초유의 '방송·금융망 해킹'…누가, 왜?

세계일보

방화력 완벽한 방송사 무력화…北서 보복 경고했던 3社 당해
후이즈 해커팀 “우리가 했다”…2차공격 의심 문자열도 발견
당국, 해킹 목적·실체 추적 20일 발생한 주요 방송사와 금융기관의 전산망 마비가 해킹에 의한 악성코드 유포로 드러나면서 정부와 경찰은 해킹 목적과 배후를 파악하는 데 주력하고 있다. 이번 해킹이 북한의 사이버테러일 가능성도 배제하지 않고 있다.

‘후이즈’라는 정체불명의 해커팀이 20일 오후 발생한 방송사와 금융사 전산망 마비를 자신들이 했다고 주장하고 있다. 사진은 한 트위터리안이 ‘회사 사이트가 해킹당했다’며 올린 후이즈 해커팀 관련 사진.

◆초유의 방송·금융망 해킹…누가, 왜?

전문가들은 이번 해킹의 목적이 금전적 이익이 아니라 자기 과시나 사회혼란을 겨냥한 것으로 보고 있다. 공격 대상에 금융기관뿐 아니라 방송사가 포함됐고 공격 사실이 즉각 드러나는 방식을 택했기 때문이다.

기존 KT와 SK커뮤니케이션즈, 농협 등에 대한 해킹 공격은 개인정보를 빼내 금전적인 이익을 얻기 위한 것으로, 해킹이 발생한 뒤 한참 지나 해킹 사실이 알려졌다.

이경호 고려대 교수(정보보호대학원)는“이번 해킹이 금전적인 목적을 추구했다면 이렇게 떠벌리지 않고 해킹 사실을 숨기면서 정보를 이용했을 것”이라고 말했다.

이번 해킹 공격은 해킹의 대상과 피해 규모 면에서 과거와 비교가 안 될 정도로 큰 파괴력을 지녔다. 이전의 디도스(DDos·분산서비스거부) 방식의 해킹과 달리 컴퓨터의 부팅을 막아 전산망 사용 자체를 불가능하게 만들었다.

KBS·MBC·YTN 등 방송사와 신한은행·농협 등 금융사 전산마비 사태가 발생한 20일 서울 가락동 한국인터넷진흥원 직원들이 인터넷침해대응센터에서 원인을 파악하느라 분주한 모습이다.
연합뉴스

해커 출신 보안 전문가인 박찬암 라온시큐어 보안기술연구팀장은 해커들이 장기간의 준비를 거쳐 공격을 감행한 것으로 분석했다. 박 팀장은 “이 정도로 동시다발적으로 한번에 (공격을) 터트리려면 철저한 계획하에 공격이 이뤄져야 한다”며 “해커들이 상당한 수준을 갖춘 것으로 보인다”고 말했다.

전문가들은 이번 해킹이 북한의 소행일 가능성에 무게를 두고 있다. 북한은 지난해 4월 대남 특별행동 예고를 통해 방송사 중 KBS·MBC·YTN의 이름을 직접 거론하며 위협하기도 했다.

‘후이즈(Whois)’라는 정체불명의 해커팀은 이번 전산망 마비를 자신들이 자행했다고 주장했다. 당국은 이 단체의 실체 여부에 대해 조사 중이다.

◆악성코드 분석중…2차 공격 가능성도

이번 해킹 사태를 조사중인 민·관·군 사이버위협합동대응팀은 악성코드에 2차 공격을 의심할 만한 문자열을 발견한 것으로 알려졌다.

합동대응팀에 소속돼 악성코드 분석을 맡고 있는 보안업체 잉카인터넷은 부팅영역(MBR) 손상 부분에 ‘PRINCPES’와 ‘HASTATI’ 등 문자열이 여러 차례 반복해서 나타나는 것을 확인했다. 이들 낱말은 라틴어로 각각 ‘첫 번째’와 ‘(로마) 군대의 1열’ 등의 뜻이다. 이번 공격을 감행한 해커가 2차 공격이나 3차 공격을 예고한 것으로 볼 수 있지 않느냐는 관측이 제기된다. 악성파일 내부에 파괴 일시도 포함된 것으로 분석됐다. 분석 결과에 따르면 파괴기능은 2013년 3월20일 오후 2시부터 동작하도록 만들어졌다.

잉카인터넷은 이번 전산망 마비와 관련한 전용백신을 홈페이지(www.nprotect.com)를 통해 무료로 배포하고 있다고 덧붙였다.

이 백신은 피해 PC를 치료하고 복원하는 소프트웨어가 아니고 MBR 손상을 막아주는 역할을 한다고 업체 측은 설명했다.

엄형준·김예진·오현태 기자 ting@segye.com

세계일보

스포츠

초유의 '방송·금융망 해킹'…누가, 왜?

오피니언

HOT뉴스

포토