌을 지울 수 없다는 점이다.

더구나 국가기간시설을 대상으로 테러를 하겠다고 밝힌 말 그대로 '테러범'들이 마치 친구와 채팅할 때나 쓸 법한 말투를 구사하고 있다는 점에 대해서도 이렇다 할 분석이 나오지 않았다.

최소한 원전을 테러하겠다고 말하는 해킹그룹이 실제로 어떤 목적을 갖고 해킹을 수행한 것인지, 이들이 과거 사건과 연관성은 없는지 등에 대해서도 모니터링이 이뤄졌어야한다는 것이다.

국가안보실은 뒤늦게야 모습을 드러냈다. 개인정보범죄 정부합동수사단이 꾸려져 공격자들을 검거하는데 주력했다면 국가안보실은 해킹이 어떤 경로로 이뤄졌고, 실제로 국민들에게 미치는 영향이 어느 정도인지 국민들에게 차분히 설명하고, 이해를 구하는게 안보를 책임지고 있는 담당자들의 몫이었을 것이라고 본다.

국내외 보안전문가들의 말을 빌리면 핵티비스트를 잡기 위해 가장 중요한 것은 정확한 범행동기를 파악하는 일이다. 원전반대그룹이 표면상으로 내세우는 원전 가동 반대 이면에 사회혼란을 초래해서 또 다른 소기의 목적을 달성하려했을 수 있다는 가능성도 배제할 수 없다.

여러 차례 사이버 테러 이슈를 다뤘던 기자 입장에서는 이번 사건에서도 언론보도에 따라 해명하기에만 급급한 정부 관계자들의 모습들만 보였다.

관련기사

보안전문가들은 정말 심각한 일이었다면 해킹 발견 초기에 모든 네트워크 접속을 끊어버리고, 제대로 된 조사가 이뤄졌어야 한다고 지적한다.

한수원이 제어망, 내부망, 인터넷망은 서로 분리돼 있기 때문에 문제가 없다는 말만 되풀이하는 동안 초기에 전문가들이 투입돼 '골든타임'을 놓치지 않았더라면, 사이버 테러를 하겠다고 공언하는 집단들에 대한 보다 주도면밀한 프로파일링이 이뤄졌었다면 누군지도 모르는 원전반대그룹에게 온 나라가 뒤흔들리는 일은 없었을 것이다.