2009년 8월호

北, 2006년 정동영 전 장관 등 안보당국자 e메일 대량 해킹

국회 서버 통해 ID·패스워드 수백 건 확보…보안자료 절취

  • 황일도│동아일보 신동아 기자 shamora@donga.com│

    입력2009-07-30 15:35:00

  • 글자크기 설정 닫기
    • 2006년 초 급증한 안보부처 해킹 시도, 역해킹 추적작업 시작
    • 해커그룹 PC에서 발견된 정동영 전 장관 등 당국자 메일계정 정보
    • 안보부처 집중, 사실상 전 행정부처 대상, 원자력연구원까지
    • 정부-국회 사이에 메일로 오간 정책자료·정부문서 유출
    • 해커그룹 보고체계 확인해 북측 소행 판단…남북관계 염려해 비공개
    • 2008년 2월 추가 해킹사건 공개로 당시 루트 대부분 폐쇄
    北, 2006년 정동영 전 장관 등 안보당국자 e메일 대량 해킹
    7월9일 늦은 밤, 오락프로그램을 방송하고 있던 KBS 2TV 화면 하단으로 ‘DDoS(분산서비스거부) 해킹코드에 자정을 기점으로 하드디스크를 파괴하라는 명령이 잠복해 있다’는 국가정보원 국가사이버안전센터(NCSC)의 경고자막이 끊임없이 흘러가기 시작했다. 흡사 공습경보를 연상케 하는 상황. 심야뉴스에 등장한 기자들의 목소리는 흥분한 듯 떨렸다. PC를 켜두고 퇴근한 직장인들은 ‘혹시 하드가 날아가는 게 아닐까’ 하는 걱정에 시달려야 했다.

    그렇게, 7월7일부터 사흘간 이어진 대규모 DDoS 공격의 충격은 거셌다. 청와대와 국방부, 미국 백악관 등 국가 주요기관의 홈페이지가 다운되는 사태는 사이버 테러의 심각성을 온 국민에게 각인시키기에 충분했고, 이후 벌어진 하드디스크 파괴는 그 숫자가 제한적이었음에도 공포를 자극하기에 충분했다.

    특히 이 사건의 주체가 어디냐를 둘러싼 논란은 여전히 가라앉을 기미를 보이지 않는다. 민간과 정부, 정보당국과 다른 관련부처, 한국과 미국의 시각은 제각기 흩어져 있을 뿐 뚜렷한 결론을 내지 못하고 있다. 국정원은 7월10일 국회 정보위원회 보고를 통해, 이번 공격에 활용된 IP 가운데 하나가 북한 측 조직에서 활용되던 것이며 배후에 북한 인민군 정찰국 산하 110호 연구소가 있는 것 같다고 보고했다. 이후에도 논란이 이어지자 국정원 측은 “북한 측 소행임이 최종 확인된 것은 아니다”라며 한발 물러서는 듯 보였다.

    물밑의 ‘진짜 해킹’ 전쟁

    그러나 이번 경우처럼 대외적으로 드러나는 공격이 많지 않을 뿐, 물밑에서 벌어지는 해킹 전쟁은 이미 오래전에 상상 을 뛰어넘는 수준으로 접어들었다는 게 관계 당국자들의 한결같은 전언이다. 남과 북뿐만 아니라 중국과 러시아 등 주변국 전체가 서로 얽혀 있어 동맹국과 적국이 따로 없을 정도라는 것. 각국 정부가 내역이 공개되지 않는 정보예산의 상당부분을 이 분야에 투입하고 있는 것 역시 공공연한 비밀에 가깝다.



    오히려 이번 DDoS 공격처럼 외부 홈페이지를 건드리는 경우는 납득이 가지 않을 만큼 예외적인 사례에 속한다. 상시적으로 벌어지는 사이버 전쟁의 주 종목은 상대국의 컴퓨터에서 정보를 몰래 절취해오는 ‘진짜 해킹’이다. 특히 안보나 군사 분야 정보에 집중되는 이 같은 해킹은 흔적을 남기지 않는 것이 절대적인 원칙인데다, 적발한다 해도 ‘범인’이 어느 나라인지 증명하기 쉽지 않기 때문에 공개되는 경우는 매우 드물다.

