‘메르스 악성코드 북한소행’ 둔갑 소동

임지선 기자

현장에서

“메르스 정보를 미끼로 악성코드 이메일이 뿌려지고 있는데요. 취재 결과, 악성코드와 연결된 인터넷주소(IP)가 북한 소재로 드러났습니다.” 지난 12일 <한국방송>(KBS) 간판 뉴스 프로그램인 <뉴스9>은 ‘단독 보도’란 이름으로 ‘북한발 메르스 악성코드’ 의혹을 제기했다. 이메일에 첨부된 ‘메르스 병원 및 환자 리스트’란 문서파일을 실행하면 북한에 연결된 악성코드가 내려받기 된다는 내용이었다.

보도의 출처는 한국인터넷진흥원(KISA·이하 진흥원)이었다. 진흥원은 이날 “메르스 관련 이슈로 위장한 악성코드가 유포되고 있으니 주의하라”는 보도자료를 냈다. 진흥원은 문서로 위장된 악성코드가 감염된 컴퓨터를 원격 제어할 수 있다며 인터넷 사용자들의 주의를 당부했다. 한국방송은 인터넷주소를 증거로 범인을 ‘북한’으로 지목했다.

북한이 즉각 반발하고 나섰다. 14일 북한 조국평화통일위원회 서기국은 “우리가 메르스와 관련한 정보를 미끼로 사이버 공간에 악성코드를 심어놓고 해킹 행위를 하고 있다는 모략악담을 늘어놓았다”며 “전염병 사태까지 동족 대결에 악용해보려는 극악한 도발 망동”이라고 논평했다.

같은 날(14일), 해당 악성코드는 북한의 소행이 아니라 국내의 한 보안업체가 정보보안 교육에 쓰기 위해 만든 교육용 샘플파일이란 사실이 밝혀졌다. 진흥원 홍보실은 “해당 업체가 악의적으로 악성코드를 유포한 건 아니다”라면서도 해당 업체가 어디인지는 모른다며 ‘철통 보안’을 유지했다.

확인해보니 이 파일을 만든 업체는 진흥원의 사이버 보안 전문가(K-Shield) 양성 교육 프로그램을 운영해온 보안회사였다. ‘메르스로 혼란한 틈을 타 북한의 공격이 발생했다. 패킷을 분석해 사건의 경위를 조사하라’는 시나리오에 맞춰 교육을 진행했는데, 누군가 이 샘플 코드를 악성 소프트웨어 검사 서비스인 ‘바이러스토탈’에 올렸다는 것이다. 어이없게도 진흥원은 보안 교육용으로 써오던 샘플을 외부에 내보이며 “메르스 사칭 악성코드를 조심하라”고 보도자료를 낸 격이 됐다.

게다가 진흥원에는 보도자료 발표 이전에 문제의 악성코드가 북한 소행으로 보기 어려운데도 정치적으로 악용될 수 있다는 보안 전문가들의 우려까지 전달됐던 것으로 드러났다. 한 보안업체 관계자는 “해당 악성코드가 워낙 허술하게 만들어져 있어 훈련용 샘플로 보이고 인터넷주소가 북한인 사실이 정치적으로 악용될 우려가 있다는 의견을 진흥원 쪽에 전달했다”고 말했다. 또 다른 보안업체 관계자는 “누가 봐도 훈련용 샘플 같았는데 북한발 악성코드라는 언론보도가 나오는 것을 보고 큰일 났다고 생각했다”고 말했다.

15일 밤 한국방송은 <뉴스9> 말미에 단신을 통해 “한국인터넷진흥원이 지난 12일 KBS 9시 뉴스에서 보도한 ‘북한 인터넷주소(IP)와 연계된 악성코드’를 조사한 결과 국내의 한 보안업체가 최근 보안 교육용으로 배포한 인터넷 주소임을 확인했다고 밝혔다”고 보도했다. 포털사이트에서 해당 단독 기사를 삭제한 시점은 16일 오전이다. 정확하지 않은 정보가 넘치면서 불신이 깊어진 ‘메르스 사태’ 와중에 발생한 ‘북한발 메르스 악성코드 소동’은 4일만에 이렇게 끝이 났다.

임지선 기자 sun21@hani.co.kr