정부 "악성코드는 트로이목마 형태"… 김장수 내정자 중심으로 대응태세 강화
대규모 사이버테러로 주요 은행과 방송사 전산망이 수시간 동안 마비되는 해킹사건이 발생하면서 정부가 민·관·군 합동대책반을 구성하는 등 총력 대응에 나섰다.
최종 컨트롤 타워는 청와대 국가안보실이 맡고 있으며, 실무는 민·관·군 합동 대응팀인 ‘사이버위협합동대응팀’이 책임지고 있다.
합동대응팀은 밤샘 분석 작업 끝에 사건 발생 하루 뒤인 21일 오전 전산마비를 일으킨 악성코드가 ‘트로이목마’ 형태라는 점을 파악한 것으로 알려졌다. 이에 따라 정확한 사고 원인과 진원지를 추적 중이지만, 현재까지 최초 공격지점과 북한의 소행인지 여부는 밝혀내지 못하고 있다.
특히 문제의 악성코드를 분석한 결과 ‘2차 공격’을 암시하는 문자열이 발견돼 추가 해킹 가능성에 주목하고 있다. 부팅영역(MBR) 손상 부분에 라틴어로 ‘첫 번째’와 ‘(로마)군대의 1열’을 각각 뜻하는 ‘PRINCPES’ ‘HASTATI’ 등 문자열이 발견됐기 때문이다.
정부는 전날 발령한 사이버 위기 ‘주의’ 경보를 이틀째 유지하는 가운데, 추가공격 발생에 대비해 전 기관에 경계강화 및 공격 발생 시 신속복구 체계를 가동토록 조치했다.
이와 함께 전산망 마비 원인이 분석되는 대로 국가사이버안전 전략회의를 열어 국가 차원의 후속조치를 논의할 계획이다.
청와대에선 공식 출범을 눈앞에 두고 있는 국가안보실이 본격 가동된 점이 주목된다.
김장수 안보실장은 아직 내정자 신분이지만, 그를 중심으로 박 대통령에 실시간 보고가 이뤄지고 있는 것으로 알려졌다.
김 내정자는 사건이 터진 당일 사태의 심각성을 인지한 뒤 10분 뒤에 곧바로 박근혜 대통령에 상황을 보고하는 등 신속한 대응태세를 갖추는 데 만전을 기하고 있다.
박근혜 대통령은 “우선 조속히 복구부터 하라. 그리고 원인에 대해서는 철저히 파악해 대책을 강구하라”고 지시했다.
국방부는 사건이 터진 이후 1시간쯤 지난 전날 오후 3시 10분부터 정보작전 방호태세인 인포콘(INFOCON)을 3단계(향상된 준비태세)로 한 단계 격상했다.
그러나 정부의 발빠른 대응에도 불구하고 해킹 시도에 무방비로 당했다는 점에서 정부와 민간의 ‘보안불감증’이 또다시 도마에 올랐다.
미국이 최근 사이버 영토를 육·해·공·우주에 이은 ‘제5의 전장’으로 삼고 사이버테러 대응능력을 높이고 있는 데 비하면 우리의 대응능력은 걸음마 수준에 불과하다는 게 전문가들의 지적이다.
이번 사건이 북한의 소행인지 여부가 아직 명백하지 않지만, 2009~2012년 사이 발생한 디도스 공격, 농협 전산망 해킹, 중앙일보 전산망 해킹 등 과거 북한의 사이버테러 때처럼 또다시 테러 주체를 밝히는 데 수개월의 시간이 낭비되는 건 아닌지 우려의 목소리가 높다.
국회 정보위원장인 서상기 의원은 “그간 국정원 등 정보기관의 업무 중 ‘사이버 보안’을 1순위로 생각해 거기에 따른 예산을 증액했는데 이런 일이 벌어졌다”며 “향후 모든 역량을 결집하고 장기적으로는 전문 인력을 양성해야 할 것”이라고 지적했다.