    그 가운데 대표적인 케이스로, ‘신동아’는 최근 복수의 전현직 안보당국 고위관계자로부터 2006년 불거졌던 대규모 해킹사건의 얼개를 확인할 수 있었다. 한 전직 청와대 관계자가 “노무현 정부 기간 불거진 두 건의 대표적인 해킹 사건 가운데 하나”로 표현한 이때의 일로, 안보 및 군사당국자 상당수의 e메일 패스워드가 유출됐다는 것. 이렇게 노출된 e메일을 통해 오간 보안자료와 인사상황 등 다수의 군사정보도 함께 새어나간 것으로 전해졌다.

    ‘신동아’가 이 같은 내용을 먼저 확인한 것은 2006년 당시의 안보당국 고위관계자 세 사람을 통해서다. 또한 이 사건의 개요와 대응조치의 내용이 정권교체 직후 새 정부에도 보고, 전달됐다는 사실을 이명박 정부 안보부처 고위관계자에게 추가로 확인했다. 취재가 마무리된 이후인 7월12일, ‘연합뉴스’는 핵심 정보당국자를 인용해 “2004년 이후 현재까지 북한이 해킹을 통해 최소 165만명에 달하는 남측 인사의 개인 신상정보를 빼낸 것으로 파악하고 있다”고 보도했다. 2006년 불거진 해킹 사건은 그 가운데서도 안보·군사 당국자들의 e메일 패스워드 유출이 확인되어 청와대와 관계부처 안에서 심각한 사안으로 떠오른 경우였다. 다음은 파악된 사건의 개요를 시간 순으로 정리한 것이다.

    개인 메일뿐 아니라 정부 메일까지

    사건의 뿌리는 2006년 초로 거슬러 올라간다. 2004년부터 본격화한 외부의 해킹 시도가 이 무렵 갑작스레 비약적으로 증가하고 있음을 확인한 정보당국은, 그 공격루트를 거슬러 올라가 역(逆)해킹하는 작업에 착수했다. 실제로 가입하지 않은 사이트에 주요 안보당국자 명의의 계정이 만들어지는 등 특이동향이 파악된 것도 영향을 미쳤다. 관련조직의 역량이 총동원된 이 때의 역해킹은 주로 중국을 경유해 우리 측 주요 정부기관에 해킹을 시도한 루트에 초점을 맞췄다.

    이 작업을 통해 정보당국은 몇몇 해커의 PC까지 거꾸로 파고들어가는 개가를 올렸다. 그 PC 에 연결돼 있는 다른 PC까지 추적함으로써 이들 사이에 오간 자료를 확인할 수 있었다는 것. 들여다본 PC에는 그간의 공격을 통해 해커들이 축적한 어마어마한 분량의 자료가 쌓여 있었고, 그 가운데 정보당국을 가장 긴장케 한 것은 해커그룹이 안보당국 관계자들의 e메일 패스워드를 다량 확보해 리스트화해놓았다는 사실이었다.

    그 직전까지 통일부 장관과 국가안전보장회의(NSC) 상임위원장을 겸임했던 정동영 당시 열린우리당 의장의 장관 시절 e메일을 포함해, 관련 당국자만 해도 수백 건의 e메일과 패스워드가 역해킹한 자료에서 확인됐다. 문제는 그 가운데 당국자들이 개인적으로 사용하는 포털사이트 e메일 패스워드뿐 아니라 정부 기관메일의 아이디와 패스워드도 일부 포함돼 있었다는 사실. 뒤집어 말하면 해당 정부 당국자들이 개인 메일을 통해 주고받은 자료를 해커들이 열람할 수 있었던 것은 물론, 정부 메일을 통해 오간 자료에도 접근할 수 있었다는 이야기였다.

