큰사진보기
▲  지난해 9월 20일 안철수 후보가 대선 출마 선언 이후 안랩 판교 사옥을 찾아 이사회 의장직을 사퇴하고 '안랩 계단'에서 직원들과 환송식을 하고 있다.
ⓒ 사진공동취재단	관련사진보기

"새 사옥으로 이사하고 난 다음을 조심해야 해."

지난 15일 정보보호업계 간담회에 참석한 보안업체 대표가 안랩 쪽에 남긴 농담섞인 '훈수'다. 안랩이 지난 2011년 말 판교 테크노밸리에 둥지를 튼 뒤 겪고 있는 우여곡절을 두고 한 말이다. 마침 이날 서울 양재동 엘타워에서 윤종록 미래창조과학부 2차관 주최로 열린 간담회 화두 역시 3·20 방송·금융사 전산망 해킹이었다.

안랩(대표 김홍선)이 다시 정치권 입방아에까지 올랐다. 지난해 창업자 안철수 전 이사회 의장 대선 출마로 여당의 혹독한 검증 세례를 받은 데 이어 지난 3·20 해킹 이후 책임론에서 벗어나지 못하고 있다. 단순한 책임 추궁을 떠나 '북한 용병'이라는 색깔론까지 등장했다. 사실상 4·24 국회의원 재보선에 출마한 안철수 후보를 겨냥한 것이다.

실제 농협의 경우 해커가 안랩이 납품한 '업데이트 관리 서버'를 이용해 악성코드를 유포한 사실이 밝혀졌다. 신뢰와 무결성이 생명인 보안업체에겐 큰 타격일 수밖에 없다. 당장 외국계 경쟁업체들이 기다렸다는 듯 국내 시장 공략을 강화하고 나섰다. 하지만 유독 자신들에게만 쏠리는 책임론에 안랩도 억울하다는 표정이다. 여러 원인 가운데 하나일 뿐인데 마치 자신들 때문에 이번 '사이버 테러'가 벌어지기라도 한 듯 언론에 과장되게 비쳐지고 있다는 것이다.

과연 일부 정치권과 언론의 '안랩 책임론'은 어디까지 합당한 것일까. 이번 3·20 해킹과 안랩을 둘러싼 오해와 진실을 짚어봤다.

[오해①] 안랩 백신은 유죄, 공인인증서는 무죄?

15일 오후 경기도 성남시 판교 테크노벨리에 있는 안랩 사옥은 비교적 평온했다. 로마 스페인 계단을 본 떠 화제가 된 1층 '안랩 계단'에선 안랩 직원 10여 명이 모여 회의를 하고 있었고 2층 카페에선 비즈니스 상담도 진행되고 있었다. 하지만 지난달 3·20 사태 직후엔 보안 업무 담당자들이 비상이 걸려 몇날 며칠씩 밤을 새야 했다. 무엇보다 이번 해킹에 자사 제품이 이용됐다는 사실은 큰 생채기를 남겼다. 

정부에서 '북한 소행'이란 중간 조사 결과를 발표한 다음날인 지난 11일 KBS '9시뉴스'는 안랩을 경비복을 빼앗긴 사설 경비업체에 비유했다. 어떤 집(농협)에서 가족을 보호하려고 경비회사(안랩)에 보안을 맡겼더니, 강도(악성코드)가 경비원 제복(백신 프로그램)을 뺏어 입고 침입해 의심 없이 문을 열어줬다는 것이다. 결국 "제복을 쉽게 뺏기도록 허술하게 경비원을 관리한 경비회사"인 안랩 책임에 무게를 실은 것이다.

이에 안랩은 지난 12일 똑같은 비유를 들어 반박했다. 범인(해커)이 수개월 전 집안에 감시 카메라(악성코드)를 몰래 설치해 집 주인(농협 관리자) 생활 패턴을 모두 파악한 뒤 집주인을 가장해 내부에 침입했고 경비업체(안랩 자산관리서버)는 범인을 집주인처럼 여겼다는 것이다.

