DJ정부 시절 만든 ‘공인인증시스템’ 여전히 고집, 금융기관 구멍 숭숭. 노무현 정부 시절 시작된 ‘행정 투명화’ 탓에 각종 기반시설, 온라인에 연결돼

지난 3월 8일 국가정보원은 국무총리실 산하 국무조정실, 국방부, 미래부 등 4개 정부부처 국장급이 모여 ‘국가 사이버 안전 긴급회의’를 열어 북한의 대남(對南) 사이버 공격 실태에 대해 보고했다.

이때 국정원이 한 보고 가운데 대부분의 언론, 정치권은 “외교안보 고위급 인사 수십 명의 스마트폰이 해킹을 당했다”는 소식에 관심을 기울였다. 하지만 이보다 더욱 심각한 문제도 보고 내용 가운데 들어 있었다. ‘인터넷 뱅킹 보안 프로그램 업체 전산망 장악’이었다. 

국정원의 이날 보고 내용은 IT에 대해 조금만 아는 사람이라면, 충격을 안 받을 수 없다.  당시 국정원은 “지난 2월, 미래부, 한국인터넷진흥원과 함께 북한 해킹 조직이 인터넷 뱅킹과 인터넷 카드 결제 시 사용하는 보안 소프트웨어 제작 업체의 내부 전산망에 침투, 장악한 것을 잡아냈다”고 밝혔다. 

▲ 북한 해커들이 철도 교통 관제 시스템에 대한 해킹 시도를 했던 것으로 밝혀진 가운데, 해커들의 공격으로 지하철과 KTX, 공항의 관제 시스템이 대혼란에 빠질 수 있다는 우려가 제기되고 있다.

국정원, “2000만 사용하는 보안 프로그램 업체 뚫려” 

국정원은 또 금융위원회, 금융보안원과 함께 국내 금융기관 대부분이 사용하는 인터넷 뱅킹용 보안 소프트웨어를 납품하는 업체의 전자인증서도 북한이 해킹, 탈취한 사실을 알아내 공동으로 조치했다고 덧붙였다. 

당시 회의에 참석한 국정원, 미래부 등은 “해당 업체와 함께 보안조치를 실시했고, 실제 일반 국민의 피해는 없는 것으로 나타났다”면서 국민들을 안심시키려 했다. 하지만 이는 ‘조치’를 취했다고 해결되는 문제가 아니다. 

북한 해킹 조직이 전산망을 장악했던 ‘보안 프로그램 업체’란 한국에서 인터넷 뱅킹을 사용하거나 주식거래, 온라인 쇼핑을 할 때마다 설치하는 각종 인증 프로그램을 만드는 곳으로, A사, S사, R사 등 ○개뿐이다. 이 회사가 만든 인증 프로그램은 우리 국민 최소 2000만 명 이상이 사용한다. 

즉 북한 해킹 조직은 개인의 카드 번호, 계좌번호, 계좌 비밀번호 등과 함께 주민등록번호 등을 ‘암호화’하는 기술을 만드는 업체의 ‘비밀’을 낱낱이 들여다봤다는 뜻이다. 인터넷 뱅킹용 보안 소프트웨어 납품 업체의 ‘전자 인증서’라는 것은 온라인 쇼핑이나 인터넷 뱅킹을 할 때마다 설치되는 프로그램이 믿을 수 있다는 ‘증명서’ 역할을 한다. 

이것이 의미하는 바는 무엇일까. 북한 해킹조직은 주로 정찰총국 소속, 그 가운데서도 ‘외화벌이 사업 일꾼’이 가장 많다. 이들에게 한국 국민들의 개인정보, 특히 금융정보는 ‘돈’이 된다. 중국 범죄조직들에게 높은 가격에 판매할 수 있기 때문이다. 

문제는 여기서 끝나지 않는다. 북한 해커 조직이 보안 프로그램 업체 전산망을 장악한 뒤 악성코드를 숨겨 놓았을 가능성, 기존 보안 프로그램의 취약점을 공격할 수 있는 방안을 마련할 수도 있다. 이런 일이 벌어지면 우리나라의 금융 시스템은 순식간에 붕괴될 가능성이 있다. 

북한 해커 조직이 한국의 보안 프로그램 업체를 노린 것은 우연이 아니다. 한국은 세계적으로도 유례를 찾아보기 어려울 정도로 MS의 ‘인터넷 익스플로러’를 베이스로 하는 보안 정책을 사용하고 있기 때문이다. 

