대한민국 100대 사건·사고 74화 3.20 사이버테러, 대한민국 전산망은 왜 멈췄나

2013년 3월 20일 오후 2시, 화면이 꺼졌다

평범한 수요일 오후였습니다. KBS, MBC, YTN 방송국의 컴퓨터 수천 대가 동시에 먹통이 되었습니다. 신한은행, 농협, 제주은행의 전산망도 같은 시각 마비되었습니다. 직원들이 키보드를 두드려도 반응이 없었습니다. 화면에는 해골 이미지와 함께 시스템이 파괴되었다는 메시지가 떴습니다. 복구를 시도했으나 운영체제 자체가 덮어씌워진 상태였습니다. 단순한 오류가 아니었습니다. 누군가 오랜 시간 공을 들여 준비한 공격이었습니다.

어떤 방식으로 침투했나 — 사이버테러 수법과 경로

공격은 단번에 이루어지지 않았습니다. 수개월 전부터 악성코드가 심어졌습니다. 방송사와 금융사 직원들이 사내 패치 관리 서버를 통해 정기적으로 소프트웨어 업데이트를 받는 구조를 역이용했습니다. 공격자들은 그 업데이트 경로에 악성코드를 끼워 넣었습니다. 직원들은 아무런 의심 없이 업데이트를 실행했고, 그 순간 악성코드가 내부 시스템에 잠복했습니다. 3월 20일 오후 2시는 공격자들이 미리 설정해둔 폭발 시각이었습니다. 버튼 하나가 눌린 것이 아니라, 이미 심어진 시한폭탄이 터진 것이었습니다.

피해는 어느 정도였나

KBS, MBC, YTN 세 방송사에서 피해를 입은 컴퓨터는 수천 대에 달했습니다. 뉴스 제작 시스템이 멈췄고 일부 방송은 정상 편성에 차질을 빚었습니다. 신한은행은 인터넷뱅킹과 ATM 서비스가 수 시간 중단되었습니다. 농협 역시 전산망 일부가 마비되어 고객들이 금융 거래를 하지 못했습니다. 피해 시스템 복구에는 수일이 걸렸고, 일부 데이터는 영구 손실되었습니다. 금전 피해 추산액은 수백억 원 규모였습니다.

---

단 한 번의 업데이트로 수천 대의 컴퓨터가 동시에 무너졌다. 내부에서 열린 문이었다.

---

누가 했나 — 북한 소행 의혹과 수사 결과

정부는 수사 결과를 바탕으로 북한 정찰총국의 소행이라고 공식 발표했습니다. 공격에 사용된 악성코드 특성과 경유지 IP 분석 결과가 근거로 제시되었습니다. 과거 북한 연루 공격 사례와 코드 유사성도 확인되었다고 밝혔습니다. 그러나 사이버 공격의 특성상 발원지를 완벽하게 특정하기는 어렵습니다. 공격자가 제3국 서버를 경유하거나 타국의 시스템을 중간 거점으로 활용하면 추적이 복잡해집니다. 북한은 관여를 부인했고, 일부 보안 전문가들은 귀속 판단의 근거가 충분하지 않다는 의문을 제기했습니다. 공식 결론과 현장의 의구심은 완전히 합쳐지지 않았습니다.

대한민국 사이버 안보의 어디가 뚫렸나

3.20 사이버테러는 기술적 침입이기 이전에 구조적 허점의 문제였습니다. 주요 기반시설의 내부 네트워크와 외부 인터넷이 완전히 분리되지 않은 상태였습니다. 패치 관리 서버라는 신뢰된 내부 경로가 공격 통로가 된 것은, 외부 방어막을 아무리 강화해도 내부 관리 체계가 허술하면 의미가 없다는 사실을 보여주었습니다. 사고 이후 정부는 국가 사이버안전관리 체계를 전면 재검토했고, 주요 기반시설 보안 강화 방안이 잇따라 발표되었습니다. 그러나 제도 정비 속도는 기술의 진화를 따라가지 못했습니다.

이전에도 있었나 — 반복된 사이버 공격의 역사

3.20 사이버테러는 갑작스러운 사건이 아니었습니다. 2009년 7.7 디도스 공격 때 청와대와 주요 정부 사이트가 마비되었습니다. 2011년에는 농협 전산망이 해킹으로 수일간 멈췄습니다. 같은 해 4.27 재보궐선거 당일에는 중앙선거관리위원회 홈페이지가 공격받았습니다. 반복되는 공격 패턴에도 불구하고 기반시설 보안 투자와 인력 확충은 더디게 이루어졌습니다. 3.20은 예고된 공격이었다는 평가가 보안 업계에서 나오는 이유입니다.

---

왜 방송사와 은행이었나

공격 대상의 선택에는 의도가 있었습니다. 방송사는 국민이 실시간으로 접하는 정보 채널입니다. 은행은 일상적인 경제 활동의 기반입니다. 두 곳이 동시에 멈추는 장면을 연출하는 것은 단순한 데이터 파괴를 넘어 사회적 혼란과 심리적 공포를 노린 것이었습니다. 실제로 그날 오후 시민들 사이에서 불안이 확산되었고, 인터넷에는 추측과 루머가 급속히 퍼졌습니다. 사이버 공격이 물리적 전장이 아닌 일상의 한복판을 겨냥할 수 있다는 사실이 처음으로 실감나게 드러난 날이었습니다.

그 이후 무엇이 달라졌나

사건 직후 정부는 국가 사이버위기 경보를 주의 단계로 격상했습니다. 금융보안원 출범이 가속화되었고, 방송통신위원회와 국가정보원의 사이버 대응 조직이 강화되었습니다. 주요 기반시설에 대한 정기 보안 점검 의무화가 추진되었습니다. 그러나 예산과 인력 배분에서 사이버 안보의 우선순위가 충분히 높아졌는지에 대해서는 전문가들 사이에서 회의적인 시각이 이어졌습니다. 화면이 다시 켜졌다고 해서 문제가 해결된 것은 아니었습니다.

---

질문은 남는다

국가 기반시설이 디지털화될수록 공격 가능한 표면은 넓어지는가. 사이버 공격의 배후를 확정하는 것은 왜 이렇게 어려운가. 전쟁이 선포되지 않은 상태에서 이루어지는 사이버 공격은 어떻게 규정해야 하는가. 일상의 인프라를 지키는 책임은 정부에게만 있는가. 다음 공격은 어느 화면을 겨냥하고 있는가.