공공뉴스=김소영 기자 # 저는 경기도에 거주하는 고등학교 3학년 아이의 학부모입니다. 2024학년도 수능이 얼마 남지 않은 만큼 아이를 위해 여러가지로 신경을 쓰고 있는데요. 얼마 전 뉴스를 보다가 깜짝 놀랐습니다. 경기도교육청 학력평가 성적 자료를 유출한 해킹범이 잡혔는데, 알고 보니 10대였다고 하더군요. 제 딸 아이와 또래인 학생이 교육청 서버의 보안을 뚫다니. 그렇다면 웬만한 해커들도 침입이 가능하다는 이야기 아니겠어요? 성적뿐 아니라 학생들 개인정보도 같이 빼돌렸다고 하는데, 보통 심각한 상황이 아닐 수 없습니다. 이 정보가 누구 손에 흘러들어갈 지 모르잖아요. 한국이 IT 강국인 만큼 해커의 수준도 높아진 것 같은데 이번 사건을 계기로 정부기관들의 철저한 보안 점검이 이뤄지길 바랍니다. (여·47·경기도 수원시 장안구)
최근 정부가 무기 개발·인공위성 관련 첨단기술을 탈취한 북한 해커 조직을 독자제재 대상으로 지정했다. 이들은 과거 한국수력원자력(한수원)을 해킹해 원전 가동 중단을 협박한 조직으로 지목받고 있다.
이와 함께 경기도교육청 서버에 침입해 전국연합학력평가 성적 자료 27만여건을 유출한 해커가 10대 학생이란 사실도 알려지며 공공기관 사이버 보안 실태에 관심이 쏠리고 있다.
정부기관에 대한 사이버 공격은 국민 안전과도 직결되는 만큼 재발 방지를 위한 철저한 보안 점검이 필요해 보인다.
#정부, 北조직 ‘제재 대상’ 지정
6일 외교부에 따르면, 정부는 전 세계를 대상으로 정보·기술을 탈취해 온 북한 해킹 조직 ‘김수키(Kimsuky)’를 대북 독자제재 대상으로 지난 2일 지정했다.
북한 정찰총국의 산하 조직인 ‘김수키’는 10여년 가량 사이버 공격을 감행해왔다. 이들은 전 세계 정부·정치계·학계·언론계 주요 인사를 공격해 탈취한 외교 정책 등 정보를 북한 정권에 제공하고 있다.
외교부는 김수키를 포함한 북한 해킹 조직들이 전 세계를 대상으로 무기 개발과 인공위성·우주 관련 첨단기술을 빼돌려 북한의 소위 ‘위성’ 개발에 직간접적으로 관여해 왔다고 설명했다.
2014년 한수원 해킹 사건이 김수키의 주요 소행으로 꼽힌다. 당시 해커 조직은 한수원 직원들에게 악성코드 이메일을 보내 PC 디스크 등을 파괴하려고 시도했다.
또한 이들은 한수원 관계자들에게 피싱(phishing) 메일을 보내 내부자료를 수집했으며, 온라인상에 원자로 냉각시스템 도면 등을 공개하며 원전 가동 중단을 협박했다.
2021년 5월부터 6월까지 환자와 전·현직 의료진 등 83만여명의 개인정보가 유출된 ‘서울대병원 서버 해킹 사건’ 역시 김수키가 유력 용의자로 지목된다.
김수키는 주로 신뢰·사회적 관계를 이용해 사람을 속임으로써 비밀 정보를 획득하는 사회공학적 기법을 사용해 사이버 공격을 감행한다.
특히 특정인을 속이기 위해 맞춤으로 제작된 이메일·전자통신 내용을 활용해 개인정보를 훔치는 ‘스피어피싱(spear phishing)’ 공격을 통해 정보를 탈취하는 것으로 유명하다.
김수키는 또 언론사, 싱크탱크·대학, 정부기관·국회, 수사·법집행 기관, 포털사이트 관리자 등 신뢰할 수 있는 개인·단체를 사칭하면서 외교·안보 현안을 이용하는 것으로 알려졌다.
이들은 믿을 만한 개인·단체를 사칭한 뒤 외교·통일·안보·국방·언론 분야 주요 인물에게 접근해 이메일에 첨부한 악성 프로그램을 통해 공격 대상의 계정·기기 등을 해킹하는 수법을 사용한다.
