10일 민관군 합동대응팀의 중간조사 결과 발표에 따르면, 지난 3.20 사이버테러는 북한의 대남 해킹조직의 소행이었으며 공격자들은 8개월 이전부터 목표기관 내부 PC 또는 서버 컴퓨터를 장악해 다양한 공격작업을 진행했고 지난해부터 북한 PC에서 1,590회나 금융사에 접속해 악성코드를 유포하고 이번에 감염장비에서 발견된 악성코드만 76종, 이중 30종은 3.4와 7.7 DDoS 공격에 사용됐던 악성코드였다는 것이다.  
 
이쯤되면 이번에 사고를 당한 기관들이 얼마나 허술하게 보안을 해 왔는지가 여실히 드러난 것이다. 우선 8개월간의 잠복기간 동안 전혀 이상징후와 76종의 악성코드에 감염됐는데도 이를 탐지하지 못했다는 점이다.
 
합동대응팀 관계자는 “공격이 이루어지기 위해서는 하나의 악성코드로만 성공할 수 없다. 파일다운로드, 명령제어, 공격실행, 통신 등 각 기능별로 모듈화 돼 있어 76개라는 개수가 나올 수 있다”며 “또 백신 탐지를 우회하기 위해 계속 변형시켜 탐지가 쉽지는 않다. 하지만 이상징후를 무시하고 그냥 넘겼다는 점은 인정된다. 또 취약점으로 악용될 수 있는 부분에 대한 세밀한 보안관리가 이루어지지 않았다는 점은 비판 받아야 한다”고 말했다.
 
또 그는 “방송사에 실질적인 보안팀은 거의 없다. 주로 외주업체를 고용해 용역으로 보안이 이루어지기 때문에 내부에 전문인력이 상주해 보안관리를 하지 않고 있는 실정이다. 방송쪽 전산시스템 보안은 수준이 낮다”며 “하지만 이번 해킹이 북한이든 누가 했든 해킹을 당한 것이기 때문에 면죄부를 줘서도 안되고 책임을 묻고 싶지만 현행법상 마땅히 책임을 물을 만한 방법도 없다”고 밝혔다.
 
개인정보가 유출됐다면 개인정보보호법에 따라 과태료나 벌금을 부과할 수 있고 피해를 입은 당사자들이 집단으로 민사소송을 제기할 수 있지만 이 또한 불분명한 상황이다.
 
또 망법에서도 이런 사고 발생시 신고의무를 빼면 과태료나 벌금 등을 부과할 수 있는 항목들이 구체적으로 명시돼 있지 않은 상황이다.
 
합동대응팀 관계자는 “이번 사건을 가지고 사고를 당한 기업에 과태료나 벌금 혹은 다른 형태의 처벌을 할 수 있는 법적 조항이 미비한 상황”이라며 “하지만 이번을 계기로 방송사도 정보통신기반보호법 적용대상에 추가할 예정이다. 기반시설로 지정되면 지금보다 강화된 보안프로세스를 준비해야 한다. 이런 조치가 사고를 당한 기업의 보안성을 높이는데 일조할 수 있을 것”이라고 밝혔다.
 
방송사는 지금까지 주요 정보통신기반시설 지정에서 빠져 있었다. 이번에 주요 기반시설보호 대상으로 지정되면, 시설보호대책을 수립·시행하고, 정보보호책임자를 지정해야 한다. 또 정보보호계획 추진실적과 다음 연도의 정보보호 계획을 위원회에 제출해 심의를 받아야 하는 등 보다 엄격한 관리를 받게 된다. 현재 139개 기관, 209개 기반시설이 주요 정보통신기반시설로 지정돼 있다.  
 
데일리시큐 길민권 기자 mkgil@dailysecu.com