“무언가 이상하다. 처음엔 그냥 협박 정도로 생각했는데 공격 패턴을 보니 저급한 해킹 조직은 아닌 것 같다.”
은행권 보안 전문가들이 전하는 분위기다. 과거 분산서비스거부(디도스) 공격 대란을 겪은 한국은 해외 해킹그룹 아르마다컬렉티브의 사이버 테러를 충분히 감내할 수 있는 수준이라고 말했다. 그러나 공격 패턴이 과거보다 치밀하고, 약 97%의 공격이 해외에서 실시간 이뤄지고 있다는 점에 주목했다.
이미 26일 은행 공동망을 가동하고 있는 금융결제원이 공격을 받았고, 3개 금융 기관이 이들 해킹그룹으로부터 사이버 테러를 당했다.
28일은 대형 은행을 필두로 증권사, 지방 은행까지 사실상 모든 금융사가 디도스 공격 대상으로 예고됐다. 그러나 공격을 하루 앞둔 시점에도 위기 대응을 위한 콘트롤타워는 가동되지 않고 있다.
사실 디도스 공격 차단의 최일선은 통신사다. 그러나 통신사와 금융사 간 공조 체제나 별도의 핫라인은 구축되지 않은 상황이다.
'소 잃고 외양간 고치는' 디도스 피해 방지를 위한 대책 마련이 필요하다는 지적이다. 국가정보원, 미래창조과학부, 금융위원회 등으로 이어지는 핫라인 구축으로 해외 트래픽 차단과 디도스 대피소 공동 운영 등 대책 마련이 필요하다는 목소리다.
금융 당국 관계자는 “금융사는 디도스 공격 대응책을 갖추고 있지만 통신사와의 협조 체계 구축에는 다소 어려움이 있는 게 사실”이라면서 “민간 통신사가 이번 디도스 공격에 대비한 지원책을 어떻게 마련할지는 정부가 관여할 부분은 아니다”라고 선을 그었다.
현행 관리 체계상 디도스 등 사이버 보안 콘트롤타워는 국정원이다.
그러나 이번 아르마다컬렉티브의 사이버 테러와 관련해 국정원은 특별한 대책 등을 내놓지 않고 있다. 이번 테러가 현실화되지 않는다 해도 같은 유형의 사고가 발생할 가능성은 충분하다.
이를 대비하기 위해서라도 정부 차원의 '위기 관리 전략(컨티전시 플랜)'과 해킹그룹 협박에 선제 대응할 공동 지침을 마련해야 한다는 목소리가 높다.
1테라바이트(TB) 규모에 이르는 디도스 공격을 방어할 수 있는 강력한 백업 장치도 마련해야 한다.
통신사가 앞단에서 해외 IP를 차단하고, 대용량의 공동 디도스 대피소를 민·관 합동으로 실시간 운영해야 한다. 특히 통신사는 해외에서 유입되는 1차 의심 IP를 필터링해 주는 장비와 프로세스를 갖춰야 한다.
한 보안업계 관계자는 “현재 해외 IP를 선제 차단할 수 있는 프로세스를 갖춘 곳은 SK텔레콤 정도”라면서 “다른 통신사는 필터링 시스템이 없고 금융사가 유선으로 요청해 대응하는 수준”이라고 분위기를 전했다.
정보공유분석센터(ISAC)를 운영하는 금융보안원의 역할론도 고개를 들었다.
특히 공동 대피소 운영과 관련해 금융사는 분담금을 더 내고라도 확장 의지를 보이고 있지만 금보원은 소극 입장을 보이고 있다.
대형 금융사 외에 중소형 증권사와 2금융권 대응 방어 체계도 이번에 구축해야 한다는 목소리다.
국제 해커들의 공격 대상이 대형 은행이 아닌 중소형사로 집중되고 있기 때문이다.
금융투자업계 관계자는 “당초 26일 아침에 예정돼 있던 CISO협의회도 디도스 공격 대응을 위해 연기됐다”면서 “금보원을 중심으로 한국거래소, 금융결제원 등이 모두 모여 대응 방안을 강구하고 있다”고 전했다.
한 증권사의 정보보호최고책임자(CISO)는 “대형 회사들은 이미 4Gbps 안팎의 공격은 막을 수 있는 자체 시스템을 구축했다”면서도 “28일, 29일 계속해서 해커들이 공격을 예고하고 있는 만큼 어느 정도 규모로 공격이 거세질지 예의주시하고 있다”고 말했다.
중소형 증권사는 금보원이 제공하는 디도스 대피소를 통해 이번 공격에 대응할 계획이다. 금융투자업계 관계자는 “대형사를 제외한 중소형 증권사는 개인투자자보다 기관투자가 등으로 고객이 나뉘어 있어 디도스 공격에 개별 대응하기 어려운 측면이 있다”면서 “어떤 방식으로 공격이 이뤄질지 몰라 금보원의 가이드라인에 맞춰 준비할 계획”이라고 전했다.
실제 이날 공격이 1Gbps 안팎으로 이뤄지면서 금융권은 한숨을 돌렸다.
문제는 대규모 공격이 예고된 28일과 29일이다. 예고대로 1Tbps 수준의 공격이 이뤄지면 중소형사뿐만 아니라 대형사도 속절없이 당할 수 있다.
한 중소형 증권사 CISO는 “대부분 대형사는 자체 대응 능력뿐만 아니라 KT, SKT 등 통신사가 제공하는 대피소 서비스를 이용하지만 중소형사는 그럴 여력이 없다”면서 “모든 증권사가 디도스 방어에 많은 비용을 투자하면 결국 원가 상승으로 이어져 소비자가 비용을 지불하게 될 것”이라고 우려했다.
이 때문에 금융권은 국가 단위의 디도스 대비책을 요구하고 있다. 통신망을 통해 외부 공격이 발생하는 만큼 인터넷 사업자가 일정 부분 역할을 해야 한다는 주장이다.
실제 현행 금융 감독 구조상으로는 금보원과 금융감독원을 중심으로 이뤄지는 디도스 방어 대책은 한계가 있을 수밖에 없다는 게 전문가 시각이다.
길재식 금융산업 전문기자 osolgil@etnews.com, 유근일기자 ryuryu@etnews.com