극단주의 이슬람 무장단체 이슬람국가(IS)가 국내 기업 웹사이트를 해킹해 고객 명단에 접근한 사실이 뒤늦게 알려졌다. IS는 해당 장면이 담긴 선전용 영상을 최근 인터넷 동영상 공유 사이트 유튜브에 올렸다가 삭제당했다. 이 영상은 48분 안팎 분량으로 ‘어디서든 그들을 만나면 죽여라’라는 코란(이슬람 경전) 구절이 등장한다고 경찰 관계자는 6일 전했다.
IS가 한국을 상대로 현실적 공격을 감행하기는 처음이다. 지금까지는 지난해 11월 테러 위협을 담은 영상에서 ‘IS에 대항하는 세계 동맹국' 국기에 태극기를 포함한 적이 있을 뿐이다. 상당수 매체는 이번 IS 영상에 노출된 한국인 20명이 테러 대상으로 지목됐다고 보도하고 있다. 그러나 해당 명단의 정보성과 IS의 테러 방식 등으로 볼 때 이런 판단은 성급해 보인다. 경찰은 누가, 어떤 방식으로 피해 기업을 해킹했는지부터 확인 중이다.
피해 기업은
IS의 선전용 영상으로 해킹 피해 사실이 알려진 A사는 미디어 모니터링 업체다. 2009년 설립돼 서울과 뉴욕에 각각 사무실을 둔 이 업체는 직원 25명 정도로 규모가 작지만 매년 흑자를 내며 성장 중인 중소기업이다.
A사는 국내외 신문·방송 보도부터 온라인 기사와 그 기사 댓글, 페이스북과 트위터 등 소셜네트워크서비스(SNS) 게시물까지 살펴 고객에 필요한 정보를 제공한다. 기사 검색 서비스를 제공하면서 고객 관련 기사의 점유율과 호감도, 홍보효과 등을 분석해준다.
이런 사업 성격상 일반에는 거의 알려져 있지 않다. 주요 고객은 언론 보도와 매체 성향, 여론과 시장 동향 등을 파악해야 하는 기업과 정부기관이다. 다만 영업기간이 비교적 짧고 규모도 작은 편이라 동종업계 내에서도 ‘아는 사람만 아는’ 회사다.
IS에 노출된 명단은
IS 동영상에 나온 장면은 누군가가 컴퓨터 모니터로 A사 웹사이트 관리자 페이지의 ‘사용자 리스트’ 항목을 보는 모습이다. 사용자 리스트는 ‘모두 보기’와 ‘일반 사용자 보기’를 선택할 수 있는데 이 중 전자를 선택한 화면이었다.
영상에 노출된 명단은 20건으로 각각 이메일, 이름, 가입 날짜, 사용 여부 등이 나열돼 있다. 이메일은 도메인별로 공무원이 사용하는 ‘@korea.kr’가 11개, A사 직원용인 ‘@*****.com’ 6개, ‘@naver.com’ 2개, 불완전 이메일 계정 1개였다. 유료 뉴스 모니터링 서비스는 보통 기관마다 한 명이 대표로 등록하지만 이들 사용자 중 공무원 11명은 대부분 같은 부처 소속이라고 한다.
사용자 20명은 2011년 10월 11일부터 2014년 2월 17일 사이 가입한 걸로 돼 있다. ‘@korea.kr' 계정은 11개 중 가장 많은 7개가 2011년 11월 4일 가입했다. 나머지는 2011년 10월 24일과 2014년 2월 17일에 각각 3개, 1개가 가입했다. A사 직원을 제외한 사용자는 각 기관 홍보실(중앙부처는 대변인실) 직원일 가능성이 높다.
사용자 명단 왼쪽에는 위에서부터 ‘Client 관리’ ‘사용자 관리’ ‘콘텐츠 관리’ ‘TV뉴스’ ‘주제관리’ ‘로그관리’ ‘로그보기’ ‘중복로그인’ ‘로그아웃’ 항목이 차례로 떠 있다. 해커가 마음만 먹으면 주요 정보를 삭제하거나 조작할 수 있다는 뜻이다.
