국정원의 사이버위기 경보 현황 [사진: 국정원]
국정원의 사이버위기 경보 현황 [사진: 국정원]

[디지털투데이 강진규 기자] 국가정보원이 발령한 공공 분야 사이버위기 ‘관심’ 경보가 2달 이상 이어지고 있는 가운데 위협 요인이 달라진 것으로 보인다. 8월에는 랜섬웨어 공격 정황 때문에 경보가 발령됐는데 9월부터는 국가 배후 해킹조직 활동이 포착되면서 경보가 연장되고 있다는 분석이다.

21일 정부 관계자들에 따르면 국정원이 지난 8월 3일 발령한 사이버위기 ‘관심’ 경보가 4차례 연장돼 10월 26일까지 유지될 예정이다. 국정원은 조만간 관심 경보를 정상으로 환원할지 더 연장할지 여부를 결정할 것으로 보인다.

공공 분야 사이버위기 경보는 ‘정상-관심-주의-경계-심각’ 단계로 나뉜다. 과거 국정원은 경보 발령 후 장기 간 이를 유지했다. 하지만 경보 장기화에 따른 각급 기관들과 담당자들의 부담을 완화하기 위해 3주 간 문제가 없을 경우 경보를 해제하는 일몰제를 8월 3일부터 도입한 바 있다.

정부 관계자들에 따르면 이번에 관심 경보가 4차례 연장된 원인에 미묘한 변화가 있었던 것으로 알려졌다. 이는 국정원의 경보 연장 공고에서도 엿볼 수 있다.

8월 3일 국정원은 코로나19 팬데믹에 대응 중인 각국의 의료기관 대상 랜섬웨어 공격이 지속 포착되고 있는 가운데 국내에서도 주요 대학병원 대상 랜섬웨어 공격이 확인됐다고 설명했다. 또 인터넷 언론사 홈페이지 관리업체 해킹 및 보안 소프트웨어 개발업체 공격준비 움직임 등이 포착돼 경보를 발령한다고 밝혔다.

8월 24일 국정원은 병원 등으로 대상으로 한 랜섬웨어 위협은 소강상태이지만 한미 연합훈련이 실시 중인 가운데 언론사, 통일 분야 대상 정보절취 시도 및 다수기관 사용 보안제품 취약점이 발견돼 연장을 결정했다고 설명했다.

그런데 이후 경보 발령 원인이 바뀌었다. 8월 30일 국정원은 국제 및 국가 배후 해킹조직의 외교, 안보 분야 정보절취를 시도와 지자체 PC 경유지 악용 및 신종 악성코드 유포 등 사이버 위협을 지속되고 있다고 밝혔다. 

랜섬웨어 위협에서 국제 및 국가 배후 해킹조직 공격 징후로 원인이 변경된 것이다. 관계자들에 따르면 여기서 국제 및 국가 배후 해킹조직은 북한, 중국, 러시아 등의 해커 조직을 지칭하는 것으로 알려졌다.

또 9월 13일 경보를 연장하면서 국정원은 국제 및 국가 배후 해킹조직의 외교, 안보, 언론 분야 정보절취 목적 이메일 해킹시도가 계속되고 있으며 정부망에 대한 해킹준비 정황 등이 확인됐다고 지적했다. 여기서 처음으로 정부망에 대한 해킹이 언급됐다. 보다 직접적인 위협이 발견됐다는 것이다.

다시 국정원은 10월 1일에는 국제 및 국가 배후 해킹 조직의 위협 징후가 지속되고 있어 연장한다고 밝혔다. 이에 보이지 않는 곳에서 치열한 사이버 첩보전이 벌어지고 있는 것이 아니냐는 관측이 나오고 있다.

전문가들은 관심 경보가 정상으로 환원될지 더 연장될지 가능성을 반반으로 보고 있다. 최근 국가·공공기관에 대한 사이버위협이 줄어드는 추세이기 때문에 정상으로 환원될 가능성이 있다. 지난 13일 국정원은 올해 3분기 들어 국가·공공기관 대상 사이버위협 탐지건수가 하루 평균 81만건으로 1분기(하루 평균 169만건)에 비해 절반 이상 감소했다고 밝혔다.

하지만 이런 상황과 별개로 국가 배후 해킹조직 활동이 지속될 경우 경보를 연장할 수밖에 없을 것으로 예상된다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사