‘각 부서 당번은 노트북PC에서 무선인터넷에 접속한다. 기자는 빨리 기사를 작성해 지정된 이메일로 보낸다. 데스크는 이메일로 온 기사를 손본 뒤 USB에 저장해 편집기자에게 전달한다. 편집기자는 USB에 담긴 기사로 페이지를 구성한다. 이는 출력파일로 만들어져 다시 USB에 저장된다. 지하 쇄판실 담당자는 이 출력 파일로 필름을 만들어 신문을 인쇄한다.’
6월14일 조선일보 사보 ‘어떤 경우에도 신문은 나와야 한다! 기사 USB 저장 습관 들이자’라는 기사에 소개된 매뉴얼이다. 얼핏 보아도 이메일과 메신저가 일상화된 요즘과 어울리지 않는 제작 시스템이다. 온라인 제작 시스템이 파괴되어 수작업으로 신문을 제작해야 하는 경우를 대비한 것이기 때문이다. 신문 제작에 차질이 생긴다면 그 피해는 적지 않을 것이다. 조선일보 사보에서는 이를 ‘최악의 경우를 상정한 매뉴얼’이라고 표현했다. 갑작스러운 매뉴얼 발표는 지난 6월9일 중앙일보 뉴스 사이트 해킹 사건과 관련이 있다.
디도스와는 차원 다른 APT 방식으로 공격
6월9일 오후 6시30분 중앙일보 뉴스 사이트(www.joongang.co.kr)에 난데없는 고양이 사진이 나타났다. ‘이즈원이 해킹했다(Hacked by IsOne)’라는 제목의 창도 떴다. 사진 속 고양이는 입을 가리고 웃는 듯한 모습이다. 사진 아래에는 초록색 코드가 나열되어 있다. 스스로 자신을 ‘이즈원(IsOne)’이라 밝힌 해커는 초록색 코드로 여러 정보를 남겼다.
코드 오른쪽 하단에 ‘www.joongang.co.kr, 2012-06-09, APT’라는 글자가 있다. 공격 대상이었던 중앙일보 홈페이지 주소와 공격 날짜, 그리고 공격 방식을 밝힌 것이다. 바로 아래에는 ‘???.??????.???, 2012-??-19,?’와 ‘???.?????.???, 2012-??-29’라는 문구가 보인다. 추가 공격 대상이 될 사이트 주소와 공격 날짜를 암시한 것이다. 어떤 사이트인지, 공격 날짜가 언제인지는 ‘?’로 처리했지만 2차, 3차 추가 공격을 예상할 수 있다. 다른 언론사들이 긴장하기 시작한 이유가 여기에 있다. 실제로 조선일보 이메일 서버에서는 해킹을 시도한 흔적이 발견되기도 했다. 조선일보 이항수 기획팀장은 “심각한 것은 아니었지만 예방 차원에서 이메일 비밀번호를 바꾸라고 지시했다”라고 말했다.
해커가 공격 방식이라고 밝힌 APT는 ‘지능형 지속 위협(Advanced Persistent Threat)’의 영문 약자이다. 기존 해킹이 불특정 다수를 목표로 하는 반면, APT는 특정 대상을 목표로 한다. 이때 해커가 직접 특정 회사의 메인 서버에 침투한다. 정보를 빼돌리거나 파괴하기 위해서다. 한국EMC 보안사업부 RSA팀 조남용 차장은 “이들은 목적이 달성될 때까지 수개월, 수년에 걸쳐서 공격한다”라고 말했다.
이제까지 주요 해킹 방법으로 알려졌던 디도스는 사이트 과부하를 일으켜 운영에 차질을 일으키는 수준이었다. 사이트 이용자가 불편을 겪지만 접속 서버가 파괴되거나 데이터베이스 자체가 사라지지는 않았다. 이런 점에서 APT는 디도스보다 심각한 해킹 방식이다.
해킹이 발생한 지 이틀 뒤인 6월12일 중앙일보는 ‘디도스와 차원 다른 악의적 수법…신문 제작 서버 집중 공격’이라는 기사를 냈다. 기사는 ‘공격자는 독자 정보를 담은 서버에는 손대지 않고 신문을 만드는 데 필요한 정보를 담은 서버를 주 대상으로 삼았다’라며 ‘단순 해킹 혹은 디도스 공격이 아니다’라고 밝혔다. 디도스와 달리 APT는 많은 시간과 물량이 필요하기 때문이다. 조남용 차장은 “APT는 굉장히 많은 시간과 물량을 투자해야 한다. 그래서 개인보다는 조직이 한다고 볼 수 있다”라고 말했다.
해킹 배후를 북한으로 보는 시각도 있어
이런 이유 때문에 이번 해킹의 배후를 북한으로 보는 시각도 있다. 게다가 지난 6월11일 북한 대외용 라디오 방송인 평양방송의 발언도 이와 무관하지 않다. 이날 평양방송은 “우리는 남조선 보수 언론들이 이명박 X새끼 무리와 동조해 나선다면 무자비한 징벌을 받게 될 것이라고 이미 엄숙히 경고했다. 우리 혁명적 무장력은 새로운 악행을 연출하고 있는 조선일보·중앙일보·동아일보는 물론 KBS·CBS·MBC·SBS 방송국 자리표도 확정해놓고 불마당질할 명령을 기다리고 있다”라고 발표했다.
하지만 이런 정황이 곧 ‘북한 공격’의 근거가 되기는 어렵다는 지적도 있다. 경찰청 사이버테러 대응 정석화 수사실장은 “추측성 기사를 보았지만 사실에 근거한 기사가 아니다. 자료가 많아서 한창 분석을 하고 있다. 아직 쉽게 판단할 수 있는 단계가 아니다”라고 밝혔다. APT가 많은 시간과 물량이 들어간다고 해서 섣부르게 재단하기는 이르다는 것이다.
당장 문제는 북한 배후 여부보다 여전히 허술한 언론의 보안시스템이다. 언론사를 겨냥한 해킹이 처음이 아니기 때문이다. 2009년 7월 조선일보 온라인 사이트인 조선닷컴은 약 4시간30분 동안 디도스 공격을 받았다. 사이트는 접속 불능 상태였다. 당시 언론계에서는 근본 대책을 세워야 한다는 지적이 나왔다. 하지만 3년 만에 더 큰 문제가 발생한 것이다.
2011년 5월30일. 미국 공영방송 PBS의 홈페이지에 ‘투팍이 여전히 뉴질랜드에 살아 있다’라는 기사가 게재되었다. 투팍은 미국의 유명 래퍼이다. 1996년 총격으로 피살되었다. 허위 기사였다. 2011년 7월18일 영국 타블로이드 ‘더 선’(the sun)에는 ‘미디어 거물의 시체가 발견되었다’라는 기사가 실렸다. 미디어 황제 루퍼드 머독이 사망했다는 것이다. 역시 허위 기사였다. 기사 작성자는 모두 룰즈섹(LulzSec)이라는 해커 그룹이다. 당황스러운 사례이지만, 허술한 보안이 정비되지 않는다면 한국에서도 일어나지 말라는 법은 없다.
이에 대해 조남용 차장은 “지금까지는 자동 탐지 보안이 대부분이었다. 하지만 APT는 자동 탐지에 걸리지 않게 최대한 지능적으로 은밀하게 수행된다. 이런 공격을 찾아내기 위해서는 사람이 나서야 한다. 능동적으로 대처해야 한다”라고 말했다.
[시사저널 인기 기사]
▶ 압박 주고 사람 잡은 SC제일은행의 ‘실적지상주의’