정부는 대북 독자제재 대상 지정과 함께 자체 식별한 김수키의 가상자산 지갑 주소도 식별 정보로 제재 명단에 올린다고 밝혔으며, 이번 조치를 통해 김수키의 국내 활동을 위축시킬 수 있을 것이란 기대를 전했다.
#10대 경기도교육청 해킹 ‘파장’
북한만이 공공기관에 대한 해킹을 시도하는 것은 아니다. 최근 경기도교육청을 해킹한 10대 학생이 경찰에 잡혀 파장이 일었다.
경기남부경찰청 사이버수사과는 전국연합학력평가 성적 자료를 유출한 10대 해커 A씨를 이달 1일 구속했다.
현재 대학교 컴퓨터 관련 학부 1학년에 재학 중인 A씨는 고등학생이었던 지난해부터 경기도교육청 서버에 침입한 것으로 확인됐다.
A씨는 2월 경기도교육청 학력평가시스템 서버에 불법 침입해 지난해 11월 치러진 전국연합학력평가에 응시한 고등학교 2학년 성적 정보 27만여건을 탈취한 혐의를 받는다.
이후 A씨는 빼돌린 정보를 수험 정보를 공유하는 텔레그램 대화방인 ‘핑프방’ 운영자 B씨에게 전달했으며, B씨는 이 시험성적 자료를 핑프방에 유포했다.
또한 A씨는 해당 사건을 포함해 지난해 10월부터 200여회에 걸쳐 해외 IP로 우회해 경기도교육청 서버에 침입하고, 100회가량 자료를 불법 다운로드한 혐의도 받는다.
해킹으로 빼낸 자료 중에는 지난해 4월 치러진 전국연합학력평가 고교 3학년 성적정보도 포함된 것으로 조사됐다. 해킹한 자료들은 대부분 성적 분석 자료, 시험 문항지 등으로 알려졌다.
A씨는 “우연히 서버의 취약점을 발견하고 서버에 침입했다”며 “나중엔 실력을 과시할 목적으로 대화방 운영자에게 정보를 전달했다”고 경찰에 진술한 것으로 전해졌다.
경기도교육청은 A씨가 서버를 해킹한 뒤 5개월 가량 피해 사실을 인지하지 못한 것으로 조사됐다. 올해 2월 한 온라인 커뮤니티에 서버를 해킹했다고 주장하는 글이 게재되자 이를 확인한 뒤 경찰에 수사를 의뢰했다.
#사회불안 야기..철저 대비 필요
북한 해킹 조직 김수키의 공격과 A씨의 경기도교육청 해킹은 공공기관 사이버 보안에 대한 경각심을 일깨웠다.
과거 김수키의 한수원 해킹은 국민의 안전과 직결된 국가 인프라 시설을 대상으로 이뤄져 큰 사회불안을 야기한 바 있다.
특히 국가 전체에 영향을 끼치는 정부기관의 허술한 보안 실태가 드러남과 동시에 이에 대한 늑장대처가 국민 우려를 키웠다는 지적이 나왔다.
이 같은 우려는 경기도교육청 해킹 사건에서도 이어지고 있다. 해당 사건에 대해 누리꾼들은 “해킹은 보통 해커가 대단해서가 아니라 보안이 엉성할 때 당하는 것” “10대에게 털리는 교육청 정부기관이라니” 등의 반응을 보이며 공공기관의 허술한 보안 실태를 질타했다.
이에 일각에서는 정부기관이 사이버 보안에 대한 안일한 태도를 시정하고 이와 함께 철저한 보안 점검이 이뤄져야 한다는 목소리가 나온다.
아울러 공공기관 근무자 개개인 역시 보안의식을 높일 필요가 있다. 메일 첨부파일을 클릭하면 악성코드에 감염되는 수법이 주로 사용되는 만큼, 출처가 미심쩍은 메일의 경우 함부로 열지 않고 해당 단체에 공식 문의하는 등의 절차를 거쳐야 한다는 게 전문가들의 의견이다.
현재 대한민국 사회는 공장·자동차를 비롯해 청소기·냉장고 등의 가전제품까지 모든 사물이 무선 인터넷으로 연결되는 ‘초연결 사회’로의 전환이 가속화되고 있다. 편리함이 커지는 만큼 해킹의 파괴력 역시 전 국민에게 확산할 가능성이 높다.
특히 국민의 삶과 연관된 공공기관의 사이버 보안은 거듭 강조해도 지나치지 않다. ‘보이지 않는 덫’을 피하지 못한다면 국가 전체가 위협받을 수 있다는 점을 절대 잊지 말아야 할 것이다.