    이렇듯 유출된 e메일 패스워드의 당사자는 청와대 안보실과 국방부, 합동참모본부 등 주로 안보부처 당국자들였지만, 사실상 정부 중앙부처 거의 전 기관에 걸쳐 패스워드 해킹이 시도됐다. 당시의 한 고위 관계자는 “내 패스워드만 유출되지 않았을 뿐 우리 방 직원들도 포함돼 있어 극히 심각한 상황이라고 판단했다”고 말했다. 특히 문제가 컸던 것은 그 폭발적인 증가속도. 한국원자력연구원 등 이전에는 해킹 시도가 많지 않았던 기관 인사들의 e메일 관련정보조차 해커그룹에 유출됐던 것이다.

    北, 2006년 정동영 전 장관 등 안보당국자 e메일 대량 해킹

    사이버안전 위기대응 통합훈련 기간이었던 2006년 8월17일 오전, 서울 역삼동 국가사이버안전센터에서 근무자들이 대응태세를 점검하고 있다.

    우선 개인 메일을 통해 오간 자료에는 각군 사관학교 동기모임 명부와 전현직 군 고위관계자 인사자료 등이 포함돼 있었다. 이들의 현재 직위와 연락처, 주소 등이 모두 포함돼 있는 자료였다. 당국자들이 관련 단체에 보낸 자료 메일이 유출됨에 따라 예비역 군 고위관계자들에 관한 신상정보가 무더기로 해커에게 넘어간 사례도 있었다.

    더욱 심각했던 것은 정부 당국자 사이에 주고받은 정책보고서와 분석자료 등이었다. 비밀등급이 부여된 자료는 e메일로 보내는 것이 불가능하지만, 업무협조 등을 위해 초안 형태로 만들어진 파일들이 해커그룹에 유출된 사실이 속속 확인됐다. 당시의 한 당국자는 “최대 쟁점이었던 6자회담 관련 분석 등 북핵 문제에 관한 일부 자료도 해커의 PC 안에서 확인된 것으로 기억한다”고 말했다.

    관리자 사칭 하는‘트로이 목마’

    역해킹한 자료의 구성과 특징을 분석한 결과, 이들 해커는 북한 측 인사들이었다는 게 당시 정보당국의 판단이었다. 이들이 언제 어떤 방식으로 관련 자료를 확보했는지, 이를 어떤 경로를 통해 누구에게 보고했는지까지 확인할 수 있었다는 것. “우리 측 자료를 해킹으로 입수하고 나서 이들이 얼마나 기뻐했는지 알 수 있는 부분까지 있었다”는 게 한 관계당국자의 말이다. 또한 이들 루트의 기술적 특징이 북한이 중국에 설치한 것으로 알려져 있는 해킹 거점의 특성과 맞아떨어지기도 했다.

    특히 정부 기관메일의 경우 해커가 아예 메일 서버를 점령해 관리자 자격을 가짜로 획득하는 ‘트로이 목마(Trojan Horse)’ 방식을 통해 유출된 패스워드가 대부분이었다고 당시 관계자들은 전했다. 마치 관리자인 것처럼 서버에 접근해 저장돼 있는 주요 인사들의 패스워드 계정을 통째로 복사해가는 식이었다는 것. 이를 통해 메일함에 저장된 자료를 확인하는 것은 물론 소속 당국자들의 패스워드를 확보함으로써 언제든 열어볼 수 있게 됐다는 설명이다.

    그 가운데 가장 폐해가 심각했던 연결고리는 다름 아닌 국회였다. 국회의원은 물론 보좌관과 비서관들이 국정감사나 대정부질의 등을 위해 국회 e메일로 정부 당국자들과 상당량의 자료를 주고받았던 것. 이들의 e메일 패스워드가 상당수 유출됨에 따라 관련 자료는 고스란히 북측으로 넘어간 셈이었다고 당시의 한 관계자는 전했다. 정동영 전 장관의 경우도 의원 경력 때문에 국회 서버에 메일계정 기록이 남아있었고, 이렇게 파악한 정보를 유추해 다른 메일계정 정보까지 확보한 것으로 분석됐다는 것이다.