이번 공격이 기업 내부망에 침투해 오랜 기간에 걸쳐 다양한 공격을 시도하는 'APT(지능형 지속 위협) 공격'이라는 점을 들어, 범인을 제대로 알아보지 못한 책임은 인정하되 초기 악성코드 감염이나 관리자 계정 탈취 책임에선 발을 뺀 것이다.  

큰사진보기
▲  KBS 9시 뉴스는 지난 4월 11일 3·20 방송·금융사 전산망 해킹 사건을 보도하면서 안랩을 경비원 제복을 빼앗긴 경비업체에 비유했다.
ⓒ KBS	관련사진보기

아울러 안랩은 농협 내부 PC에 백신 등 소프트웨어를 업데이트해주는 자사 '자산관리서버'만 문제가 됐을 뿐 다른 업체에 납품한 제품이나 자사 백신 프로그램에는 문제가 발견되지 않았다는 점을 거듭 강조했다.

실제 신한은행의 경우 악성코드 유포에 안랩 제품이 아닌 은행 내부 프로그램이 사용된 사실이 <경향> 보도로 뒤늦게 밝혀졌고, 이번에 공격을 당한 방송사들 가운데는 MBC를 제외한 KBS, YTN은 하우리 제품을 사용했다. 다만 내부 PC를 최초로 감염시킨 악성코드 유포 경로는 아직 명확하게 밝혀지지 않은 상태다.

이런 가운데 악성코드 유포 경로로 금융사 홈페이지에 접속할 때 공인인증 해독키를 제공하는 소프트포럼 프로그램인 '제큐어웹'이 주목받고 있다. 지난 10일 민관군 합동대응팀은 3월 25일 '날씨닷컴'을 통한 악성코드 유포 역시 같은 조직 소행이라고 밝혔는데, 여기에 '제큐어웹'이 이용된 것이다.

일부 전문가들은 MBC에서 지난 9일 3·20 해킹에 제큐어웹이 이용됐다고 보도한 다음날 정부가 갑자기 중간 조사 결과를 통해 이를 진화하고 나선 점에 주목하고 있다. MBC 보도가 사실로 드러날 경우 액티브엑스에 의존하는 정부와 금융기관 공인인증 시스템 신뢰도 추락이 불가피했기 때문이다.

김인성 한양대 교수는 "제큐어웹의 허점은 이미 지난해 6월부터 확인됐는데 업계 내부에서만 공유했을 뿐 공개적인 보안 경고를 하지 않았다"면서 "제큐어웹이 해킹 당한 사실이 알려지면 공인인증서 체계에 타격을 줄 것을 우려해 급하게 북한 소행을 주장하고 나선 것"이라는 의혹을 제기했다.

이에 이석래 한국인터넷진흥원(KISA) 홍보팀장은 "제큐어웹은 날씨닷컴 해킹과 관련돼 있지만 다른 6개 업체에도 활용됐다는 정황은 아직 발견되지 않았다"면서 "제큐어웹 취약점 발견 당시 금융기관에 패치를 권고했기 때문에 개인 사용자에게까지 알릴 필요는 없었다"고 밝혔다.

이 팀장은 "공인인증서 체계에 대한 전반적 점검 필요성은 공감한다"면서도 "모든 소프트웨어에는 취약점이 있을 수밖에 없고 패치를 통해 해결할 수 있다"고 밝혔다.

마찬가지로 김인성 교수는 "가능성을 줄일 수 있을 뿐이지 해킹은 늘 당하는 것이고 모든 바이러스를 막을 수 있는 백신도 없다"면서 "안랩도 서버 관리 부실이 드러났지만 이렇게 책임론으로 몰아갈 정도는 아니다"고 밝혔다. 김 교수는 오히려 "(정부와 금융사가) 안랩을 희생양으로 삼으려는 건 자신들의 책임을 감추거나 다른 정치적 목적이 있다고밖에 볼 수 없다"고 지적했다.

[오해②] 외국산 제품은 3·20 대란 막을 수 있었다?

