보안 업계는 매년 홀수 해 사이버 안보 최전방 경계에 한층 더 촉각을 곤두세운다. 사회 파급력이 큰 대형 사이버 공격이 주로 홀수 해에 집중됐기 때문이다. 북한 사이버 전력이 국내를 대상으로 은밀히 펼치는 정찰 활동과 심리전, 지능형지속위협(APT)은 매년 꾸준히 수위가 높아져 왔다. 그러나 분산서비스거부(DDoS·디도스) 공격으로 대표되는 사이버 테러 행위는 유난히 홀수 해에 반복 발생했다. 이른바 `홀수 해` 징크스다.

2009년에 발생한 `7·7 디도스 공격`은 북한 소행으로 밝혀진 첫 대규모 사이버 테러다. 청와대를 비롯한 국방부·외교부·국가정보원 등 주요 정부기관부터 금융사, 언론사, 정당, 보안업체 등 국내 22개 기관·기업의 홈페이지가 공격을 받아 접속 장애가 발생했다. 미국의 백악관, 재무부, 연방무역위원회 등 해외 기관 14곳도 공격을 받았다. 피해 규모는 500억원 이상으로 추산됐다.

당시 7월 7~9일 3차에 걸친 공격이 이뤄졌다. 감염된 좀비PC 규모는 11만대에 이른다. 하드디스크(HDD)도 1460여대 파괴됐다. 공격 발생 초기의 웹사이트 방문자 접속을 방해하는 수준에서 점차 업무 자체가 마비되는 사태로 번졌다. 국내 정보기관뿐만 아니라 미국 정보 당국에서도 사이버 테러 배후로 북한을 지목했다. 분석 결과 북한 체신성 IP 대역 PC에서 세계 61개국 435개 서버를 공격 자원으로 활용한 것으로 밝혀졌다.

한 해 걸러 2011년에도 대규모 디도스 공격이 재현되며 홀수 해 징크스에 무게를 실었다. 국내외 40개 기관·기업이 피해를 본 `3·4 디도스 공격`이다. 청와대·국회·외교부·통일부·국정원·경찰청 등 공공 분야 23곳, 국민은행·우리은행·하나은행 등 금융권 9곳, 네이버·다음·옥션·지마켓 등 민간 8곳에서 홈페이지 접속 장애가 발생했다. 불의의 일격을 받은 7·7 디도스에 비해 정부와 보안 업계의 빠른 대응으로 피해는 다소 적었다.

같은 해 4월에는 NH농협이 APT 공격을 받아 내부 전산망 서버와 업무 PC 약 270여대가 파괴되는 사건도 발생했다.

2013년에는 연초부터 북한 3차 핵실험과 정전 협정 백지화 선언 등으로 일찌감치 남북 관계가 경색되며 사이버 위기감이 고조됐다. 금융사와 방송사 6곳을 공격한 `3·20 사이버 테러`에 이어 APT와 디도스가 하이브리드 형태로 복합된 대규모 `6·25 사이버 테러`가 연이어 발생했다.

3·20 사이버 테러는 중앙관리서버 관리의 취약점이 공격에 악용됐다. 업무용 PC와 서버 4만8800여대가 파괴됐다. 8670억원에 이르는 피해가 발생한 것으로 추산됐다.

처음으로 하이브리드 공격 특성을 보인 6·25 사이버 테러는 디도스 공격뿐만 아니라 웹 변조, 내부망 해킹 등 여러 공격 기법이 복합 사용됨으로써 국내 69개 기관과 기업이 피해를 보았다. 최소 6개월 전부터 웹하드나 파일 공유(P2P) 서비스 등 사이트를 미리 해킹, 대규모 공격을 치밀하게 준비한 것으로 분석됐다. 공격자 흔적 위장과 해킹 근원지 추적 방해에도 더욱 진화된 수법을 활용하는 모습을 보였다.

2014년 말에는 한국수력원자력과 협력사 직원 PC 5대를 파괴하고 문건을 공개한 `한수원 해킹` 사건이 발생했다. 공격은 짝수 해에 이뤄졌지만 사이버 심리전은 이듬해인 2015년 3~8월 다섯 차례에 걸쳐 한수원 내부 자료를 추가 공개하며 본격화됐다. 원전 관련 자료를 지속 공개하며 사회 불안감을 가중시킨 한 해였다.

지난해에는 청와대 사칭 해킹 메일과 주요 정부 인사의 스마트폰 해킹 시도, 인터파크 해킹 등이 발생했다. 시스템 즉시 파괴를 노린 공격이나 도발 행위 공개보다는 정보 수집 활동 또는 대규모 공격 감행 이전에 사전 준비 작업 등을 펼치는 동향이 감지된다.

보안 업계 관계자는 21일 “수면 아래에서 이뤄지는 북한발 사이버전 대응 활동은 매년 끊임없이 이어졌지만 홀수 해에는 더욱 긴장한다”면서 “북한에서도 내부 조직 간 공식 경쟁 차원에서 겉으로 효과가 크게 드러나는 대규모 사이버 공격을 감행할 우려가 크다”며 경계심을 늦추지 말기를 당부했다.

박정은기자 jepark@etnews.com

홀수 해 북한발 사이버 도발 대표 사례