    이렇듯 아예 서버 자체를 점령해 패스워드와 메일함 자료를 확보하는 방식은, 개인이 아무리 조심한다고 해도 한계가 있을 수밖에 없다. 메일을 완전히 사용하지 않는다면 모를까 패스워드를 자주 바꾼다고 해도 소용이 없는 것. 더욱이 국회 서버의 경우 다른 정부부처에 비해 보안 대비태세가 상당히 취약해 해킹에 고스란히 노출돼 있다시피 했다는 게 당시 관계자들의 말이다.

    기관 간의 업무 갈등

    이에 대해 정동영 의원측 관계자는 “2006년 초 무렵 누군가 (정 의원의) 개인정보를 이용해 사이트에 가입한 것이 확인되는 등 비정상적인 일이 발생했고 이에 대해 경찰 등 관계당국에 조사를 의뢰한 적이 있다. 이후 해킹에 의한 것으로 보이며 상당수 정치인들이 비슷한 피해를 당했다는 이야기를 들었다”고 밝혔다. 그는 또 “개인 이메일 해킹과 관련해 안보부처에서 따로 보고를 받았는지는 시간이 꽤 지난 일이라 확인이 어렵다”고 말했다.

    사건 내용을 확인한 관련 정보당국은 2006년 봄 청와대에 보고했고, 이는 다시 노무현 당시 대통령에게도 보고됐다는 게 관계자들의 설명이다. 상황의 심각성을 감안해 즉각적인 대응조치가 필요하다는 판단이 내려졌다는 것.

    그러나 그 중간과정에는 정보 분야를 구성하는 정부 기관 사이의 견해 차이로 인해 해프닝성 마찰도 빚어졌던 것으로 전해지고 있다. 대규모 해킹피해 사실을 확인한 A부서와 사이버테러 대응의 주무를 맡고 있는 B부서가 달랐던 것. 쉽게 말해 상대방을 역해킹으로 침입해 관련 정보를 끄집어오는 일을 담당하는 기관과 외부의 해킹을 막는 부서가 구분되어 있기에 발생한 일이었다. 이 때문에 2006년 봄의 해킹 보고를 둘러싸고 B부서에서는 “A부서가 해킹 문제의 주도권을 확보하기 위해 지나치게 앞서 나간다”는 의구심을 공공연히 나타냈다는 후문이다.

    이 같은 정보당국 내부의 이해관계 충돌을 해결하기 위해 결국은 청와대가 나섰다. 당시의 한 관계자는 “상황이 워낙 간단치 않았고, 더욱이 그에 대한 대응을 조율할 주체도 마땅치 않아 청와대가 중심이 된 것으로 보면 된다”고 말했다. 청와대 안보실장과 국방부 장관, 국정원장에게 사안이 전파됐고, 대통령 지시로 이들 기관의 담당 간부들이 긴급 소집되어 대책마련이 시작됐다.

    우선 패스워드가 유출된 대상자를 포함해 안보부처 주요 당국자들에게 패스워드 교체 지시가 내려졌고, e메일을 통한 정부자료 전달이 전면적으로 금지됐다. 청와대를 비롯한 정부 주요부처에 업무 PC와 인터넷 접속용 PC를 분리하라는 지침도 내려졌다. 업무자료를 보관할 수 있는 PC는 인터넷 접속을 금지하고, 거꾸로 인터넷 접속전용 PC에는 업무자료 보관을 금지하는 방식이었다.

    한마디로 이때의 회의가 정부 안에서 ‘사이버 전쟁’의 시대가 왔음을 공식화하는 계기가 됐다는 게 당시 이 사안에 관여했던 한 인사의 설명이다. 2004년부터 NSC가 준비했던 사이버 위기관리 매뉴얼이 완성된 것이 그 즈음의 일이었다. 직후인 2006년 8월에는 국정원과 정보통신부, 국방부가 사이버안전 위기대응 통합훈련을 사상 최초로 공동 실시했고, 이 자리에는 노무현 당시 대통령이 직접 참석했다.

