전산망 대란- 사이버테러 속수무책

정부가 사이버 공간의 경계를 강화한다고 밝힌 지 일주일만에 주요 방송사와 금융기관의 전산망이 마비되는 사태가 발생했다. '경계 강화' 속에서도 전산망 마비 사태가 발생해 정부의 사이버테러 대응 능력이 허술한 것 아니냐는 비판이 나오고 있다.

정부는 이달 12일 북한의 무력도발이 이어지고 있다며 민·관·군이 합동으로 구성된 사이버위협합동대응팀을 구성해 사이버 공간에 대한 경계를 강화한다고 밝혔다. 정부는 앞서 북한의 핵실험 직후인 2월 12일 '사이버 위기 평가회의'를 개최해 사이버위기 '관심' 경보를 발령했다. 사이버위기 경보단계는 '정상-관심-주의-경계-심각' 단계로 구분되며, 관심 경보가 발령되면 국가 전산망 교란행위 와 인터넷서비스 제공 사업자를 목표로 하는 해킹, 디도스공격(서비스분산거부) 같은 테러의 발생여부를 24시간 모니터링하게 된다.

하지만 정부는 '관심' 경보를 발령한 지 5주 만에 '주의'로 상향해야 했다. KBS와 MBC, YTN 등 주요 방송사와 신한은행, 농협 등 금융권 전산망이 한날 한시에 마비되는 대란이 발생했기 때문이다. 주의 경보가 발령되면 모니터링 인력이 관심 경보보다 3배 이상 늘어나고 정부합동조사팀이 구성돼 현장조사와 대응을 하게 된다.

방송통신위원회 등 정부 기관들은 20일 2시 25분 사고가 발생했다는 신고를 받은 후에야 현장 대응팀을 출동시켰다. 이후 2시간이 지난 4시 20분에 긴급브리핑을 통해 "현재 디도스 공격이 아니고 해킹에 의한 악성코드 유포로 파악하고 있다"며 사이버위기 '주의' 경보로 상향한다고 발표했다.

정부는 24시간 모니터링 등을 강화했지만 피해 업체의 신고가 접수된 이후에야 이번 대란에 대해 알게 됐다. 방통위 관계자는 "해킹은 개인의 부주의 등으로 인해 악성코드가 (개인 PC에) 유입된 것이기 때문에 모니터링으로 알기 어렵다"고 해명했다. 이 관계자는 "디도스 공격 등으로 인해 대량 트래픽이 발생한 경우에는 모니터링을 통해 알 수가 있는데 이번에는 네트워크 트래픽 상에는 이상이 없었다"고 말했다.

보안 업계에서는 정부의 사이버 감시체계가 맥없이 뚫린 것이 정부의 대응이 미숙했기 때문이라고 지적했다. 박대우 국가사이버안보정책포럼 사무총장(호서대 벤처전문대학원 교수)은 "이날 발생한 악성코드 해킹의 경우 해커측에서 공격 대상업체의 취약점을 분석하고, 악성코드를 심고 공격을 실행하는 등 이전단계가 필요한 공격 방식이기 때문에 이전부터 전조증상이 있었을 것"이라며 "정부가 주요 기관인 KBS에서 발생한 전조증상에 대해서는 미리 알았어야 한다"고 지적했다.

그는 또 "사이버 공간에 대한 감시는 소극적인 모니터링과 적극적인 모니터링이 있는데 정부의 경우 디도스 발생시에만 알수 있는 네트워크 트래픽을 체크하는 소극적인 모니터링만을 한 셈"이라고 덧붙였다.

정보보호 솔루션 기업인 위노블은 이번 사태가 보안위협관리 시스템(SRM)으로 충분히 예방 가능했다고 밝혔다.

이 솔루션은 공격이나 이벤트 발생 이전에 공격경로와 취약점을 분석해 위협을 사전에 예방하는 시스템으로 이미 공군과 한국전력연구원에서 사용하고 있다.

정부가 표면적으로는 적극적으로 사이버 공격에 대응하겠다고 했지만 정작 이에 대한 감시와 대비가 허술했다는 비판을 피하기 어렵게 됐다.