서울의 한 유명 대형교회에서 새벽예배를 유튜브로 생중계하던 도중에 북한 인공기가 화면에 송출되는 사고가 발생했다. 사고 경위를 조사 중인 교회 측은 이것이 단순 장비 문제가 아닌 외부 해킹 혹은 계정 침입을 통한 의도적 조작 가능성이 높은 것으로 판단해 보안 강화를 포함한 후속 조치에 나섰다.

사고는 지난 18일 새벽 5시경 서울 용산구 서빙고동 온누리교회에서 일어났다. 박종길 목사의 설교 장면이 유튜브로 생중계되던 도중에 박 목사의 음성이 중단되고 갑자기 화면에 인공기가 등장한 거다. 동시에 북한 국가로 추정되는 연주곡이 흘러나오며 유튜브 온라인 예배를 드리던 교인들을 충격에 빠뜨렸다.

온누리교회는 사고가 발생한 날 홈페이지에 사과문과 경위서를 올렸다. “6월 18일 서빙고 새벽 예배 유튜브 스트리밍 중 예기치 않은 영상이 송출되는 해킹사고가 발생했다”며 “사고 원인을 긴급 조사 중에 있으며 빠른 시일 내 상황 조사 후 조치 하겠다”고 밝혔다.

온누리교회 측은 이번 사고가 단순한 영상 원본이나 장비의 물리적 결함이 아니라, 외부에서 송출 신호 혹은 경로에 침입이 발생한 의도적 간섭, 즉 해킹일 가능성에 무게를 두고 있다. 사고가 일어난 직후에 담당 부서가 당국에 신고했다고 하는데 이번 사건과 관련해 외부 세력의 협박이나 요구 등은 없었던 것으로 알려졌다.

해당 영상은 현재 비공개 처리된 상태지만 이미 유튜브 등을 통해 빠르게 확산된 상태다. 이 영상을 접한 전문가들은 이번 사고가 교회 자체의 실수나 장비의 결함에서 발생했을 가능성은 거의 없을 것으로 보고 있다. 그렇다면 외부 세력에 의한 의도적 해킹이란 말인데 누가, 무슨 목적으로 이런 짓을 저질렀는지 의구심이 증폭하고 있다.

원인을 분석 중에 있는 교회 측이 가능성으로 꼽은 것 중에 하나가 교회 네트워크 해킹이다. DDoS 공격을 통해 상대 컴퓨터에서 인터넷을 못 쓰게 만드는 가장 간단한 수법인데 교회 측은 일반적인 내부망 침투 가능성은 높지 않을 것으로 보고 있다.

다음으로 ‘유튜브 관리자 계정 해킹’ 가능성이다. 교회 측은 “유튜브 채널 관리자 계정이 탈취됐을 경우, (탈취자가) 라이브 송출 도중 화면을 외부 영상으로 덮어씌울 수 있다는 점에서 가능성이 있을 것으로 보고 있다. 만약 관리자 권한을 가진 계정이 다수 존재하고 있는 상황에서, 그 중 하나라도 유출됐다면 이 같은 사고가 일어날 수 있다는 거다. 다만 당시 송출 자체가 하드웨어 기반으로 진행되고 있었기 때문에 이것 역시 가능성을 높게 보지 않고 있다.

그렇다면 가장 가능성이 높은 것이 ‘스트리밍 키 유출’이다. 교회 측도 영상 송출 장비에 사전 설정된 스트리밍 키가 외부에 노출됐을 가능성에 좀 더 무게를 두고 있다. 그럴 경우, 이번 사고에서 보여진 대로 제3자가 동일한 채널로 송출을 강제로 전환하거나 끼워 넣을 수 있기 때문이다.

사고 수습에 나선 온누리교회는 모든 유튜브 관리자 계정의 비밀번호를 즉시 변경하고, 2단계 인증(OTP) 설정을 재점검 및 강화 조치와 함께 스트리밍 키를 전면 재발급 및 교체했다. 사고의 원인으로 보이는 문제의 재발 가능성을 완전히 차단하겠다는 의미다.

하지만 이번 사고가 외부 세력 누군가의 의도된 해킹이라면 반드시 밝혀내는 게 제2, 제3의 피해를 막는 길일 것이다. 교회가 사고 시간 전후 송출 장비가 사용한 네트워크 포트의 IP 접근 로그를 확보하고 분석에 들어간 것도 그 부분을 밝혀내려는 것으로 판단된다.

하지만 교회 자체 조사만으로 누가, 무슨 목적으로 이런 짓을 저질렀는지 밝혀내는 일이 그리 간단한 일이 아니다. 단순 오작동이 아닌 외부 해킹 혹은 계정 침입을 통한 의도적 조작이라면 전문가라도 범인을 찾아내기가 쉽지 않다.

이번 사건을 일으킨 자가 누구인지, 외부 해킹이라면 북한 간첩의 소행인지, 배후에 북한이 있는지 등등 의혹이 난무하나 아직까지 구체적으로 밝혀진 건 하나도 없다. 하지만 북한 연계 해킹 조직이 대북 선교를 명목으로 목사 등에게 접근해 해킹을 시도한 사례가 있었다는 점에서 의심이 드는 게 사실이다.

최근 보안업체인 ‘지니언스 시큐리티 센터’ 블로그에 따르면, 올해 3~4월 ‘김수키’에 의한 한국내 페이스북, 이메일, 텔레그램 이용자를 겨냥한 해킹 시도가 포착됐다. ‘김수키’ 그룹은 북한연계 국가배후 해킹조직으로 대북 선교를 명목으로 한국의 목사와 전도사들에게 접근해 해킹을 시도했다고 한다.

이들의 페이스북 기반 공격 사례를 보면 ‘김수키’는 'Transitional Justice Mission' 계정을 통해 본인을 목사와 전도사로 사칭한 뒤 대북분야에 종사하는 목회자 다수에게 친구 신청 및 메신저로 접근한 뒤 대북선교 자료를 공유한다면서 상대방에게 해당 악성파일을 전송받도록 유도하는 수법을 쓴 것으로 밝혀졌다.

이전 사고와 관련해 온누리교회에 출석하는 ‘국대떡볶이’ 김상현 대표는 자신의 개인 유튜브 채널에서 “교회가 사후 조치하는 것보다 이런 일이 일어난 자체에 주목해야 한다”며 “공산주의자들이 교회를 상대로 장난을 하는 자체가 너무나 심각한 상태”라고 했다.

이번 사건은 인공기와 북한 국가가 사용됐다는 점에서 북한 해킹조직과의 연계성이 의심되는 상황이다. 그런 점에서 반드시 범인과 배후를 찾아내야 할 것이다. 그래야 우리 사회에 깊숙이 침투해 사회 혼란을 일으키려는 자들의 활개를 꺾을 수 있다. 이번 사건으로 북한 관련 해킹 조직이 한국교회를 노리는 정황이 드러난 만큼 교회마다 보안 시스템을 재점검하는 등 대비책 마련을 서둘러야 할 것이다.