지난 20일 주요 방송사 및 은행의 전산망을 정지시키고 컴퓨터를 가동 불가능한 상태로 만든 사건의 원인과 대책을 놓고 다양한 의견이 제시되고 있다.

사건의 원인은 지능형 지속보안위협공격(APT, Advanced Persistent Threat)으로 인한 것으로 굳어져가는 분위기다. APT공격은 이메일이나 메신저를 통해 악성코드를 유포한 후 이를 이용해 시스템 접속 권한 등을 탈취해 범죄에 악용하고 남겨진 컴퓨터와 전산망에 피해를 입히는 방식의 공격을 말한다. 방송통신위원회는 “피해사의 업데이트 관리 서버가 해킹되어 이를 통해 내부 PC가 대량 감염됐다”는 입장을 밝혔는데 이 역시 전형적인 APT공격 방식으로 해석된다는 게 전문가들의 지적이다.

‘업데이트 관리 서버’란 백신 프로그램 등에 대한 유지·관리·보수의 자동화를 담당하는 서버를 말한다. 안랩이나 하우리 등 업체에서 기업에 백신 프로그램을 제공할 때 업데이트 관리 서버를 함께 설치한다. 해당 기업의 소유한 개인용 컴퓨터에 설치된 백신 프로그램들은 이 업데이트 서버를 통해 관리된다. APT공격을 자행한 해커가 기업 내부 전산망에 침입해 이 업데이트 관리 서버를 해킹해 악성 코드를 쉽게 유포했다는 것이다.

MBC라디오 손석희의 시선집중에 출연한 권석철 큐브피아 대표는 “안랩과 하우리 백신의 업데이트 서버가 해킹당한 것으로 생각된다”라면서 “하우리나 안랩 자체가 해킹을 당한 것은 아니고 제품을 공급한 회사 안의 업데이트 서버가 해킹당한 것으로 생각 된다”라고 발언해 이러한 추측을 뒷받침했다. 이메일 등의 경로로 악성코드를 심을 경우 보안 프로그램에 의해 무력화될 수 있지만 아예 백신 프로그램의 업데이트 서버를 이용하면 보안 프로그램의 방어를 우회할 수 있으므로 해커가 이러한 계획을 세웠을 가능성이 크다는 것이다.

해커가 로마군 보병대대의 용어를 사용한 것도 화제가 됐다. 권석철 대표는 “해킹된 방송국 PC에서 ‘하스타티’라는 용어가 발견됐고 LG유플러스 그룹웨어 페이지에서 프린키페스라는 용어가 발견됐다”며 제3의 공격이 있을 수 있다는 견해를 밝혔다. 하스타티, 프린키페스는 로마군 보병대가 3줄로 나누어 공격을 하는 형상을 표현한 말인데 하스타티는 선봉대열, 프린키페스는 제2열, 트리아리가 제3열을 표현하는 말이므로 ‘트리아리’에 해당하는 공격이 있을 것이라는 추측이다.

이어서 권석철 대표는 “기술 자체는 별 게 아니지만 시나리오는 상당한 수준이다”라며 “특정망을 이용한다거나 특정 업데이트 서버를 이용해 악성코드를 배포한다거나 하는 계획들은 여러 고민과 시도를 갖고 준비해야 하는 것”이라는 견해를 밝혔다. 그러면서 그는 “과거 북한의 소행으로 밝혀졌던 수법들과 굉장히 유사하다”면서 “북한 소행일 가능성이 농후하다”는 추측을 내놓기도 했다. ‘후이즈’라는 메시지가 해커팀의 명칭을 나타낸 것이 아닐 수 있다는 입장이다.

각 기관들의 보안 수준을 문제 삼는 의견도 있었다. 한 IT전문가는 “북한이 했든 아프리카 한량이 했든 악성코드에 개인용 PC가 뚫리면 속수무책인 상황이 문제라는 생각을 해야 한다”며 “기본적으로 보안에 취약한 형태로 업무 환경이 조성돼있는 부분을 개선할 필요가 있다”는 입장을 밝히기도 했다.