큰사진보기
|
| ▲ 전길수 한국인터넷진흥원 침해사고대응단장이 10일 오후 과천정부청사 미래창조과학부에서 3·20 사이버 테러 중간 조사 결과를 발표하고 있다. 정부는 이번 사건 범인으로 북한 정찰총국을 지목했다. |
| ⓒ 김시연 |
관련사진보기 |
[기사 대체 : 10일 오후 4시 40분]지난 3월 20일 KBS, MBC, YTN, 농협, 신한은행 등 방송·금융사 전산망을 마비시킨 범인으로 다시 북한이 주목받고 있다.
정부는 10일 오후 2시 정부과천청사 미래창조과학부에서 브리핑을 열고 '3·20 사이버테러' 중간 조사 결과를 발표했다.
민·관·군 합동대응팀은 "피해업체 감염 장비와 국내 공격경유지에서 수집한 악성코드 76종을 분석한 결과 과거 7·7디도스(분산서비스공격) 등과 같이 북한 정찰총국 소행으로 추정되는 증거를 상당량 확보했다"며 사실상 북한 소행으로 단정했다. 최소 8개월 전부터 미리 공격을 치밀하게 준비한 결과라는 것이다.
"8개월 전부터 치밀하게 준비... 북한PC 접속 확인" 아울러 지난 3월 25일 '날씨닷컴'을 통한 악성코드 유포와 3월 26일 발생한 YTN 계열사 홈페이지 자료서버 파괴와 14개 반북·보수단체 홈페이지 자료 삭제도 악성코드와 공격경유지 일치를 들어 동일 조직 소행으로 추정했다.
정부는 "공격자는 최소한 8개월 전부터 목표 기관 내부 PC나 서버를 장악해 자료를 절취하고 전산망 취약점을 지속적으로 감시하다가 백신 등 프로그램 중앙 배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포하거나 서버 저장 자료 삭제 명령을 실행한 것으로 확인했다"고 밝혔다.
정부에서 북한 소행으로 추정하는 근거는 크게 3가지다. 우선 이번 공격에 앞서 북한 내부 PC 최소 6대가 피해 금융사에 접속했다는 점, 공격 경유지 49개 중 22개가 과거 사례와 일치한다는 점, 악성코드 76종 중 30종 이상을 재활용했다는 것 등이다. 특히 북한 해커만 고유하게 사용하는 감염PC 8자리 식별번호와 감염신호 생성코드의 소스프로그램 18종이 동일했다고 밝혔다.
비교 대상은 현재 국정원에서 북한 소행으로 추정하고 있는 2009년 7·7디도스 공격을 비롯해 2011년 3·4디도스 대란, 농협 해킹, 2012년 <중앙일보> 전산망 파괴 등에 대한 조사결과다. 국정원은 과거에도 7·7디도스 공격을 근거로 삼아 악성코드와 경유지 등을 비교하는 방식으로 이후 사건들도 북한 소행으로 추정했다. 이번 결과 발표도 그때와 크게 다르지 않다.
다만 정부는 북한 내부 PC 최소 6대가 지난 2012년 6월 28일부터 피해 금융사에 1590회 접속해 악성코드를 올리고 PC 저장자료를 절취한 자료 일부를 공개했다. 또 공격에 앞서 지난 2월 22일에는 북한 IP(인터넷프로토콜)에서 지령을 내려 국내 경유지에 접속해 사전 시험한 자료도 제시했다.
해커 PC 흔적 발견 이례적... 해킹 수법 모방 가능성은 남아
큰사진보기
|
| ▲ 3·20 사이버테러 민관군 합동대응팀이 10일 증거자료로 제시한 북한PC 접속 기록. 정부는 최소 6대의 북한 내부 PC가 지난해 6월부터 8개월 동안 금융사에 1590회 접속했다고 밝혔다. |
| ⓒ 김시연 |
관련사진보기 |
하지만 해커가 해킹에 사용한 PC IP 등 흔적을 남기는 건 상당히 이례적이다. 이에 전길수 한국인터넷진흥원(KISA) 침해사고대응단장은 이날 "해커가 IP를 숨기려 노력하고 접속할 때마다 로그기록을 지워 흔적이 거의 남지 않지만 원격 터미널 접속 로그에 북한 IP를 발견할 수 있었다"면서 "실제 공격은 외국 경유지를 통했지만 기술상 문제로 수초에서 수분간 북한 IP가 노출된 것"이라고 밝혔다.
전 단장은 북한이 아닌 다른 해커가 IP를 위조했을 가능성에 대해서도 "IP 위조는 디도스 같은 단방향 공격일 때는 가능하지만 이번처럼 양방향 통신으로 지령내리는 과정에서 위조할 가능성이 거의 없다"면서 "위조가 아니라고 기술적으로 확인했다"고 일축했다.
또 과거 정부에서 사이버테러 발생 후 북한 소행 발표까지 보통 6개월 정도 걸렸던 데 비해 한 달도 채 안 걸린 것도 이례적이다. 이에 전 단장은 "1주일이나 한 달 뒤 발표할 수도 있지만 이 정도 자료로도 공격 근거를 파악하는 데 무리없다고 판단했다"면서 "중간 조사 발표이긴 하지만 북한 연관성은 충분하다고 판단한다"고 자신감을 나타냈다.
이처럼 발빠른 발표는 국정원 협조와도 무관하지 않다. 정부가 사건 발생 직후부터 사실상 북한 소행으로 단정하고 국정원이 보유한 북 해킹 관련 자료와 분석 작업을 거친 결과라는 얘기다. 다만 이번 조사 발표를 사실상 국정원에서 주도했다는 지적에 대해선 전 단장은 "특정기관이 주도했다기 보다 서로 역할이 분담돼 있었다"고 밝혔다.
다만 악성코드 유사성과 관련, 해커들이 해킹 수법을 서로 베꼈을 가능성은 여전히 남아있다. 이에 전 단장은 "악성코드가 공개돼 있거나 다른 이용자들이 많이 쓰고 있느냐의 문제"라면서 "악성코드 유사성 문제는 어느 곳에 유포된 걸 떼었다 쓸 가능성도 있다"고 가능성을 배제하지 않았다.