▲ 국가사이버안전센터 2020 연례보고서 표지 사진. 사진=국정원 홈페이지

지난 10일 국가정보원 창설 60주년을 맞아 국정원 60년의 역사와 활약상, 선진 정보기관으로의 도약을 위한 변화 등 총 7회에 걸쳐 보도하고자 한다. 오늘은 그 다섯 번째 시간으로 사이버안보 파수꾼으로서 국정원의 역할을 소개한다.

오늘날 정보통신기술의 발달로 많은 정보와 기기가 네트워크로 연결된 편리한 환경에서 생활하고 있다. 그러나, 이러한 지능화된 초연결 사회는 해킹 등 각종 사이버 공격에 노출돼 있으며, 공격으로 인한 피해 규모도 지속 증가하고 있다.

2003년 1월 25일, '슬래머 웜'으로 인해 우리나라 전체 인터넷이 몇 시간 동안 마비된 인터넷 대란을 계기로 사이버안전에 대한 국가 차원의 종합적·체계적인 대응을 위해 2004년 2월 20일 국정원 산하에 국가사이버안전센터가 설립됐다. 올해 1월 1일 국정원법 및 사이버안보업무규정 제·개정에 따라 '국가사이버안보센터'로 명칭을 변경했다.

국가사이버안보센터는 축적된 기술과 경험을 바탕으로 국가 중요정보의 유출 및 국가 주요 정보통신서비스·기반시설 대상 사이버 공격에 맞서 24시간 365일 사이버 공간을 수호하고 있으며, 굳건한 사이버안보 대비태세 마련을 위해 노력하고 있다.

◇ 스마트폰 4만여대 해킹 적발 및 조치

국정원은 올해 3월 국내 금융기관을 사칭한 악성 앱이 국내에 광범위하게 유포되고 있는 정황을 포착했다. 국내 이동통신사에 가입된 스마트폰 4만 여대가 이미 악성 앱에 감염돼 있는 심각한 상황이었다.

악성 앱에는 스마트폰 통화기록·문자메시지 절취 기능은 물론, 통화 도청 기능까지 은닉되어 있었다. 보이스 피싱 등 범죄에 악용되면 국민이 큰 피해를 입을 수 있는 상황이었다. 신속한 조치가 필요했다. 

국정원은 발 빠르게 움직였다. 국내 유관기관과 보안업체와 공조해 악성 앱 긴급 차단조치에 나섰다. 우선 악성 앱에 감염된 피해자가 악성코드를 제거할 수 있도록 한국인터넷진흥원(KISA), 이동통신 3사와 함께 피해 스마트폰을 대상으로 백신점검 안내 긴급 메시지를 발송했다. 또한 추가 확산 방지를 위해 국내 백신업체들과 협조해 스마트폰용 백신을 업데이트했다.

또한, 언론을 통해 해킹 피해 사실과 관련 보안 대책을 국민들에게 알려 유사 피해를 예방할 수 있도록 했다. 우리의 신속한 조치로 악성 앱이 차단되자 해킹 조직은 탐지 우회를 위해 다양한 변종 앱을 유포하기 시작했다. 국정원과 금융보안원 등 유관기관은 맞춤형 대응 활동을 전개해 공격을 무력화했으며, 추가 공격에 대비 해킹조직 움직임을 지속 모니터링하고 있다.

◇ 공급망 공격(Supply Chain Attack) 대응

최근 국가·공공기관과 기업체 정보통신망 보안수준이 높아져 직접 침투가 어려워지자 해킹조직들은 '공급망 공격'을 강화하고 있다. 공급망 공격은 IT제품 제조사에 먼저 침투해 생산제품에 악성코드 등을 은닉하고 해당 제품을 도입·사용하는 기관·업체 정보통신망이나 개인 PC를 구조적으로 취약하게 만들어 침투하는 공격 기법 중 하나이다. 