큰사진보기
▲  윤종록 미래창조과학부 제2차관이 15일 오전 서울 양재동 엘타워에서 열린 '정보보호 산업계 CEO 간담회'에서 인사말을 하고 있다.
ⓒ 미래창조과학부	관련사진보기

보안업체에게 위기는 곧 기회다. 특히 이번 3·20 해킹에 안랩, 하우리 등 대표적인 국내 보안업체가 관련된 것으로 드러나면서 외국계 보안업체들은 신바람이 났다. 체크포인트, 맥아피, 소포스, 파이어아이 등 세계적 보안업체들은 이번 해킹에 사용된 악성코드를 이미 지난해부터 감지하고 있었다거나 자사 제품을 썼다면 이번 사고를 막을 수 있었다며 조롱 섞인 마케팅에 나서고 있다.

이에 안랩 관계자는 "해외 보안업체가 지난해 이미 진단했다고 언급한 악성코드는 이번 공격에 사용된 악성코드와 구조가 일부 유사한 변종일 뿐"이라면서 "이번 사태로 국내 보안업체들을 불신하는 분위기지만 그렇다고 사실을 왜곡한 해외업체의 마케팅에 현혹돼선 안 된다"고 경고했다. 

이장훈 지식정보보안산업협회(KISIA) 상근부회장 역시 "외국업체가 자기 솔루션으로 해킹 사고를 100% 방지한다는 건 마케팅 차원의 얘기일 뿐"이라면서 "지금도 공공기관에 외산 제품이 많이 깔려있는 상황에서 국가 사이버 안보 차원에서라도 국내 업체를 더 키워야 한다"고 밝혔다.

실제 지난해 <뉴욕타임스> 해킹 사고 당시에도 중국 해커들이 4개월간 악성코드 45개를 심었지만 보안업계 세계 1위인 시만텍 제품도 이 가운데 1개밖에 탐지하지 못했다. 특히 이번 사건처럼 해커가 장기간 기업 내부망에 침투해 다양한 공격을 시도하는 APT(지능형 지속 위협) 공격 앞에선 기존 백신 프로그램도 무용지물일 수밖에 없다.

독일 보안 제품 테스트 기관인 'AV(안티바이러스)-TEST'에 따르면 매일 10만 개 이상의 악성코드가 생겨나지만 백신 프로그램의 진단율은 5% 수준에 그치고 있다. 대부분 제품이 이미 알려졌거나 활동이 멈춘 악성코드만 진단하기 때문이다.

이에 외국에선 단순 백신 기능뿐 아니라 APT 공격 자체를 차단하는 제품들을 잇달아 선보이고 있다. 안랩 역시 지난해 2월 '트러스와처'란 APT 방어 제품을 이미 선보였지만 정작 국내 시장엔 기업들 인식 부족으로 거의 보급되지 않았고 해외 마케팅에 주력해왔다.

오히려 안랩의 기술력보다 국내 보안업계 1위라는 자만심에 비롯된 관료주의가 더 문제라는 시각도 있다.

임채호 KAIST 정보보호대학원 교수는 "진단 시간이 오래 걸리더라도 이미 알려진 악성코드뿐 아니라 비정상 행위까지 찾아내는 기술도 필요한데 국내 보안업체들은 정부 인증에 의존하다보니 도입에 소극적"이라면서 "고객 기업들도 정부 인증을 받은 최소한의 보안 제품만 쓰면 된다고 인식에서 벗어나 외산 등 다양한 기술을 통합해서 쓰는 게 더 효과적"이라고 밝혔다.

임 교수는 "악성코드 유포 실태를 실시간 모니터하는 빛스캔이란 벤처기업이 이번 사이버 대란을 미리 탐지할 수 있는 기술을 개발해 국정원과 KISA, 안랩 등에 제공했는데도 이를 받아들이지 않은 건 결국 관료주의 문제"라며 "안랩이 고객 신뢰를 계속 얻으려면 새로운 기술이나 제품과 적극적으로 결합하려는 노력이 필요하다"고 밝혔다. 이에 안랩 측은 "(빛스캔 기술을) 전달받은 바 없다"고 밝혔다.