<이미지를 클릭하시면 크게 보실 수 있습니다>

지난해 2월 국가정보원은 다른 나라의 국가기관을 배후에 둔 해킹 조직이 국내 대기업을 해킹한 정황을 포착하고 피해 사실을 시급하게 알렸다. 하지만 해킹 사실이 소비자와 거래처에 알려지는 게 부담스러웠던 해당 기업은 정보 공유 요청을 거절했다. 결국 2개월 뒤 똑같은 경유지를 통해 다른 공공기관까지 해킹을 당하며 피해가 커졌다.

이뿐만이 아니다. 국정원은 지난해 4월에도 국내 A 중소기업 홈페이지가 악성 코드 유포 경유지로 이용되는 정황을 확인하고 관련 사실을 통보했다. 그러나 A 기업은 국정원의 지원 의사에 침묵했다. 이 기업은 이미 지난 2017년 3월에도 해킹을 당한 전력이 있었다. A 기업은 같은 해 6월 스마트폰 해킹을 노린 악성 코드 유포 경유지로 악용됐다. 정보 당국은 3년 뒤에도 A 기업이 해커의 놀이터가 되는 상황을 지켜만 봐야 했다.
26일 국정원에 따르면 한국은 최근 미국·러시아를 제치고 사이버 공격의 최대 경유지로 떠올랐다. 한국 정보 당국은 사찰 우려 문제로 민간 접근권이 없다는 점을 해외 해커들이 정확하게 인식하고 민간 기관들을 주요 먹잇감으로 삼고 있기 때문이다.

국정원의 해킹 현장 조사를 거부하는 기업은 비단 A 업체만이 아니다. 국정원은 지난해 9월 B 제약사의 내부 자산 관리 서버가 해킹된 사실을 해당 업체에 전달하고 조사 협조를 요청했지만 B 제약사 역시 이를 거부했다. 올해 1월에는 C 건설사에서 운영하는 서버가 해킹 메일 발송에 악용된 사실을 전달하고 관련 정보 공유를 요청했지만 C 건설사 또한 조사를 거절했다. 지난해 11월에는 네트워크연결저장장치(NAS)가 악성 코드에 감염된 국내 D 업체에서 현장 조사를 불허했다. 국정원은 국내에 판매된 4,000여 대의 NAS 장비가 접속 아이디와 비밀번호를 초기 설정값 그대로 사용하고 있다는 점에 착안해 결국 D 업체가 아닌 NAS 제조사를 통해 소프트웨어 보안 조치를 실시했다. 자칫 국내의 모든 NAS 장비 저장 자료가 D 업체를 통해 전부 유출될 수도 있었다.

2019년 3월에는 한 해커가 국내 국방 관련 단체 홈페이지에 워터링 홀을 구축해 악성 코드 설치 경유지로 접속을 유도하고 공공기관을 공격하기도 했다. 워터링 홀이란 공격 대상이 평소 자주 방문하는 홈페이지에 미리 악성 코드를 심어둔 뒤 당사자가 접속하기를 기다리는 수법이다. 공격 목표로 삼은 대상이 이 홈페이지에 접속하면 해당 PC를 감염시켜 해커가 침투한다. 지난해 5월과 6월 국내 원자력 관련 기술을 담당하는 한국원자력연구원, 한국항공우주산업(KAI)에서 발생한 해킹 사건 또한 국내 가상사설망(VPN) 서비스 업체가 경유지가 됐다. 당시 국정원과 보안 기업들은 공격자로 북한 해킹 조직을 지목했다. 이 조직은 국외에서 공격을 감행하면서 마치 한국 민간 단체·업체를 해킹의 근거지인 것처럼 속여 공격 출처를 ‘세탁’하고 정보 당국의 시선을 분산하려 했다.

국내 민간 업체를 경유지로 악용해 정부 부처와 공공기관을 공격하기 위해 보안에 취약한 민간 기관을 우선 해킹하는 시도는 현재도 끊임없이 이뤄지고 있다. 원자력 추진 잠수함 등 방산 분야의 핵심 기술을 다량으로 보유한 E사의 잇따른 해킹 사고가 대표적이다. E사는 2016년 해킹으로 내부 자료 4만여 건이 유출되는 피해를 입은 데 이어 지난해 6월에도 해킹 시도가 확인됐다. 같은 해 10월 회사 인터넷망에 대한 해킹 시도를 또다시 포착한 E사는 관련 기관에 신고했다.

방산 업체 F사의 경우 2020년 11월에 전산망이 해킹됐는데 2021년 10월 직원 e메일 계정 등이 또다시 공격을 받았다. 해킹 이후에도 11개월간 국정원이 권고한 보안 대책을 시행하지 않은 결과였다. 2021년 3월에는 국가조직을 배후에 둔 해킹 조직이 피싱 사이트를 개설한 뒤 민간 기반 시설 운영 기관인 G사 직원들에게 피싱 메일을 발송했다. 지난해 3월과 12월에도 금융기관 사칭 악성 애플리케이션을 통한 스마트폰 4만여 대 감염, 아파트 설비 자동제어 시스템 해킹 등 대규모 공격이 국정원에 각각 발각됐다.

해커들이 한국 민간 업체들을 1차 해킹 대상으로 삼는데도 눈 뜨고 당하는 사례가 속출하는 것은 무엇보다 민간 조사권 관련 법령이 미비하기 때문이다. 2020년 국정원법 개정으로 국정원 직무에 사이버 안보 업무가 포함돼 위협 정보 수집·대응 기능은 부여됐지만 이에 필요한 구체적인 절차는 하위 법령에 제대로 규정되지 않았다. 국정원이 국가 배후 해킹 조직의 행적과 실체를 규명하려 해도 민간 기관이 사고를 숨기거나 정보 통신 기기에 대한 조사를 거부하면 현재로서는 어찌할 도리가 없다. 정부·공공기관의 정보라도 서버 등을 민간에 위탁한 경우 또한 접근이 불가능하다. 기업이나 단체 입장에서는 해킹을 당했다는 사실이 알려지는 것만으로도 영업이나 기관 신뢰에 치명타를 입을 수 있다는 게 문제다. 국정원은 민간 분야의 해킹 사고에 전방위적으로 대응하지도 못하고 있을뿐더러 관련 통계조차 확보하지 못하고 있다.

국정원의 한 관계자는 “각국 해커들이 한국의 민간 조사권 미비 상황을 잘 알고 악용하고 있어 현행법 체계로는 사이버 공격 대응에 한계가 있다”면서 “국정원의 정보 공유 요청도 수용하는 업체보다 거부하는 곳이 훨씬 많은 상황”이라며 답답해 했다.

윤경환 기자 ykh22@sedaily.com박진용 기자 yongs@sedaily.com
[ⓒ 서울경제, 무단 전재 및 재배포 금지]