[Q&A]3.20 해킹 북한소행, 증거는…

일반입력 :2013/04/10 15:36

정윤희 기자

3.20 전산망 마비 사태의 배후로 북한이 지목됐다.

민관군 합동대응팀은 10일 공식 브리핑을 통해 연쇄 사이버테러의 해킹 수법이 북한 정찰총국의 수법과 유사하며 조사 과정에서 북한 내부 인터넷프로토콜(IP) 주소가 13개 확인됐다고 밝혔다.

또 북한의 해킹으로 추정되는 증거로 ▲북한 내부서 국내 공격경유지에 수시 접속, 장기간 공격 준비 ▲공격경유지 49개 중 22개가 과거 사용했던 경유지와 동일 ▲악성코드 76종 중 30종 이상을 재활용 ▲일련의 사이버테러 4건이 동일조직 소행이라는 점을 들었다.

다음은 전길수 한국인터넷진흥원(KISA) 침해사고대응단장과의 질의응답이다.

공격 경로를 역추적 결과 경유국은. 또 어떤 프로그램의 어떤 취약점을 이용했나.

지금까지 파악된 공격경유지는 49개(국내 25, 해외 24)다. 국가로 따지면 한국 포함 10개국을 경유했다고 볼 수 있다. 취약점 자체는 여러 가지를 사용했다. 웹사이트, 관리자 PC, 사내 서버 등의 취약점 등을 악용했다. 또 개인PC나 서버 파괴 위해 사용됐던 백신 소프트웨어 배포 서버의 취약점 역시 이용됐다. 다양한 취약점을 사전에 치밀하게 준비한 것으로 파악하고 있다.

북한 IP 13개는 구체적으로 어떻게 확인했나.

실제로 북한에서 직접 공격한 IP 자체를 추출하는 것은 어렵다. 해커 입장에서도 자신의 IP를 숨기려는 노력을 많이 했다. 해당 북한 IP는 금융사 분석 과정에서 발견됐다. 악성코드 유포 명령 내리는 C&C 서버 접속할 때 로그들을 다 지웠다. 방화벽 로그, 웹서버 로그 등은 다 지워져 흔적이 없는데 원격터미널 접속 로그 기록이 남았다. 직접적인 공격은 경유해서 들어왔지만 통신상에서의 문제, 기술적 문제 때문에 수초, 수분간 북한 IP가 노출돼 이를 확인할 수 있었다.

같은 방식의 공격이 되풀이됐다. 같은 공격에 계속 노출된 것은 문제가 있는 것 아닌가. 6개월 이상 준비를 했다는데 왜 알아내지 못했나.

공격에 대한 방어 자체를 안 하고 있는 것은 아니다. 합동 대응팀을 포함해서 정부, 민간보안업체, KISA도 모니터링과 추가 공격여부, 상시적으로 어떤 징후가 있는지 파악은 하고 있다. 그러나 해킹을 100% 막을 수는 없다. 방어입장에서는 모든 경우의 수를 다 확인해야 하지만 공격은 특정 취약점을 노리고 들어온다.

보안 취약점을 해결해야 하는 것은 맞다. 우리 입장에서는 취약점을 파악하고 어떻게 막을 것인지가 관건이다. 그런 부분에 대해서도 집중적으로 개선할 것이다.

추가 공격 가능성은.

공격 발생 부분은 항상 가능성이 있기 때문에 열어두고 대비를 하고 있다.

해당 공격으로 인해 정보가 유출 됐나. 피해 규모가 얼마나 되나.

과거 개인정보 유출과 비교하면 목적 자체가 다르다. 개인정보 유출은 이를 이용해 매매를 한다거나 하기 위해서 공격한다. 그러나 이번 공격 자체는 사회 혼란을 유발하기 위한 공격이다.

APT 공격 자체는 과거에는 디도스로 많이 이뤄졌는데 한 기관에 대한 공격이 아니라 여러 기관을 동시에 공격하는 형태다. 준비 기간도 길었을 것이다. 실제로 공격 거점을 확보해야 되기 때문에 공격자는 개인PC나 서버가 될 수 있다. 기본적으로 APT 공격에 따른 계정 정보가 유출된 것으로는 보고 있지만 개인정보 등이 유출된 것에 대해서는 파악한 것 없다.

최초 감염경로는. 민간업체들은 감염경로가 다 다르다고 하는데 사실이냐.

6개 기관 공격방법이 조금씩 차이가 있는 것은 맞다. 6개다보니까 서버 취약점 등이 다 다르다. 어떤 기관에 대해서는 PC를 혹은 서버를 1차 거점으로 삼은 것도 있다. 최초 감염경로에 대해서는 웹쉘이 올라왔고 서버에 공격이 들어온 것으로 보인다. 웹사이트 방문시, 혹은 이메일을 통해서라고 추정하고 있다.

처음에 후이즈라는 해커그룹과 북한과의 연관성은.

후이즈와 북한의 연관성은 직접적으로 확인된 것이 없다.

공격 주체가 북한이라고 발표 자체가 이례적이다. 어떻게 북한IP라고 확신할 수 있나.

디도스 같이 단방향 공격은 IP 위조 가능하다. 어떤 디도스 경우 70% 이상이 위조로 들어오는 경우가 있다. 그러나 이번에는 한 방향에서 명령만 내려주는 것이 아니라 양방향 통신이다. 한쪽에서 지령내리고 다시 응답하는 식이다. 때문에 위조 자체는 아니라고 기술적으로 확인됐다.

IP에 대한 부분에 대해서는 과거에 2009년 북한쪽으로 할당된 IP대역이었다. 또 과거 북한의 사이버테러와 동일한 대역이고 악성코드 구조도 동일하다.

공격을 미리 포착할 수는 없었나. 민간에서 정부보다 일찍 파악한 것 아닌가.

늦게 파악한 것은 아니다. 그런데 정부가 책임감 없게 북한의 소행이라고 추정된다고 할 수는 없었다. 정부가 발표할 때는 검증을 거친 후에 발표를 해야 한다. 민간 업체에서 탐지할 수 있는 가능성은 열어뒀다. 어디가 기술력이 뛰어나다는 의미보다는 정보 공유 체계 자체 마련이 더 중요하다.

중간에 막을 가능성은.

이것은 공격이 성공한 사례고 중간에 차단한 사례도 있었다. 제로데이 취약점을 탐지해서 공격했기 때문에 사전에 탐지, 방어가 매우 어려웠다. 이거 외에도 과거에 대해서 북에서의 공격일 수도 있고 특정 해커집단의 공격일 수도 있는데 사전에 막은 사례도 있었다.

오늘 발표한 이유는. 공인인증서 문제는 아닌가.

오늘 발표한 이유는 추가적인 수사를 해도 더 많은 내용이 나올 것 같진 않았기 때문이다. 안랩, 하우리는 패치에 대한 문제가 해결됐다. 제품결함은 좀 더 이야기 해봐야할 것 같다. 이 부분 해결 방법은 전체 국민 대상은 아니다. 제큐어웹 취약점은 있었다. 그래서 금융당국이 지시했을 것이다.

관련기사

구체적인 공격자의 신원 파악은.

공격자의 신원을 특정하는 것은 어렵다. 현재까지 조사에서 밝혀진 것은 북한 IP가 나왔다는 것이고 6개 기관 동일한 수법이 사용됐다는 점을 미루어 동일범 소행이라고 생각하고 있다. 앞으로도 조사, 분석은 이뤄질 테지만 지금으로서는 거의 종결된 상황이다.