KBS와 MBC는 20일 해킹 공격을 당한 사내 컴퓨터 하드디스크를 분석하다 손상된 부팅프로그램에서 특정 16진수 배열을 발견했다. 나열된 숫자를 알파벳으로 변환했더니 ‘하스타티(HASTATI)’라는 글자가 만들어졌다. 하스타티는 3열로 포진하는 로마군 창병부대의 1열을 뜻한다. 2열은 프린시페스(principes), 마지막 3열은 트리아리(triarii)라고 불렸다. 보안 전문가들은 전산망을 공격한 이가 뭔가 암시하려 남긴 것일 수 있다며 2차, 3차 추가 공격 가능성이 있다고 분석했다.

경찰청 사이버테러대응센터는 이런 공격을 감행한 주체와 관련, “분석 결과 악성코드를 PC에 직접 투입해 감염시켰다. 로그 기록을 살펴봐야 한다”며 신중한 입장을 보였다.

◇또 북한 소행인가?=키 리졸브 등 한·미 연합훈련에 반발해온 북한의 사이버 테러일 가능성이 가장 먼저 제기됐다. 북한은 유엔 안전보장이사회의 대북제재 결의에 반발해 정전협정 백지화, 남북 불가침 합의 및 비핵화 공동선언 폐기, 판문점 직통전화 차단 등 위협 수위를 높여 왔다. 최근엔 북한 인터넷망에 원인 모를 마비 사태가 발생하자 “적대세력의 비열한 행위”라며 보복을 공언했다.

여러 차례 한국 언론의 보도 행태를 비판하며 ‘특별행동’ ‘조준타격’ 등의 표현을 쓰기도 했다. 지난해 4월 조선인민군 최고사령부 특별작전행동소조 명의의 ‘통고’에서는 동아일보와 KBS MBC YTN 등을 지목하며 ‘특별행동’을 하겠다고 위협했고, 같은 해 6월에도 총참모부의 ‘공개통첩장’에서 조선일보, 중앙일보, 채널A, KBS, CBS, SBS를 언급하며 ‘조준타격’하겠다고 했다.

해커 출신 보안 전문가인 박찬암 라온시큐어 보안기술연구팀장은 “이번 공격은 단순히 재미로 해킹하는 수준을 넘어섰다. 개인이나 해커 모임의 공격이라기보다 이번이야말로 북한이 했을 가능성이 있지 않나 싶다”고 말했다. 김명철 카이스트 정보보호대학원 교수도 “현 남북관계를 고려하면 북한 소행일 가능성이 다분하다”고 말했다.

◇유럽 해커 과시용 공격?=공격 사실이 즉각 드러나는 방식으로 공격이 진행돼 단순 과시용일 수 있다는 관측도 나온다. 정보 유출이나 금전적 목적으로 해킹했다면 감염당한 기관들이 공격 사실을 즉각 눈치 채지 못하게 했을 것이란 얘기다. 개인정보를 노렸던 과거 공격은 대개 해킹이 이뤄지고 한참 뒤에야 그 사실이 알려졌다.

이경호 고려대(정보보호대학원) 교수는 “이렇게 떠벌리면서 해킹하는 경우는 대부분 과시용인 경우가 많다. 유럽 해커의 소행일 수 있다”고 말했다. 이상준 포티넷코리아 부사장은 “공격 대상을 보면 사회적 혼란이 목적인 것 같다”며 “굉장히 정교하게 제작된 악성코드”라고 분석했다.

사건 발생 후 트위터에는 LG유플러스 통신망을 이용한다는 네티즌이 “현재 LG유플러스망에 접속하면 이상한 화면이 뜬다”며 화면을 캡처해 올렸다. 이 화면에는 해골 사진과 함께 ‘Hacked By Whois Team(후이즈 팀에 해킹당했다)’이란 문구가 담겨 있다. 방송통신위원회는 “후이즈란 해커그룹이 실제 있는지도 확실치 않다. 알아보고 있다”고 말했다. 해킹 주체를 확인하는 데는 상당한 시간이 걸릴 것으로 보인다. 지난해 6월 발생한 중앙일보 홈페이지 해킹 사건도 북한의 소행임을 밝히는 데 6개월 이상 소요됐다.

이용상 기자 sotong203@kmib.co.kr

트위터페이스북구글플러스