국가정보원 국가사이버안전센터는 최근 행정자치부 전산시스템의 보안 실태를 점검하기 위해 모의해킹을 했다.

센터 소속 A씨는 사이트 이용자들의 아이디 패스워드 등을 처리하는 웹서버가 주된 해킹 경로로 이용되는 점에 착안,웹서버에 대한 공격을 먼저 시작했다.

민원게시판의 파일첨부 기능을 이용해 웹서버에 해킹 스크립트를 올려 셀(shell:도스 창을 불러오는 효과를 내 해커의 명령을 컴퓨터에 전송하는 인터페이스)을 획득하고 일반 사용자 권한을 손에 넣었다.

일반 사용자 권한은 자료의 위·변조와 정보유출이 가능한 관리자 권한을 얻기 위한 전 단계.이로써 A씨는 행자부 사이트에 회원으로 등록된 사용자들의 주민등록번호,집 주소,민원사항 등 모든 정보를 열람할 수 있게 됐다.

이어 게시판 등 웹 애플리케이션(응용 프로그램)의 취약점을 이용한 다양한 공격을 시도했다.

게시물을 열람할 때 발견되는 XSS(크로스 사이트 스크립트) 취약점도 이용해 보았고 사용자 인증우회,혹은 서버의 명령어들을 교란시켜 DB 사용권한을 가져오는 'SQL 인젝션' 등도 해 보았다.

전자정부를 주도하는 행자부 전산시스템에 이런저런 공격이 대부분 먹혔다.

전자정부가 해킹에 의해 한순간에 혼란에 빠질 수 있다는 생각에 어안이 벙벙했다.

A씨는 행자부에 보안등급 '심각' 판정을 내렸다.



이상은 최근 국회 디지털포럼과 국정원이 발표한 국가기관 전산망 모의해킹(한경 5월4일자 A3면 보도) 과정을 보안전문가들의 설명에 따라 추론한 것이다.

디지털포럼과 국정원은 지난달 모의해킹을 한 뒤 행자부 외교통상부 문화관광부에 '심각' 판정을,통일부 건설교통부 산업자원부 등 13개 중앙부처엔 '미흡' 판정을 내리는 등 57개 정부기관이 해킹에 무방비라고 밝혔다.

도대체 뭐가 잘못된 것인가.

네트워크는 대개 인터넷망(외부망),DMZ(비무장지대),내부망으로 나뉘며 방화벽으로 구분된다.

단독주택에 비유하면 대문 밖이 인터넷망,대문과 현관문 사이가 DMZ,현관문 안쪽이 내부망이고 대문 현관문 등이 방화벽이라고 보면 된다.

내부망은 기밀문서,인사정보,경영정보시스템 등 핵심 정보를 보관한 서버나 데이터베이스(DB) 등이 있는 장소이며 인터넷망은 외부 사용자들이 접근할 수 있는 곳이다.

중간지대인 DMZ에는 웹서버 메일서버 등 홈페이지 서비스에 필요한 서버가 있다.

국정원은 모의해킹에서 내부망까지 뚫진 않고 DMZ까지만 침투했다.

보안전문가인 B씨는 "DMZ에서 내부망 서버와 연결할 수 있는 관리자 권한을 획득하고 침투했다면 시스템에 타격을 줄 수도 있어 시도하지 않은 것 같다"고 말했다.

내부망까지 들어갔다면 각종 1급 기밀서류마저 손에 넣을 수 있었다.

보안전문가 C씨는 "공격 대상과 기간이 정해지지 않는 실제 해킹에서는 뚫릴 위험이 더 크다"고 말했다.

해커들은 방화벽이 외부→내부 접근은 차단하지만 내부→외부 접근은 막지 못하는 것을 이용해 DMZ에서 '역방향 연결'이라는 해킹 기술을 쓴다.

역방향 연결에 성공하면 모든 웹서버에 접속해 정보를 빼내고 내부망과의 연결점을 찾을 수 있다.

서상기 한나라당 의원이 "중앙정부 전산망 보안 수준은 해커가 적대적 해킹을 할 때 국정이 마비될 수 있을 정도로 심각하다"고 지적한 것은 이 때문이다.

물론 내부망은 인터넷망이나 웹서버의 DB 등과는 완벽하게 분리돼 관리되기 때문에 실제로 이런 일이 일어나진 않는다.

그러나 해커가 한번 뚫은 경로로 다시 들어오기 위한 백도어를 만들어 놓고 지속적으로 내부망 연결고리를 찾는다면 뚫릴 가능성이 전혀 없는 것은 아니다.

최근 중국발 해킹 등에서 사용되는 웹서버 우회공격도 문제다.

우회공격은 마이크로소프트(MS) 워드나 엑셀 파일 등의 취약점을 이용한 제로데이 공격이 대표적이다.

해커는 정부의 시스템 관리자나 1급 정보를 열람할 수 있는 고위 공무원 등이 이런 파일을 여는 순간 PC 관리자 권한을 획득해 모든 정보를 볼 수 있다.

보안 전문가들은 보안 인력과 예산을 확충하고 전문적인 교육 프로그램을 마련해야 한다고 얘기한다.

국정원에 따르면 올해 정보화 예산 3조4000억원 중 정보보호 예산은 1000억원으로 전체의 2.9%에 지나지 않는다.

59조7000억원의 정보화 예산 중 9%에 가까운 5조3000억원의 정보보호 예산을 책정한 미국과는 비교도 안 된다.

이해성 기자 ihs@hankyung.com