© 국민일보

IS, 국내기업 웹사이트 해킹…‘위협’ 강도 높였다

입력 2016-03-06 21:07 수정 2016-03-07 00:25
이슬람국가(IS)가 지난해 11월 공개한 테러 위협 동영상 화면. 당시 한국을 60개 적국 중 하나로 규정했던 IS는 지난달 한국인 20명의 이름과 이메일이 담긴 영상을 공개하며 테러를 선동했다. 뉴시스

극단주의 이슬람 무장단체 이슬람국가(IS)가 국내 기업 웹사이트를 해킹해 고객 명단에 접근한 사실이 뒤늦게 알려졌다. IS는 해당 장면이 담긴 선전용 영상을 최근 인터넷 동영상 공유 사이트 유튜브에 올렸다가 삭제당했다. 이 영상은 48분 안팎 분량으로 ‘어디서든 그들을 만나면 죽여라’는 코란(이슬람 경전) 구절이 등장한다고 경찰 관계자가 6일 전했다.

IS는 지난해 11월 테러 위협을 담은 영상에서 ‘IS에 대항하는 세계 동맹국’ 국기에 태극기를 포함하긴 했지만 한국을 상대로 현실적 공격을 감행하기는 처음이다. 그러나 노출된 명단의 정보성, IS 테러 방식 등으로 볼 때 해당 인물들이 테러 대상으로 지목됐다고 보는 건 성급하다. 경찰은 누가, 어떤 방식으로 피해 기업을 해킹했는지부터 확인 중이다.

피해 기업은

IS로부터 해킹 피해를 본 사실이 알려진 A사는 미디어 모니터링 업체다. 2009년 설립돼 서울과 뉴욕에 각각 사무실을 둔 이 업체는 직원 25명 정도로 규모가 작지만 매년 흑자를 내는 중소기업이다.

A사는 국내외 신문·방송 보도부터 온라인 기사와 그 기사 댓글, 페이스북과 트위터 등 소셜네트워크서비스(SNS) 게시물까지 살펴 고객에 필요한 정보를 제공한다. 기사 검색 서비스를 제공하면서 고객 관련 기사의 점유율과 호감도, 홍보효과 등을 분석해준다.

이런 사업 성격상 일반에는 거의 알려져 있지 않다. 주요 고객은 언론 보도와 매체 성향, 여론, 시장 동향 등을 파악해야 하는 기업과 정부기관이다. 다만 영업기간이 비교적 짧고 규모도 작은 편이라 동종업계 내에서도 ‘아는 사람만 아는’ 회사다.

IS에 노출된 명단은

IS 동영상에 나온 장면은 누군가가 컴퓨터 모니터로 A사 웹사이트 관리자 페이지의 ‘사용자 리스트’ 항목을 보는 모습이다. 사용자 리스트에서는 ‘모두 보기’와 ‘일반 사용자 보기’ 중 전자를 선택한 화면이었다.

영상에 노출된 명단은 20건으로 각각 이메일, 이름, 가입 날짜, 사용 여부 등이 나열돼 있다. 이메일은 도메인별로 공무원이 사용하는 ‘@korea.kr’가 11개, A사 직원용인 ‘@*****.com’ 6개, ‘@naver.com’ 2개, 불완전 이메일 계정 1개였다. 유료 뉴스 모니터링 서비스는 보통 기관마다 한 명이 대표로 등록한다는 점을 고려하면 최소 11개 정부기관이 A사 회원이라고 추정할 수 있다.

사용자 20명은 2011년 10월 11일부터 2014년 2월 17일 사이 가입한 걸로 돼 있다. ‘@korea.kr’ 계정은 11개 중 가장 많은 7개가 2011년 11월 4일 가입했다. 나머지는 2011년 10월 24일과 2014년 2월 17일에 각각 3개, 1개가 가입했다. A사 직원을 제외한 사용자는 각 기관 홍보실(중앙부처는 대변인실) 직원일 가능성이 높다.

사용자 명단 왼쪽에는 위에서부터 ‘Client 관리’ ‘사용자 관리’ ‘콘텐츠 관리’ ‘TV뉴스’ ‘주제관리’ ‘로그관리’ ‘로그보기’ ‘중복로그인’ ‘로그아웃’ 항목이 차례로 떠 있다. 해커가 마음만 먹으면 주요 정보를 삭제하거나 조작할 수 있다는 뜻이다.

20명은 IS 표적?

노출된 사용자 정보 20건은 ‘사용자 리스트’ 첫 페이지다. 명단 아래에는 쪽수를 의미하는 ‘1’이 있고, 그 좌우로 쪽수를 넘길 수 있는 화살표가 있다. 20건은 일련번호가 1부터 20까지 순서대로 달려 있다. 선별된 정보가 아니라는 얘기다.

A사 사용자 명단은 정보 자체로 볼 때 가치가 낮다. 개인정보라고는 이름과 이메일이 전부다. 이 정도 정보는 인터넷에서 얼마든지 수집할 수 있다. 공무원은 이름과 소속, 직급, 업무, 전화번호가 해당 기관 홈페이지에 공개돼 있다. 더욱이 암시장에선 주민등록번호와 휴대전화번호, 집 주소, 계좌 정보처럼 상세한 개인정보가 거래되는 실정이다.

이름과 이메일만으로 대상을 특정했다고 보기도 어렵다. 해당 인물에 접근하려면 더 많은 신상정보를 추가 수집해야 하는데 이 작업엔 상당한 품이 든다. 정부 고위 관계자 등 요인(要人)이 아닌 사람, 즉 ‘소프트 타깃’(손쉬운 표적)을 공격하는 방식으로는 비효율적이다. IS가 그런 식으로 테러를 벌인 사례도 없다. 소프트 타깃을 대상으로 한 공격은 대개 인파가 몰리는 시간과 장소를 고른다.

이런 점들을 감안하면 IS가 ‘살생부’를 올린 것이라고 판단하기 어렵다. 그보다는 이런 정보에 접근할 수 있으며 언제든 한국에 위해를 가할 수 있다는 점을 과시한 것으로 짐작된다. A사 관리자 페이지 해킹은 위협용인 셈이다.

왜 A사였을까

A사 사이트는 ①해킹에 취약하면서 ②정부기관 관계자가 이용한다는 조건을 충족한 것으로 보인다. IS가 선전용 동영상에 A사 사용자 명단을 등장시킨 이유도 한국 정부기관 도메인(@korea.kr)이 다수 포함됐기 때문이었을 것으로 추정된다.

A사는 IS가 해킹을 시도한 여러 국내 기관 중 그나마 유의미하게 성공한 사례일 가능성이 높다. 더 내밀한 정보에 접근할 수 있었다면 그 내용을 공개했을 것이다. 이운주 경찰청 사이버안전국장은 “해커가 관리자 권한을 어떻게 가져갔는지가 수사의 핵심”이라고 말했다.

강창욱 기자 kcw@kmib.co.kr