세계적으로 낙후된 한국의 금융전산보안 

1990년대 말 IT 붐이 일어나면서, 인터넷 뱅킹과 온라인 쇼핑 수요가 폭발했다. 이에 맞춰 1999년 ‘전자서명법’이 통과됐고, 김대중 정부는 외국 기술을 사용하지 말고 자체적인 보안 인증 프로그램을 만들도록 당시 정보통신부 등에 지시했다.

정통부와 산하 기관인 한국전자통신연구원(ETRI) 등은 11명의 암호학 교수들에게 프로그램 연구를 의뢰하여 만들어진 것이 ‘인터넷 익스플로러’에서만 작동하는 ‘액티브X’ 기반의 플러그인 방식 보안 프로그램과 공인인증서다. 

이때 만들어진 공인인증서는 정부, 기업을 중심으로 한 쪽과 금융권을 중심으로 한 쪽으로 갈라진다. 당시 정부에서 활용할 ‘전자서명’ 관련 법률이 없었던 탓에 양측의 공인인증서는 서로 호환이 되지 않는 일도 벌어졌다.

2001년 ‘전자정부’ 관련법이 나오면서 공인인증서의 범용성을 높이기 위한 정부, 기업, 금융계의 노력이 시작됐지만, ‘액티브X’를 기반으로 하는 플러그인 보안 프로그램과 공인인증서 체계는 그대로 이어졌다. 

일각에서는 1999년 당시 미국 정부가 온라인 암호화 기술인 SSL 기술 중에서도 128비트 암호화 기술의 해외공급을 금지했기 때문에 한국 정부는 어쩔 수 없이 ‘액티브X’ 기반의 플러그인 암호화 프로그램을 만들게 됐다고 지적한다. 하지만 핵심적인 문제는 다른 데 있었다. 

김대중 정부에서 만든 이래 15년 넘게 ‘액티브X’ 기반의 플러그인 암호화 기술과 공인인증서를 사용하고 있는 이유는 국내 금융기관들이 보안에 대한 투자를 게을리 하고 있기 때문이다.

일반적으로 인터넷 뱅킹, 온라인 결제 등에 사용하는 ‘액티브X’ 기반의 플러그인 보안 프로그램은 소비자 PC에 보안 프로그램을 깔고, 소비자가 보유하고 있는 공인인증서를 통해 금전거래를 하는 구조, 보다 직설적으로 말하면, 소비자가 보안 책임을 전적으로 지게 되는 형태다. 

반면 현재 해외에서 많이 사용하고 있는 128비트 또는 256비트 수준의 SSL 암호화 기술은 은행, 증권사, 쇼핑몰 등이 자체 보안 서버를 통해 소비자 정보를 암호화하고 거래를 돕기 때문에 보안 책임이 공급자에게 많이 있다. 

금융기관·쇼핑몰, 보안 프로그램 나 몰라라 방치 

해외 대기업들이 자체적인 보안 서버를 통해 거래를 하는 것은 고객들에게 보안을 책임 지우기에는 그 중요도가 매우 높고, 고객의 PC나 스마트폰에 프로그램을 설치하도록 하는 ‘액티브X’나 ‘플래시’, ‘자바’ 기반의 보안 프로그램은 취약점이 너무 많아 위험하기 때문이다.

실제로 MS사 또한 ‘액티브X’와 ‘플래시’, ‘자바’의 보안 취약점 문제를 제기해 향후 점진적으로는 해당 기술을 사용하지 못하게 만들 계획이라고 밝혔다. ‘플래시’를 만들어낸 어도비 사 또한 보안 취약점 문제로 점차 퇴출시킬 것이라고 밝힌 바 있다. 

2015년 7월 MS사는 윈도우 10을 출시하면서, ‘인터넷 익스플로러’를 없애고 ‘엣지’라는 브라우저를 내놨다. 이 ‘엣지’는 보안 강화를 이유로 ‘액티브X’를 포함한 모든 플러그인 프로그램의 설치가 불가능하도록 만들었다. 2015년 7월에는 구글이 브라우저 ‘크롬’을 업데이트 하면서 플러그인 설치 기능을 아예 없애 버렸다. 

