3·20 사태가 발생한 직후 청와대를 비롯해 정부 각 기관들은 사태 파악과 대응 체비에 나서면서 분주한 모습을 보였다. 국가 주요 시설에 속하는 전력, 과학, 정부통합전산센터 등도 만일의 사태에 대비한 보안 강화에 나섰다.
◇청와대, 북한 소행에 무게
이번 사태와 관련해 청와대는 북한 소행 가능성에 무게를 두고 상황을 면밀하게 파악하고 있다. 청와대 고위관계자는 21일 방송사와 금융기관의 전산망에 대한 동시다발 해킹사건과 관련, “북한의 소행일 가능성에 강한 의구심을 갖고 모든 가능성에 대해 면밀히 추적, 분석하고 있다”고 말했다. 이 관계자는 “국가안보실을 중심으로 대처하고 있다”며 “청와대가 관련 부처에서 지속적인 보고를 받고 있다”고 밝혔다.
그는 악성코드가 중국에서 유입됐다는 관측에 대해 “더 이상 드릴 말씀이 없지만 북한의 소행일 가능성에 강한 의구심을 갖고 모든 가능성에 대해 면밀히 추적하고 있다”고 거듭 말했다. 그러나 이 관계자는 `북한 소행이라고 의심하는 증거와 정황`에 대해서는 설명하지 않았다.
◇합동대응팀 “악성파일 中에서 유입 확인”
민·관·군 합동대응팀은 6개 방송·금융기관의 전산망 해킹에 사용된 악성파일이 중국에서 유입한 것으로 확인하고 후속 공격에 대비 국가 주요 시설에 대한 보안 점검을 실시했다.
방송통신위원회와 경찰청, 한국인터넷진흥원 등 민·관·군 합동대응팀은 21일 “농협시스템을 분석한 결과, 중국 IP(101.106.25.105)가 피해기관 업데이트관리 서버에 접속, 악성파일을 생성했음을 확인했다”고 발표했다.
이와 함께 악성코드를 분석 결과, 6개 피해기관에 대한 공격주체는 동일 조직인 것으로 파악했다. 합동대응팀은 악성코드 분석과 피해PC 복구를 통해 침입경로와 공격 기법 등 해커 실체 규명에 주력하고 있다.
박재문 방통위 네트워크정책국장은 “공격주체 (중국 IP)를 파악하는 데 주력하고 있다”며 “여러 가지 가능성을 모두 고려하고 있다”고 말했다.
합동대응팀은 지난 3·20 사태로 언론·금융기관 PC와 서버 3만 2000여대가 피해를 당한 것으로 집계했다. 피해 복구 등 정상화에 최소 4~5일이 소요될 것으로 내다봤다.
합동대응팀은 추가 피해 차단을 위해 안랩·하우리·잉카인터넷 등 백신업체와 협조, 전용 백신을 긴급개발해 21일 새벽부터 한국인터넷진흥원 보호나라 홈페이지 등을 통해 무료 배포했다.
또 국가 및 공공기관, 교통, 전력 등 국가기반시설, 금융사, 병의원 등 주요 기관에 대해 백신 업데이트 서버는 인터넷과 분리토록 하고, PC는 부팅시 CMOS에서 시간 설정을 재조정토록 하는 등 피해 차단 요령을 긴급 전파했다.
◇정부통합전산센터, 위기 경보 `주의`로 격상
행정안전부 정부통합전산센터는 방송사와 은행 사이버공격이 발생한 직후 사이버 위기 경보를 `관심`에서 `주의`로 한 단계 격상했다. 이미 북한의 3차 핵실험 이후 사이버위기 경보를 `관심`으로 상향 조정한 데 이어 추가 조치한 것이다.
사이버 위기 경보 격상으로 정부통합전산센터 내에 있는 정보시스템과 통신장비, 통신망 등에 대한 24시간 집중 관제를 실시하고 있다. 국방·외교·통일 관련 정부사이트와 대국민 중요 사이트에 대해서도 악성코드 유입여부를 집중 모니터링 하고 있다.
인천국제공항공사, 한국토지주택공사, 수자원공사 등 58개 소속 산하기관의 정보시스템 보안을 통합관제하는 국토해양부 사이버안전센터도 위기대응 단계를 격상했다.
사이버위기대응긴급대응반을 편성, 침해사고 등에 대비 즉각적인 지원체계도 갖췄다.
50여개 기관 대상 긴급점검을 실시한 결과, 이상 징후는 발견되지 않았다. 산하기관 정보화담당관을 비롯한 책임자와 실무자 비상연락망 체계도 가동했다. 공간정보시스템을 운영하는 국가공간정보센터도 보안등급을 상향 조정했다.
◇전력, 망분리로 보안 강화
전력당국을 비롯한 주요 기관들은 이번 전력망 마비 사태로 전산 보안을 한층 강화키로 했다.
한국수력원자력은 사무용 PC에 대한 내부망과 외부망 분리작업에 돌입했다. 그 동안 한수원 사무실에서 사용하는 PC는 업무용과 외부 인터넷을 함께 사용했다. 한수원은 외부로부터의 해킹을 원천 차단하기 위해 망 분리작업에 돌입했다고 설명했다.
원자력 발전소 내 원전 전용제어망은 한수원 사무실과는 물리적으로 분리돼 별도로 운용된다. 개별 원전별로도 분리됐으며 외부와 차단돼 운용된다.
한수원 측은 “누군가가 원전 내부로 들어와 USB를 통해 침투하는 것까지 대비해 USB 포트 자체를 봉인했다”며 “외부에서 원전을 제어 관리하는 부분은 물리적으로 접근이 안된다”고 설명했다.
전력거래소는 계통운영시스템(EMS)과 시장운영시스템(CBP)을 사이버위협으로부터 보호하기 위해 전력계통보안관제센터(ES-ISAC)를 통해 24시간 관제업무를 수행 중이다. 특히 주요정보통신기반시설인 계통운영시스템은 외부와의 연결을 차단한 독립망으로 구성, 운영 중이다.
한국전력공사 본사 지하에 위치한 사이버 테러 대응 센터의 보안 태세도 강화됐다. 한전 역시 일반 업무용 망과 전력 제어망을 엄격히 분리, 운영 중이다.
권상희기자 윤대원기자 김원배기자 신혜권기자 shkwon@etnews.com