    ‘정치적 판단’

    정부부처 내부의 사이버 보안절차를 강화하는 작업은 일정부분 성과가 있었지만, 국회 서버에 대한 해킹 방어문제는 이후에도 크게 개선되지 못했다고 관계자들은 말한다. 반공개적인 경고와 주의 환기가 이어졌지만 국회 내부에서 이를 주도적으로 처리할 부서가 마땅치 않았다는 것. 국회의 특성상 의원 개개인이나 보좌관들의 e메일 사용을 제도적으로 막을 만한 방법도 없고, 그에 따라 e메일을 이용해 자료를 주고받는 관행도 크게 줄어들지는 않았다는 이야기다.

    北, 2006년 정동영 전 장관 등 안보당국자 e메일 대량 해킹

    2월 열린 육군 해킹방어대회에 참가한 장병들이 가상 해킹사고의 원인을 찾고 대응방안을 논의하고 있다.

    이 때문에 문제의식을 공유한 청와대 등 안보부처에서는 이후 e메일을 통해 국회에 자료를 제출하는 일 자체를 철저히 금지했다. NSC 등에서는 대정부질의나 국정감사 자료도 팩스나 출력물의 형태로만 전달하도록 했다는 것이다.

    한계에 맞닥뜨린 당시 청와대 내부에서도 차제에 대규모 해킹 피해 사실을 공개하고 경각심 확산의 계기로 삼는 방안을 심도 있게 검토한 것으로 전해졌다. 본격적인 대응태세를 구축하려면 ‘충격요법’이 필요하다는 판단이었다는 것. 그러나 해킹의 주체를 북한으로 파악하고 있다 보니, 가뜩이나 민감했던 남북관계에 악영향을 줄 수 있다는 판단 때문에 이 같은 방안은 끝내 백지화된 것으로 전해졌다. 정치적 판단에 따라 사안을 공개하지 않기로 결정했다는 사실은 이명박 정부 관계자들은 물론 노무현 정부 당시의 관계자들도 인정하는 대목이다.

    이전에 비해 강화된 보안조치에도 불구하고 안보부처를 대상으로 하는 해킹 시도는 계속 이어졌고, 그 가운데 상당수는 배후에 북한 측 군사조직이 있는 것으로 분석됐다. 노무현 정부 기간에 벌어진 또 하나의 대표적인 해킹 사건으로 거론되는 2008년 2월 청와대 NSC 해킹 사건도 마찬가지다. 정권교체기 NSC 근무 직원의 부주의로 청와대 PC에 깔린 웜바이러스를 타고 일부 자료가 유출된 이 사건은, 같은 해 4월 언론보도를 통해 일부 공개된 바 있다.

    관계자들에 따르면 당시의 해킹은, 보안부서 근무경력이 짧았던 한 직원이 USB 저장장치를 이용해 청와대 NSC 사무처의 인터넷 검색용 PC에 정부자료를 옮겨 저장해 발생한 사건이었다. 이는 앞서 말한 강화된 보안절차로는 금지된 행위. 자료가 저장되자 잠복해있던 웜바이러스가 이를 카피해 외부로 유출한 것이었다.

    이는 인터넷용 PC 별도 설치 이후 북한측이 USB 저장장치를 이용한 해킹에 주력하고 있다는 정보당국의 분석과도 아귀가 맞아떨어지는 경로였다. 직원 개인 메일로 바이러스를 보내 방화벽이 약한 집 PC에서 이를 열어보면 잠복하는 게 첫 단추다. 이 개인 PC에 USB 저장장치를 꼽으면 바이러스가 옮겨 탔다가, 다시 사무실의 업무용 PC에 USB 저장장치를 꼽는 순간 그리로 옮겨가는 것. 청와대의 다른 업무용 PC는 이렇게 바이러스 해킹 코드가 심어져도 인터넷과 연결돼 있지 않으므로 해킹이 불가능하지만, 인터넷용 PC에서는 USB 저장장치가 꼽히는 순간 자료가 유출된다는 것이다.