- 인터넷 뱅킹 시스템 공격
국정원은 2020년 5월 인터넷뱅킹 이용 때 국민 대다수가 사용하는 필수 금융보안 소프트웨어의 개발업체가 해킹당한 사실을 탐지했다. 해커가 마음만 먹으면 1000만대가 넘는 PC를 파괴해 큰 사회적 혼란을 초래할 수 있었고, 감염된 PC를 악용해 디도스 공격 등 대규모 사이버 공격을 일으킬 수도 있는 상황이었다. 자칫 상상을 초월하는 피해 발생이 우려됐다.

국정원은 탐지 즉시 한국인터넷진흥원(KISA)·금융보안원 등 유관 기관과 협조해 긴급 대응조치에 나섰다. 백신업체와 협조해 기존 취약한 프로그램이 설치된 PC를 신속하게 치료했다. 또한, 소프트웨어 개발업체에 해킹 사실을 통보해 취약한 소프트웨어가 더 이상 유통되지 못하도록 했다. 이러한 발 빠른 조치로 해킹 공격은 무력화 됐다. 금융자료 유출 등 심각한 피해 역시 조기 차단될 수 있었다.

- 보안업체 타깃 공격
국내 보안업체 대표 K씨는 지난해 12월 사이버보안 전문가를 사칭하는 인물로부터 SNS 메시지를 받았다. 자신을 유럽에서 일하는 정보보안 전문가라고 소개한 그는 자신이 지금까지 수행한 프로젝트 관련 결과물을 소개하며 '사이버보안 합작 사업 및 공동연구'를 제안했다. 또한, 본인의 이력서를 확인해 보라며 특정 사이트 접속 링크(URL)까지 덧붙였다. 갑작스러운 연구 제안 등에 의심을 가진 K씨는 국정원에 관련 사실을 알렸다.

국정원은 제보를 바탕으로 메시지에 첨부된 링크를 정밀 분석했고 링크를 통해 접속되는 사이트에 정교한 해킹프로그램이 은닉되어 있는 사실을 확인했다. 또한 K씨의 업체 외에도 국내 몇몇 정보보안 업체가 동일한 메시지를 받은 사실을 추가 파악했다. 이는 해커가 국내 정보보안 업체에 침투하여 이들이 개발·납품하는 제품에 악성코드를 은닉시켜, 이 제품을 도입한 기관 전체를 일시에 해킹하고자하는 목적을 가지고 업체 대표 등에게 접근한 것으로 보고 있다.

국정원은 K씨에게 관련 사실을 알리고 향후 유사한 공격에 대해 주의를 당부하는 한편, '한국정보보호산업협회'(KISIA)를 통해 국내 200여 정보보안 업체에게도 유의토록 안내해 추가적인 공격에 대비토록 했다.

국정원은 공급망 공격이 기관·기업뿐만 아니라 개인까지 대상으로 하는 점에 주목하고, 공공 영역 뿐만 아니라 민간 분야에도 적극적으로 위협 정보를 제공하는 등 국가 차원의 사이버안보 확립에 진력하고 있다.

◇ 사이버 위협정보 민간 제공 확대

국가정보원은 공공기관에 한정했던 사이버 위협 정보 제공 범위를 주요 민간 기업으로 대폭 확대하고, 희망 기업 대상 사이버보안 교육도 적극 지원한다.

지난해 10월 방위사업청·방위산업진흥회와 공조해 현대중공업·한화 등 13개 방산업체 관계자들과 '사이버위협정보 공유협약'(MOU)를 체결했다. 또 코로나19로 주요 해킹 타깃이 되고 있는 제약·바이오 분야를 비롯해 ▲핵심기술 ▲기간통신 ▲정보보호 분야 기업 중 희망기업을 대상으로 올 연말까지 순차적으로 사이버 위협정보를 제공키로 했다. 

4월 28일에는 삼성·LG·포스코 등 7대 그룹 42개 기업과 사이버위협 정보 공유키로 하는 등 사이버위협 정보 제공 범위를 대폭 확대하고 있다.

국정원은 "국내 핵심기술 보유 업체를 대상으로 해킹 공격이 지속적으로 확대되고 있는 데 대한 선제적 조치"라며 "앞으로 사이버 위협정보 대상을 지속 확대할 계획"이라고 밝혔다.