큰사진보기
|
| ▲ 박재문 미래창조과학부 정보화전략국장과 전길수 침해사고 대응단장이 16일 과청정부청사에서 브리핑을 갖고 6.25 사이버테러 조사결과를 발표하고 있다. |
| ⓒ 김동환 |
관련사진보기 |
[기사 대체 : 16일 오후 6시]정부가 지난 6월 25일부터 일주일간 벌어졌던 사이버 공격의 배후로 또 북한을 지목했다. 2008년 이후 7번째지만 뾰족한 대책은 없는 모습이다. 매번 뚫리기만 하면서 북한 핑계로 책임만 면피한다는 비판이 나온다.
미래부는 16일 정부과천청사에서 브리핑을 갖고 "민·관·군 합동조사에 따르면 지난 6월 말 벌어졌던 청와대, 국무조정실 등 홈페이지 변조, 정부통합전산센터 디도스 공격, 민간기관 홈페이지 변조 등의 연쇄적인 사이버 공격과 관련해 북한의 해킹으로 추정되는 증거를 발견했다"고 밝혔다.
박재문 미래창조과학부 정보화전략국장은 브리핑에서 "공격자가 최소 수개월 이상 국내 P2P사이트와 웹하드 서비스, 웹호스팅 업체 등 다중 이용 사이트를 해킹해 다수 공격목표에 대한 보안 취약점을 미리 확보하는 등 치밀하게 공격을 준비한 것으로 분석됐다"고 말했다.
"3.20 사이버테러 수법과 일치... 100% 단정은 못해" 미래부가 북한을 지목한 이유는 세 가지다. 박 국장은 "서버파괴 공격을 위해 활용한 국내 경유지 서버와 피해기관 홈페이지 서버에서 북한의 IP주소가 발견됐다"고 설명했다.
파괴된 서버시스템에 대한 복구 과정에서 일부 로그를 채취할 수 있었고 거기서 북한 IP로 파악하고 있는 대역 내의 IP주소 2개가 발견되었다는 것이다. 정부는 지난 3.20 사이버테러 때도 북한 IP가 발견되었다는 이유로 테러를 북한이 주도했다는 결론을 내린 바 있다.
박 국장은 "서버를 다운시키기 위한 시스템 부팅영역 파괴, 시스템 주요파일 삭제, 해킹 결과를 모니터링하는 방법과 악성코드 문자열이 지난 3.20 사이버테러와 동일했다"고 덧붙였다. 또한 "이번 홈페이지 변조 및 디도스 공격에 사용된 악성코드 역시 3.20 사이버테러에서 발견된 악성코드의 변종된 형태임이 확인됐다"고 말했다.
그러나 이같은 근거는 사실상 북한의 소행이라고 단정할 수 있는 근거가 되기는 어렵다. 해커가 마음만 먹으면 변조할 수 있는 정보들이기 때문이다. 미래부 역시 "이번 사이버 공격은 북한의 소행이라고 판단하고 있다"면서도 "확언할 수는 없다"는 이중적인 태도를 보였다. 100% 확신할 수 있는 증거는 잡지 못했다는 것이다.
브리핑 후 이에 대한 기자들의 질문이 이어지자 전길수 한국인터넷진흥원 침해사고대응단장은 해킹수법과 악성코드 활용 부분에 대해서는 지적의 타당성을 일부 인정했다. 그러나 IP주소 관련해서는 변조 가능성을 일축했다. 그는 "IP주소 변조는 가능하긴 하지만 이번 경우에는 변조가 불가능한 환경이었다"고 강조했다.
2008년 이후 7번째 '북한 소행'... "책임자 사퇴부터 해야" 이날 브리핑에 앞서 배포된 보도자료를 받아든 현장 취재기자들은 '북한 해킹수법과 일치'라는 문구를 발견하고는 대부분 '예상했다'는 반응을 보였다. 일부 기자들은 '또 북한이냐'고 중얼거리며 웃기도 했다. 정부가 지난 2008년 이후 사이버테러 주범으로 북한을 거론한 것은 이번이 7번째다.
그러나 이날 미래부 브리핑에 따르면 8번째 북한발 사이버테러도 얼마든지 가능할 전망이다. 전 단장은 "공격자가 이번 6.25 사이버테러를 위해 적어도 6개월 이상 준비를 한 것으로 파악하고 있다"고 밝혔다.
이번 테러를 주도한 세력이 지난 3월 20일 공격에 나서기 전에 6.25 테러를 위한 준비를 함께 진행했었고 자신이 원하는 시점에 공격을 감행했다는 것이다. 잡아내지 못한 변종 악성코드가 더 존재할 경우 동일한 수법의 추가 공격 가능성이 있음을 시사하는 부분이다.
전 단장은 '동일한 사건이 재발할 가능성이 있느냐'라는 질문에 "사전탐지가 굉장히 어렵다"고 토로했다. 기술적으로 사이버 공격을 미리 탐지하기 위한 노력을 하고 있지만 쉽지 않다는 것이다.
해킹으로 인한 자료 유출은 더욱 막기 어려운 상황이다. 그는 '해커가 홈페이지 변조 등 해킹 징후를 드러내지 않고 자료만 빼갈 경우 탐지가 가능하냐'는 질문에는 "사전에 막을 수는 없다"고 답했다. 6.25 사이버테러 당시 청와대와 국무조정실, 새누리당 일부 시도당의 홈페이지를 공격했던 해킹 세력은 자신들이 빼낸 새누리당 당원 10만 명의 명부와 청와대 홈페이지 회원 10만 명의 명단을 인터넷에 공개한 바 있다.
김인성 한양대 교수는 이날 미래부 발표에 대해 "해킹 당한 사람들이 자신이 사이버테러를 못 막았다는 얘기를 자기 입으로 하고 있다는 것 자체가 비상식적"이라고 꼬집었다. 그는 "농협 해킹 때도 사용자 거래정보 털려놓고 북한 거론하면서 책임져야 할 사람들이 책임을 면하고 넘어갔다"면서 "책임자 사퇴부터 시작하고 새로운 조직을 만들어서 개선안을 내야 한다고 생각한다"고 말했다.