[단독]국회 정보망 침입 시도 2만건…"국회도 사이버 위협 한복판에"

2022년~올 9월 사이버 침해 시도 2만여건
딥웹엔 ‘국회 메일 서버 접근권’ 거래 정황도
中 해킹조직 '비너스테크' 의심
이해민 의원 "공공기관 보안체계, 국감서 종합 점검할 것"

국회 정보시스템을 향한 사이버 침입 시도가 최근까지 약 4년간 2만건을 넘어선 것으로 나타났다. 단순 침입 시도뿐 아니라 국회 이메일 서버 접근권한이 거래 대상으로 등장한 정황까지 포착됐다. 올 상반기 이동통신사를 비롯한 기업을 대상으로 한 해킹이 부각됐는데, 입법을 담당하는 헌법기관인 국회조차 해킹의 안전지대가 아니라는 우려가 커지고 있다.

13일 국회 과학기술정보통신위원회 소속 이해민 조국혁신당 의원이 국회사무처에서 제출받은 자료에 따르면 2022년부터 지난달까지 탐지된 국회 정보시스템(국회 홈페이지, 국회 메일, 의정자료시스템 등) 침입 시도는 총 2만594건으로 집계됐다. 연도별로는 2022년 3355건에서 2023년 4981건, 2024년 7315건으로 매년 급증했다. 올해에도 지난달 기준 이미 4943건이 탐지돼 전년 수준을 뛰어넘을 것으로 전망된다.

특히 국회 이메일 서버가 중국 해킹 조직의 손에 넘어갔다는 정황까지 나오면서 "이미 뚫린 것 아니냐"는 우려는 커지고 있다. 아시아경제가 국내외 복수의 보안업체에 확인한 결과, 중국의 숨겨진 해킹조직으로 불리는 '비너스테크(VenusTech)'가 한국 국회에서 생성된 이메일 서버를 판매한 단서가 포착됐다. 보안업계는 비너스테크를 사실상 '보안회사로 위장한 해킹 조직'으로 평가한다.

국회 이메일 서버 판매 정황은 익명 네트워크 기반의 해킹 거래 사이트 '다크포럼스(Darkforums)'에서 발견됐다. 다크포럼스는 구글 등 검색엔진에 노출되지 않는 '딥웹(Deep Web)' 영역에 속하며, 다크웹처럼 특수 브라우저가 필요한 곳은 아니지만 접근이 제한돼 해커들 사이에서 데이터 장물 거래가 오가는 공간으로 알려져 있다.

해킹 데이터 거래 사이트 '다크포럼스'에 올라온 게시물. 중국 보안업체 '비너스테크'가 각국 정부·기관을 대상으로 확보한 해킹 자료를 정리해둔 내부 문서를 'IronTooth'라는 아이디를 가진 제3자가 캡처한 것이다. 사진=해외 보안업체 제공.

지난 5월17일 오후 7시경 다크포럼스에 올라온 거래내역(캡처 화면 참고)을 보면 비너스테크는 우리나라 국회 메일 서버에 접근하는 권한을 탈취한 뒤, 이를 원하는 구매자들에게 이메일 원본을 전송했다. 최대 15개 메일함에 들어있는 메일 내용을 볼 수 있으며, 이 서비스에 책정한 가격은 월 6만5000위안(약 1307만원)이다.

해킹 데이터 거래 사이트 '다크포럼스'에 게재된 비너스테크의 자료 화면. 빨간 박스 안에 '한국 국회 메일 서비스'라는 내용으로 국회 메일 서버 접근 권한을 확보한 정황이 담겨 있다. 이메일 원본을 매월 최대 15개 메일함 단위로, 월 4회 업데이트 제공한다고 기재돼 있으며, 가격은 월 6만5000위안(약 1307만원)으로 표시돼 있다. 사진=해외 보안업체 제공

우리나라 국회 이메일 서버 판매 정황은 '아이언투스(IronTooth)'라는 아이디를 가진 유출자가 다크포럼스에 비너스테크의 내부 거래 내역을 올리면서 드러났다. 다만 보안업체 관계자는 "해커가 특정 기관이나 회사를 해킹한 뒤 판매할 때는 샘플 자료를 공개해 내용을 가늠할 수 있다"며 "그런데 이번 건은 제보자가 해킹 조직의 거래내역을 유출하면서 알려진 것이라 구체적으로 국회 내부의 누가 보낸, 어떤 내용의 메일인지를 포함한 사실관계를 파악하기는 어렵다"고 했다. 업계 일각에서는 '해커(아이언투스)가 해커(비너스테크)를 턴 구조'일 수 있다는 분석이 나오지만, 내부자의 의도적 유출 가능성도 제기된다.

국회사무처는 이와 관련해 "현재 확인 가능한 범위 내에서는 국회 이메일 시스템이 해킹 피해를 입은 사실은 확인되지 않았다"는 입장이다. 국회사무처는 지난 8월26일부터 9월5일까지 10일간 특별점검을 실시했다고 한다. 이 점검 결과 현행 시스템 기준으로는 유출 정황이나 취약점이 발견되지 않았다고 전했다. 국회사무처는 "하지만 2023년 4월 메일 시스템을 교체하는 과정에서 이전 서버와 로그를 폐기해 2023년 이전의 접근 이력은 사실상 불가능하다"고 덧붙였다. 해커가 올린 국회 메일 자료가 교체 이전 서버 시절의 자료라면 추가 확인이 어렵다는 설명이다.

이해민 의원은 국회 이메일 서버 유출 의혹과 관련해 "국가기관의 민감한 정보가 외부로 유출됐을 가능성이 제기될 때, 민간 부문과 달리 공공 부문은 여전히 대응 체계가 미비한 사각지대가 존재한다"고 지적하며, "국회는 독립적인 헌법기관인 만큼 일반 행정기관과는 다른 접근 방식이 필요하겠지만, 이번 사안을 계기로 공공 영역 전반의 보안 거버넌스를 재정비할 필요가 있다"고 강조했다.

이어 이 의원은 "국회를 대상으로 한 사이버 침해 시도 탐지 및 대응 현황을 보면, 악성코드를 통한 위협 시도가 올해 들어 눈에 띄게 증가하고 있다"며 "공공기관의 보안 체계가 실제 위협 수준을 따라가고 있는지 여부를 이번 국정감사에서 종합적으로 점검하겠다"고 밝혔다.

이해민 조국혁신당 의원

박유진 기자 genie@asiae.co.kr
전영주 기자 ange@asiae.co.kr