20명은 IS 표적?
노출된 사용자 정보 20건은 ‘사용자 리스트’ 첫 페이지다. 명단 아래에는 쪽수를 의미하는 ‘1’이 있고, 그 좌우로 쪽수를 넘길 수 있는 화살표가 있다. 20건은 일련번호가 1부터 20까지 순서대로 달려 있다. 선별된 정보가 아니라는 얘기다.
A사 사용자 명단은 정보 자체로 볼 때 가치가 낮다. 개인 정보라고는 이름과 이메일이 전부다. 꼭 그 사람이어야 하는 게 아니라면 이 정도 정보는 인터넷에서 얼마든지 수집할 수 있다. 공무원은 이름과 소속, 직급, 업무, 전화번호가 해당 기관 홈페이지에 공개돼 있다. 더욱이 암시장에선 주민등록번호와 휴대전화번호, 집 주소, 계좌 정보처럼 상세한 개인정보가 거래되는 실정이다. 여기에 비하면 A사 사용자 명단은 정보가 지나치게 부실하다.
이름과 이메일만으로 대상을 특정했다고 보기도 어렵다. 해당 인물에 접근하려면 더 많은 신상 정보를 추가로 수집해야 하는데 이 작업엔 상당한 품이 든다. 정부 고위관계자 등 요인(要人)이 아닌 사람, 즉 ‘소프트 타깃’(손쉬운 표적)을 공격하는 방식으로는 불필요하게 비효율적이다. IS가 그런 식으로 테러를 벌인 사례도 없다. 소프트 타깃을 대상으로 한 공격은 대개 인파가 몰리는 시간과 장소를 고르지 대상을 특정하지는 않는다.
이런 이유로 볼 때 IS가 영상에 노출된 A사 사용자 20명을 ‘살생부’에 올린 것이라고 판단하기는 어렵다. 그보다는 이런 정보에 접근할 수 있으며 언제든 한국에 위해를 가할 수 있다는 점을 과시한 것으로 짐작된다. A사 관리자 페이지 해킹은 위협용 예시인 셈이다.
왜 A사였을까
A사 사이트는 ①해킹에 취약하면서 ②정부기관 관계자가 이용한다는 조건을 충족한 것으로 보인다. IS가 선전용 동영상에 A사 사용자 명단을 등장시킨 이유도 한국 정부기관 도메인(@korea.kr)이 다수 포함됐기 때문이었을 것으로 추정된다.
A사는 IS가 해킹을 시도한 여러 국내 기관 중 그나마 유의미하게 성공한 사례일 가능성이 높다. 더 내밀한 정보에 접근할 수 있었다면 그 내용을 공개했을 것이다. 같은 영상에 미국과 관련해서는 중앙정보국(CIA)과 연방수사국(FBI) 요원들의 신원이 나온다. 전체 영상에서 한국 분량은 A사 사용자 리스트를 잠시 보여주는 장면이 전부다. IS가 한국을 적국 중 하나로 간주하기는 해도 주요 표적으로 보지는 않는다는 의미로 볼 수 있다.
A사 해킹 사실은 해당 영상을 본 정부기관 측이 한국인터넷진흥원(KISA)에 확인을 의뢰하면서 알려졌다. A사는 그때까지 자사 웹사이트가 제삼자에게 뚫린 사실을 몰랐던 것으로 전해졌다. 토요일인 5일 오후 전화를 받은 A사 당직자는 “지금 민감한 상황이라 뭐라고 말하기 그렇다”며 응대를 거부했다. 업체 대표는 자신의 페이스북 계정을 닫았다.
이운주 경찰청 사이버안전국장은 “사용자 명부에 접근했다는 건 관리자 권한을 가졌다는 뜻”이라며 “그 권한을 어떻게 가져갔는지가 수사의 핵심이 될 것”이라고 설명했다.
강창욱 기자 kcw@kmib.co.kr
GoodNews paper Ϻ(www.kmib.co.kr), , , AIн ̿
그 한국인 20명은 정말 IS의 표적일까
Ŭ! ̳?
Ϻ IJ о
õ
