언론지키는 사람들

대한민국의 IT 분야도 심각한 상황으로 가고 있습니다. 보안 관계자들이 문제 해결보다는 책임 회피에 몰두하고 있는 모양새입니다.

미래창조과학부는 10일 '민·관·군으로 구성된 정부 합동대응팀이 그동안 관련 접속기록과 악성코드의 특성 등을 분석한 결과, 지난 3월 20일 발생한 해킹 사태(3·20 해킹 사태)는 북한의 소행'이라는 주장을 내놨습니다. 정부 합동대응팀은 피해 업체의 감염 장비·국내 공격 경유지 등에서 수집한 악성코드 76종을 분석하고, 그동안 축적된 북한의 대남 해킹 조사 결과를 종합적으로 반영했다고 합니다.

하지만 특정 악성 코드를 사용했다고 이를 근거로 북한 소행이라고 주장하기 힘들 뿐만 아니라 북한의 과거 행태의 증거라고 제시하는 일련의 사건(2011년의 농협 해킹사태)이 북한 소행인지 증명된 바도 없기 때문에 그 자체가 무리한 주장이라고 판단됩니다.

정부 합동대응팀도 밝혔듯이 3·20 해킹 사태 당시 KBS·MBC·YTN 등의 방송국과 농협·신한은행 등 금융권의 보안이 초토화된 이유는 공인인증서 처리를 위해 사용되는 보안 프로그램 제큐어웹(XecureWeb)이 해킹됐기 때문입니다. 제큐어웹은 한국에서 사용되는 상당수 의 컴퓨터에 설치돼 있는 것으로 알려졌습니다.

제큐어웹으로 도배된 한국 보안체계, 다양성 살려야

▲ 3·20 해킹의 경로로 사용된 제큐어웹. 해킹된 제큐어웹 프로그램은 공인인증서를 사용하는 거의 대부분의 컴퓨터에 이미 인스톨돼 있는 상태다.
ⓒ 김인성	관련사진보기

다양한 보안 방식을 사용해야만 해킹을 당해도 피해가 국지화 될 수 있습니다. 만약 리눅스·애플 컴퓨터 등도 사용 가능한 국제표준 보안방식이었다면 지난 3·20해킹 사태 당시 공격당한 방송국의 일부 컴퓨터만 문제가 될 뿐 나머지 컴퓨터들은 살아있어 방송국이 정상적으로 운영됐을 것입니다.

현재와 같이 운영체제 및 보안 관련 프로그램이 '마이크로소프트-윈도우-인터넷 익스플로러-액티브엑스'로 통일된 상태에서는 간단한 악성 코드 하나도 전 국가시스템을 초토화시킬 수 있습니다. 기자들이 종이에 볼펜으로 방송 기사를 써야 했다는 3·20해킹 사태는 바로 이런 위험이 현실로 드러난 것입니다.

피해를 최소화하고 문제를 조기에 해결하려면 해킹이 발생한 원인과 대책을 제대로 알려야 합니다. 하지만 실상은 다른 것으로 알려졌습니다. 국내의 한 보안업체 연구실 관계자에 따르면 지난 6월 이후부터 국정원과 인터넷진흥원(KISA)은 제큐어웹의 보안 허점을 알고 있었고, 금융기관에 보안에 유의하라는 공문을 보내고 있었지만 보안업체에는 이를 외부에 알리지 못하도록 요구해오고 있었습니다.

보안 관계자들은 이런 식으로 사실을 은폐하는 행위를 하지 말아야 합니다. 정확한 사실을 알려야 문제를 해결할 수 있고, 피해를 입지 않은 나머지 사용자들이 해킹에 대비할 수 있기 때문입니다.

정리하면 지난 3·20해킹 사태는 한국식 (사설) 공인인증체계의 허점이 완벽하게 노출된 중대한 사건이라고 할 수 있었지만, 관계 당국은 한국의 보안이 무력화된 사실을 8개월 이상 숨긴 채 임시방편의 대책으로 문제를 해결하려고 시도해온 것입니다.

'북한 소행' 주장은 보안책임자들의 책임 회피

▲ 3.20 방송-금융사 전산망 해킹 사고로 피해를 입은 시스템
ⓒ (주)NSHC 제공	관련사진보기

그런데 이런 국가적 위기 상황에서 보안 관계자들은 자신들의 책임을 회피하기 위해서 또다시 북한을 거론하고 있습니다.

보안문제 해결을 하는 단계에서는 누가 해킹을 했는지는 사실 중요하지 않습니다. 물론 범인을 잡을 수 있다면 처벌해야 합니다. 하지만, 범인을 잡기 어려운 외국인의 소행이거나 국가 단위의 공격이었다면 국가 간 협력 혹은 국제기구 등을 통해 응징해야 합니다. 하지만 이런 일은 나중에 해도 늦지 않습니다.

