NIRS·롯데IDC 정부시스템 96개 파괴, 프럭 해킹보고서 지목 시스템만 '표적'

미국 사이버 보안 매체 QUASA는 지난 8일(현지시간) "한국의 디지털 진주만, 우연의 일치인가 은폐의 타임라인인가” 제목의 심층 보도를 통해 일련의 사건이 단순 사고를 넘어선 패턴을 보인다고 분석했다.
‘프럭’(Phrack) 보고서와 국회 청문회
사건은 지난 6월 10일부터 시작됐다. 전설의 해커 저널 프럭에 실린 조사 보고서는 북한 해킹 그룹 김숙희(Kimsuky)의 워크스테이션 침해에 성공했다고 밝혔다. 보고서는 북한 해커들이 한국 정부 네트워크 깊숙이 침투해 공용 인터넷에서 접근할 수 없는 정부 포털 'onnara9.saas.gcloud.go.kr' 시스템을 들여다봤다고 전했다.
또한 공무원들이 문서에 디지털 서명할 때 쓰는 수천 개의 정부공개키기반구조(GPKI) 인증서와 LG유플러스 내부 서버 접속 정보가 빠져나갔다고 주장했다.
국회는 지난 9월 24일 대규모 통신 침해 사안을 다루는 청문회를 열었다. 프럭 보고서에 이름이 오른 KT, SK텔레콤, LG유플러스 등 이동통신 3사 경영진이 모두 출석했다.
일주일 새 연쇌 화재, 백업없는 시스템만 파괴
이틀 뒤인 지난 9월 26일 저녁, 대전 소재 국가정보자원관리원(NIRS) 데이터센터에서 대형 화재가 났다. 공식 조사는 2012년부터 2013년까지 LG에너지솔루션이 만든 배터리 폭발을 원인으로 꼽았다. 배터리는 권장 수명 10년을 넘긴 상태였다. LG에너지솔루션은 LG유플러스를 거느린 LG 그룹 계열사다. 당국은 작업자가 장비를 옮기기 전 전원을 끊지 않아 전압 급등이 일어났을 가능성도 제기했다.
NIRS 화재로 파괴된 시스템에는 정부 인트라넷 온나라 시스템, G-드라이브, GPKI 등이 들어있다. 이들은 모두 프럭 보고서에서 북한 해커들이 수 개 월간 접근했다고 주장한 시스템들이다. 특히 G-드라이브는 파괴된 96개 시스템 가운데 유일하게 백업이 없었다.
일주일도 안 돼 지난 2일 오전, 같은 도시 롯데 IDC 데이터센터에서 또다시 불이 났다. 이번에도 무정전전원장치 배터리 문제가 원인으로 거론됐다. 지난 3일에는 화재 뒤처리에 참여했던 데이터 복구 전문가가 스스로 목숨을 끊는 일도 벌어졌다. 유서는 없었다.
북한 증거인멸 공작 분석
QUASA는 "의회 청문회 직후 프럭 보고서에 나온 바로 그 시스템들이 화재로 부서진 것은 우연으로 보기 어렵다"며 "북한이 이전 해킹의 증거를 보관한 시스템을 노렸을 가능성이 있다"고 분석했다. 증거를 없애 한국 당국의 공식 대응 근거를 지우고, 수조 원의 복구 비용을 일으키며 정부 디지털 보안 신뢰를 무너뜨리려는 국가 단위 공격이라는 설명이다.
올해 한국은 SK텔레콤(가입자 2300만명), KT, 롯데카드 등에서 거의 달마다 주요 사이버 공격 사고가 터지는 등 사이버 보안 위기를 겪고 있다. QUASA 보도에 따르면 이재명 대통령은 이번 사건을 '디지털 진주만'으로 규정하고 나라 디지털 기반시설 전면 재점검을 약속했다.
박정한 글로벌이코노믹 기자 park@g-enews.com