IT 보안 관계자들은 이런 흐름을 미리 예상해, “금융기관과 대형 쇼핑몰이 먼저 나서서 ‘액티브X’ 기반의 플러그인 보안 프로그램과 공인인증서 사용 체계를 바꿔야 한다”고 지난 수 년 동안 줄기차게 요구해 왔다. 하지만 금융기관, 대형 쇼핑몰 등은 이를 외면해 왔다. 

한국 내 상황을 가장 면밀히 들여다보는 세력이 북한 김정은 집단인 만큼 이들은 한국의 전자결제보안 수준이 낙후되어 있다는 점을 파악, 5년 전부터 증권사의 주식거래 프로그램인 HTS, 인터넷 뱅킹, 각종 온라인 쇼핑몰의 전자결제용 보안프로그램을 해킹하기 위해 노력해 왔다. 그 결과 2016년 2월 주요 보안 프로그램 업체의 전산망을 장악했다는 것이다. 

다시 3월 8일 국정원의 보고 내용으로 돌아가 보자. 당시 국정원은 “북한 해커 조직이 2016년 초, ‘철도교통 관제 시스템’을 노리고 관련 직원들에게 ‘피싱 메일’을 보내, 메일 계정과 비밀번호를 빼내려고 시도한 적이 있다”고 밝혔다. 

이 소식을 처음 접한 사람들은 북한 해커들이 왜 철도교통 관제시스템을 노렸는지 궁금할 것이다. 이 부분은 2011년 9월 한국 사회를 혼란에 빠뜨렸던 ‘대정전 사건’과 연계해서 봐야 한다. 

2011년 9월 15일 오후부터 시작된 정전으로 전국에서 큰 피해가 발생했다. 이 사건으로 당시 주무부처이던 지식경제부(現 산업통상자원부) 최중경 장관이 경질되기도 했다. 이때 처음 보도된 사실이 주요 발전 시설, 도로 및 철도 관제 시스템이 제대로 된 보안 관리도 없이, 모두 인터넷에 연결돼 있었다는 점이다. 

이 사실을 알게 된 홍석우 당시 지식경제부 장관은 전력 관리 부서에 “발전소 및 전력망과 연결된 모든 인터넷 망을 끊으라”고 긴급 지시를 내렸다. 하지만 지식경제부 일선 관료들은 장관의 말까지 제대로 듣지 않고 버티다 나중에 정부 감사에 적발됐다. 

이때까지 한국은 수력발전소(댐), 원자력발전소, 화력발전소는 물론 각종 전력망의 상황을 인터넷으로 모니터링할 수 있도록 해놓은 상태였다. 당시 지식경제부 관계자들은 “보안이 철저하고, 데이터가 나오는 망(網)만 있기 때문에 침입이 불가능하다”는 황당한 주장을 해댔다. 하지만 실제 해커들에게 요청해 확인한 결과 “보안 관리가 거의 없다”는 평가를 받았다.

▲ 북한이 수년 전부터 증권 주식거래, 인터넷 뱅킹, 온라인 쇼핑몰 전자결제 등과 관련한 보안 프로그램의 해킹에 집중한 가운데, 지난 2월 국내 주요 보안 프로그램 업체의 전산망을 장악하는 데 성공했다.

끔찍한 예상 시나리오 

이후 주요 발전 시설은 보안 프로그램을 강화하여 해킹을 당할 우려가 크게 줄었지만, 여전히 위험한 곳이 교통관제 시스템이다. 영화 ‘다이하드 4.0’에서 나오듯 해커의 농간으로 주요 도로의 신호등이 모두 고장 나고, 공항의 관제 시스템이 멋대로 움직이고, 지하철과 KTX 관제 시스템이 통제를 벗어나면 무슨 일이 벌어질까. 

수백여 명 이상이 사용하는 지하철, KTX, 항공기 등은 단 한 번의 사고로 대참사가 벌어지게 된다. 선박 입출항 시스템도 마찬가지다. 단 한 번의 사고로 항만 전체가 무용지물이 되고 심각한 환경 오염을 초래할 수 있다. 정부 관계자들은 “스카다(SCADA·사회기반시설을 운용하는데 사용되는 전산망)는 인터넷과 철저히 분리되어 있으므로, 해킹의 위험이 전혀 없다”고 주장한다. 과연 그럴까. 