    문제의 자료가 보안등급이 걸린 비밀자료가 아니었고, 인터넷용 PC에 저장된 자료의 수량 자체가 많지 않았기 때문에 심각한 사안은 아니었다는 게 당시 관계자들의 설명이다. 인터넷용 PC와 청와대 내부망 서버가 분리된 만큼 이 루트를 경유해 메인서버에 접근하는 것은 불가능했다는 이야기. 해당 행정관에 대한 징계절차가 심각하게 논의됐지만 이 같은 이유를 들어 적정한 선에서 마무리된 것으로 확인됐다.

    그러나 이때의 해킹 시도 공개로 인해 배후가 북한으로 추정되는 해커그룹의 정부기관 접근 루트는 대부분 갱신된 것으로 전해진다. 이전에도 중국 등 해외의 접근 루트와 해킹용 IP는 끊임없이 교체되는 ‘소모품’에 가까웠지만, 이때의 사건이 세간에 널리 알려지고 해커그룹 쪽에서도 이를 확인함에 따라 2006년 불거진 대규모 해킹 사건 무렵의 루트는 대부분 폐기됐다는 것이다. 다만 이후에도 다른 IP와 루트를 통해 해킹 시도가 이어져 그 횟수나 빈도 자체는 줄지 않았다고 한 당국자는 전했다.

    배후 판단 엇갈리는 이유

    특히 이명박 정부 들어서도 해킹 문제에 대한 정부의 인식이 근본적으로 달라졌다고 보기는 어렵다는 게 관계자들의 솔직한 토로다. 근본적인 대책을 마련하고 관련 조직을 강화해야 한다는 건의가 몇 차례 개진됐지만, 다른 현안에 밀려 별다른 성과 없이 현재에 이르렀다는 것. 정부 보안부서 PC에서는 아예 데이터 복사를 불가능하게 만드는 것 같은 기술적인 대책을 세우기보다는 여전히 ‘보안의식 강조’에 치우쳐 있다는 얘기다. 다만 한 관계자는 “이번 DDoS 공격은 해킹과는 근본적으로 성격이 다르므로, 정부부처에 대한 해킹 대책이 강화됐다면 이번 사태를 막을 수 있었을 거라고 하기는 어렵다”고 덧붙였다.

    정부부처, 특히 안보당국 해킹에 대응하는 작업을 더욱 어렵게 만드는 또 하나의 요인은 앞서 말한 정보당국 간의 업무구분 문제다. 국정원만 해도 사이버보안 문제는 국내담당인 2차장 산하 국가사이버안전센터가 담당하지만, 엄밀히 말해 북한의 해킹 시도에 대한 추적 문제는 대북담당인 3차장실 소관 업무와 관련이 깊다. 국가 전체의 인터넷 보안을 관리하는 조직과 특정한 목적을 위해 ‘해킹 전쟁’을 치러야 하는 조직 사이에 괴리가 존재하는 것. 전자가 기술부서의 업무에 가깝다면 후자는 군사행동에 준하는 일이다.

    한 당국자는 “이번 DDoS 공격이 북한 측 소행인지를 두고 빚어진 정부 내부의 혼선에도 이 같은 조직 문제가 깔려있다”고 말했다. 2006년의 사례를 포함해 북측의 해킹 시도를 면밀히 검토해온 부서들이 다른 부서의 의견과는 상관없이 국회 정보위 등을 통해 ‘북한 측 소행’이라는 의견을 흘린 것이 단적인 사례라는 이야기였다. 그러면서 이 관계자는 다음과 같이 덧붙였다.

    “이번 일이 실제로 북측의 소행인지 아닌지와는 무관하게, 정부와 민간을 불문하고 ‘물밑의 전쟁’이 이미 벌어졌다는 사실을 깨닫게 하는 계기가 된다면 다행일 것이다. 해킹을 일종의 해프닝으로 여기는 분위기 대신 아군과 적군이 서로의 목을 겨누는 싸움이라는 인식만 분명해진다면 조직 간 업무분장 같은 문제는 넘어설 수 있지 않을까 한다.”



    댓글 0
    닫기

    매거진동아

    • youtube
    • youtube
    • youtube

    에디터 추천기사