금융기관과 공공기관에 사용되는 코드서명에 대한 해킹 시도가 확인 된 가운데 검찰이 본격적인 수사에 착수했다.
서울중앙지검 첨단범죄수사1부(부장 손영배는)는 최근 보안솔루션업체 E사 보안 프로그램 위조본이 나돌고 있다는 첩보를 금융보안원으로부터 입수해 수사 중이라고 22일 밝혔다.
검찰은 E사로부터 확보한 코드서명 자료 원본을 제공받아 해킹 가능성과 내부기술 유출 등을 집중 조사 중이다. 검찰은 그러나 아직까지 해킹됐는지 여부에 대해 확정적인 증거를 입수하지 못한 것으로 알려졌다. 검찰 관계자는 "아직 해킹됐다고 단정할 수 없는 상태"라고 설명했다.
문제는 해킹이 확정됐을 경우 파장이다. 코드서명은 인터넷이나 무선환경에서 배포되는 실행 파일이 정당한 제작자에 의해 제작된 것을 확인하는 방법이다. 흔히 알고 있는 공인인증서가 코드서명에 포함된다.
게다가 E사는 국내 금융기관과 관공서에 공인인증서 프로그램을 제공하고 있는 업체인 만큼 해킹에 의한 정보유출, 바이러스나 악성코드 유포 등이 확인될 경우 '정보대란'이 불가피할 것으로 보인다.
금융보안원과 금융업계에 따르면 이번에 해킹이 시도된 코드서명 프로그램은 지난해 10월 발급돼 시중은행과 증권사 등 8개 금융사와 공공기관 5곳 등에서 사용 중이었던 것으로 알려졌다.
금융보안원은 일단 해킹시도가 있었음을 확인한 뒤 해당서버를 차단하고 해킹이 의심되는 코드서명을 폐기 조치했다. 현재까지 알려진 바로는 해당 서버는 캐나다와 국내 2곳에 IP 주소를 둔 것으로 전해지고 있다.
또 다른 문제는 해킹시도 세력이다. 현재로서는 북한 소행일 가능성이 머리를 들고 있다. 이번처럼 민간기업을 우회해 공공기관을 공격하는 방식은 북한이 자주 쓰는 전략이다. 2013년 북한이 저지른 3·20 사이버 테러도 비슷한 방식으로 이뤄졌다. 당시 해킹세력은 악성 코드를 업데이트 서버에 심은 뒤, V3와 같은 백신 프로그램으로 속여 유포했다. 이에 따라 국가정보원도 조사에 나선 것으로 알려졌다.
검찰은 일단 이번 사건이 E사 제품을 빼돌렸거나 사전 해킹을 통해 제품을 복제한 뒤 시도했을 가능성에 주목하고 있다. 이에 따라 조만간 E사 관계자를 불러 방어벽 등 보안시스템과 보안점검, 해킹루트, 악성코드에 의한 2차 범죄 가능성을 집중 조사할 방침이다.
전길수 한국인터넷진흥원 단장이 2013년 4월10일 오후 정부과천청사 미래창조과학부 브리핑룸에서 ‘3.20 사이버테러’ 중간 조사결과를 발표한 가운데 노트북 모니터에 북한 소행 증거 자료가 공개 되고 있다. 사진/뉴시스
최기철 기자 lawch@etomato.com