현재 우리나라 사회기반시설마다 직원들의 업무효율 제고와 편의를 위해 무선 인터넷망이 설치돼 있다. 게다가 모든 직원들은 최신 스마트폰을 소지하고 다닌다. 세계 해커들 대부분은 무선 인터넷처럼 해킹이 쉬운 망(網)은 없다고 말한다. 직원과 사무실 자체가 ‘해킹 중계기지’나 마찬가지인데도 해킹을 당하지 않는다는 말만 앵무새처럼 되풀이하고 있다. 

이처럼 금융과 교통 분야에 심각한 보안 문제가 있는 상황에서, 북한 해커들이 한국 내부에 혼란을 일으킨다면 어떤 일이 벌어질까. 

2016년 ○월 ○일 오전 8시 30분. 사람들은 평소와 다름없이 출근해 PC를 켜고 업무를 시작한다. 늦은 출근길에 주요 도로는 정체를 겪는다. 서울과 수도권의 지하철은 만원이다. 이때 갑자기 지하철 ○호선의 관제 시스템이 먹통이 된다. 서울 지하철 관제센터에 비상이 걸린다.  

사고는 영등포역과 용산역에서 시작됐다. 지하철 1호선과 4호선, 5호선의 관제 시스템에는 실제 운행 중인 지하철과 시스템 상에 나타난 지하철이 달라 충돌 사고가 일어난 것이다. 여기다 KTX까지 충돌하면서 엄청난 인명 피해가 발생한다. 

시민들이 사고 소식에 큰 충격을 받을 때, 오전 9시부터 증시가 개장과 동시에 폭락하기 시작한다. 금융당국이 ‘서킷 브레이커’를 걸고 거래를 일시 중지시키지만 이미 주가지수는 큰 폭으로 하락했다. 주식시장이 충격을 받았을 때 이번에는 채권시장과 선물옵션시장이 요동을 친다. 비정상적인 주문들이 쏟아지기 시작한 것이다. 

한편 기업에서는 갑자기 계좌에서 돈이 해외로 빠져 나가기 시작한다. 주로 무역회사들이다. 금액은 금융당국에 신고가 필요 없는 수준의 소액이었지만, 송금되는 계좌는 난생 처음 보는 계좌들이다. 돈을 받는 은행은 버뮤다, 만 아일랜드, 케이먼 제도 등 조세피난처와 캄보디아, 필리핀, 라오스 등 동남아 지역의 은행이다.

기업 재무팀에서 상황을 수습하기 위해 주거래 은행에 즉각 연락을 해 출금을 막아보려 하지만, 이미 수천 개 기업과 개인의 통장에서 현금이 인출된 뒤였다. 금융당국은 국제전산결제망(SWIFT) 본부에 연락해 거래를 막기 위해 필사적으로 노력하지만 피해를 100% 막지는 못한다. 이렇게 사라진 돈은 4억 달러에 달한다. 

수천여 명의 인명 피해, 수 억 달러의 재산 피해, 허공으로 사라진 수백억 달러의 금융자산…. 이런 피해가 해킹으로 일어날 수 있다는 뜻이다. 그 상황에서 북한이 또 다른 곳에서 무력 도발을 한다면, 현 정부는 능숙하게 대처할 수 있을까. 아니, 그런 대처 계획이라도 있을까. 

한국 온라인 보안 체계 전체를 뜯어고쳐야 

앞서 언급한 3월 8일 국정원 보고에는 “북한이 2015년에는 세계 각국에 6만여 대의 ‘좀비PC’를 만들었고, 2016년 1월에는 세계 120개국에 1만여 대의 ‘좀비 PC’를 만들어 대남 공격에 활용하려 한다”는 대목도 들어 있었다. 

현재 정부는 ‘사이버테러방지법’ 제정을 위해 여러모로 애를 쓰고 있다. 야당은 이를 보고 “전 국민의 스마트폰과 PC, 노트북을 감시하는 법”이라며 제정에 반대하고 있다. 사실 둘 다 틀렸다.

지금 필요한 것은 ‘사이버테러방지법’ 수준의 ‘땜질 처방’이 아니라, 한국 온라인 보안 체계 전체를 뜯어고칠 결심을 해야 할 때라는 말이다. 지금 정부와 정치권이 움직이지 않는다면, 나중에는 어떤 일이 벌어질지 모른다.