3.20 대란’ 1주년, 엇갈리는 보안 위협 전망

지난해 이맘때, KBS·MBC·YTN 등 방송사 3곳과 신한은행·농협·제주은행 전산망이 마비됐다. 해커 조직은 다양한 경로로 악성코드를 퍼뜨려 목표로 삼은 곳에 침투할 때까지 기다렸다. 그리곤 한꺼번에 공격을 시작해 컴퓨터를 쓸 수 없게 만들어 전산망을 마비시켰다. 이른바 ‘3.20 대란’이다.

3.20 대란 1주년이 다가왔다. 그때 악몽이 재현될 소지는 없을까. 3.20 대란 1주년을 앞두고 인터넷 위협 수준이 크게 늘었다는 분석과 그렇지 않다는 해석이 엇갈린다.

▲사진 : http://www.flickr.com/photos/winstonavich/189032152. CC BY.

“3.20 재현 조짐 보인다”

먼저 위협이 커졌다는 분석을 살펴보자. 웹보안 전문회사 빛스캔은 지난달부터 이상 징후가 보인다며 경보단계를 공격이 일어나기 전인 ‘경고’ 수준으로 올렸다. 빛스캔은 지난해 모두 네 차례 보안 위헙을 경고했는데, 이 가운데 두 번이 적중했다. 3.20 대란과, 청와대 등 국가기관 웹사이트가 해킹당한 ’6.25 대란’이었다.

전상훈 빛스캔 최고기술경영자(CTO)는 “국내 웹사이트 180만곳과 해외 웹사이트 30만곳을 관찰한 결과, 평소보다 악성코드를 배포하는 웹사이트 수가 2배 정도로 늘어난 사실을 확인했다”라고 말했다. 빛스캔이 확인한 바에 따르면 MBN이나 한국경제TV 등 방송사 웹사이트도 악성코드 배포에 동원됐다. 또 2주 전부터는 평소와 달리 주중에도 악성코드 유포가 늘었다는 게 빛스캔이 분석한 바다.

전상훈 CTO는 최근들어 악성코드 배포가 한층 공격적으로 이뤄지고 있다고 말했다. 전상훈 CTO는 여의도순복음교회 웹사이트를 예로 들었다. 여의도순복음교회 웹사이트는 4주 전부터 공격을 받아왔다. 해커는 여의도순복음교회 웹사이트에 악성코드를 심는 웹주소를 숨겨두고 여기에 접속하는 컴퓨터에 악성코드를 감염시켰다. 전상훈 CTO는 특히 방문자가 많은 주말에 해커가 실시간으로 공격한다는 점에 주목했다.

“보통 웹사이트 관리자가 대응을 하면 해커가 공격을 자제해요. 자기 정체가 탄로날까봐요. 그런데 지금은 대응을 하는데도 계속 하는 거죠. 악성링크를 제거하면 5~10분 만에 다른 악성링크를 심을 정도예요. 이 정도로 적극적으로 공격하는 건 뭔가 큰 공격을 준비하는 거라고도 볼 수 있겠죠.”

전상훈 CTO는 “뭔가 사건이나 사고가 생기기에 충분한 위험 수준에 도달했다”라며 “공교롭게 3.20 대란과 시기가 겹치지만 이와 별도로라도 충분히 위험한 상황”이라고 경고했다.

“평소와 같지만 혹시 모를 위험에는 대비하고 있다”

빛스캔이 인터넷이 위험한 상황이라고 경고한 반면 한국인터넷진흥원(KISA)은 차분한 모습이다. 경보 단계도 평소대로 ‘정상’을 유지하고 있다.

한국인터넷진흥원이 밝힌 자료에 따르면, 악성코드를 배포하는 웹사이트는 줄어드는 추세다. 지난 1월 1447건에서 2월 789건으로 45%가량 줄었다. KISA는 국내 웹사이트 230만곳에서 악성코드가 유포되는지 여부를 감시하고 있다.

박정환 한국인터넷진흥원 침해사고탐지팀장은 “만약의 사태에 대비해 주요 언론사를 5분에서 10분 간격으로 감시하고 있으며, 3·20 대란 등에 이용됐던 악성코드 유포지와 경유지를 중심으로 감시를 강화하고 있다”라고 말했다.

유동영 한국인터넷진흥원 종합상황대응팀장도 지금 상황을 3.20 대란이 재현될 조짐으로 해석하는 것은 무리라고 말했다.

“악성코드가 많이 유포된다는 건 한 가지 단서일 뿐이죠. 경보 단계를 올리려면 다른 정보가 더 많이 필요합니다. 지금 상황은 지난해 3월과는 많이 다릅니다. 지난해엔 해커 집단이 바이러스 백신 업데이트 서버에 침투해 여기서 악성코드를 퍼뜨렸습니다. 단순히 웹사이트에서 악성코드가 많이 퍼진다는 사실만을 근거로 지금 상황을 3.20 대란과 연관짓기는 어렵습니다.”