지금 중요한 것은 우리에게 무슨 문제가 있었는지를 파악하고 그 해결책을 찾는 것입니다.

지금 상황은 우리나라의 보안을 책임지는 보안 관계자들이 지난 6월부터 8개월 이상 전 국민의 컴퓨터에 악성코드가 심어질 때까지 이를 쉬쉬하고 있다가 사실이 드러나니 면피를 하겠다고 북한을 거론하고 있는 셈입니다.

양치기 소년이 된 보안 당국

10일 미래창조과학부의 발표에 대해 의심을 품게 만든 원인은 정부 당국에 있습니다. 이명박 정권 시절부터 보안 사고가 발생할 때마다 관계자들은 제대로 된 근거도 제시하지 않고, '북한 소행'이라는 주장을 계속하며 책임을 회피해 왔기 때문입니다. 농협 사장은 고객의 거래 정보까지 잃어버렸음에도 어떤 책임을 지지 않고 사장 자리를 지킬 수 있었습니다. 보안 관계자들도 대부분 처벌받지 않았습니다.

이럴 수 있었던 것은 '악랄한 범죄 집단인 북한이 이렇게 집요하게 해킹을 시도했음에도 이 정도 선에서 막은 것은 선방한 것'이라는 논리를 만들었기 때문입니다. 지금도 그들은 같은 맥락의 주장으로 책임을 회피하려 하고 있습니다.

우리는 '해킹은 북한 소행'이라는 말 한 마디만으로도 공포에 사로잡힙니다. 특히 전쟁 가능성이 제기되고 있는 지금 시점에서 북한이 우리들 컴퓨터까지 장악하고, 마음만 먹으면 금융 정보까지 빼내갈 수 있다는 것이 사실이라면 그 어떤 것도 이보다 심각할 수는 없을 것입니다.

국민들이 북한에 두려움을 느끼는 동안 국가 보안시스템 전체를 획일화시켜 해킹에 취약한 구조를 만든 이들은 오히려 비상사태라고 주장합니다. 되레 그들은 더 많은 권한을 얻기 위해 국민에게 위기감을 조성하고 있는 것으로 보이기도 합니다.

여기서 잊지 말아야 할 것은 여태까지 해킹이 북한 소행이라는 주장은 일부 정부 조직의 일방적인 주장에 불과했으며 제대로 된 근거가 드러난 적이 없다는 점입니다. 2011년 농협 해킹 사태 때 국가정보원과 검찰은 북한의 소행이라고 주장했지만, 정작 금윰감독원의 관계자는 국회 보안 공청회에서 "우리 금융감독원은 북한 소행이라고 주장한 적 없다"고 말한 바 있습니다. 보안 당국이 또다시 '양치기 소년'이 되지 않으려면 북한 소행임을 납득할 수 있는 명확한 증거를 제시해야 할 것입니다.

책임 회피보다 보안 대책 수립이 우선

북한이 해킹을 했을 수도 있습니다. 범인이 북한이든 어디든 해킹을 한 이들은 범죄 집단입니다. 철저히 응징해야 마땅합니다.

하지만 지금 이 시점에서 북한을 거론하는 보안 관계자의 주장은 매우 잘못된 것입니다. 보안 문제를 해결하고 범인을 잡으려면 이런 사실을 비밀에 부치고 그들의 해킹 경로를 추적해야 할 필요도 있기 때문입니다. 진상이 밝혀지기 전에 누가 범인인지 떠드는 것은 범인들이 자신의 해킹 경로로 사용한 컴퓨터 파괴 등 범죄 흔적을 지울 기회를 주는 것과 같습니다.

보안 관계자들의 '무개념'도 문제입니다. 지금 보안 관계자의 주장은 '북한이 마음만 먹으면 우리나라의 모든 보안 시스템을 초토화 시킬 수 있다'고 떠들고 있는 것과 같습니다. 아무리 보안 사업이 공포를 조성하고 안심을 파는 분야라고 해도 어떻게 자신들의 부족함을 적나라하게 떠들 수 있는지 의아할 뿐입니다.

조금이라도 그들이 문제 해결에 의지가 있다면 '저희들이 해킹을 철저히 막아내지 못해 죄송합니다, 하지만 국민 여러분은 안심하시기 바랍니다, 저희들이 최선의 노력을 통해 피해를 최소화하고 앞으로 어느 누가 공격하더라도 문제가 없도록 철저한 대비책을 마련하겠습니다'는 식으로 대응해야 마땅치 않겠습니까.

보안 관계자는 북한을 들먹이며 국민을 불안하게 한 뒤 책임을 회피하려고 하지 말고, 지금이라도 자신들의 잘못을 자복하고 현 상황을 정직하게 알림으로써 국민을 안심시키고 아직 해킹 피해를 당하지 않은 분들이 대비할 수 있도록 해주시기 바랍니다.