'충격' 6.25 해킹, 사이버戰 전술 쓰여

일반입력 :2013/06/27 10:29    수정: 2013/06/27 15:51

손경호 기자

국내 주요 정부기관 홈페이지를 마비시킨 6.25 사이버 테러에는 사이버전에 사용되는 여러 전술이 종합적으로 사용된 것으로 나타났다.

27일 보안전문가들에 따르면 공격자들은 어나니머스를 가장해 사용자들에게 혼란을 주는 한편 불과 10시간만에 확보한 좀비PC를 동원해 공격용 전초기지를 만들고, 소셜네트워크서비스(SNS)에 공개된 어나니머스의 악성스크립트를 역이용해 공격을 시도하기까지했다. 기습, 위장, 기만, 은폐 전술 등이 그대로 사용된 것이다.

공격자들은 지난 25일 청와대 홈페이지 메인화면을 바꾸고, 국무조정실, 국방부 등 기타 정부기관, 새누리당 시도당, 국방부, 국가정보원 등에 대한 분산서비스거부(DDoS) 공격을 감행하는 한편 이들 홈페이지를 통해 회원 신상 정보를 유출시켰다.

이들은 먼저 사회적 파장을 극대화 하기 위해 기습전술을 사용했다. 청와대는 우리나라에서 가장 상징성이 높은 웹사이트 중 하나다.

이 홈페이지가 변조되면서 오전 10시부터 약 10여분 간 통일대통령 김정은장군님 만세!...민주와 통일을 지향하는 #어나니머스코리아라는 문구와 담긴 사진이 나타났다. 여기에는 어나니머스의 표식과 함께 공개자료링크라며 유출시킨 개인정보와 함께 트위터 아이디(@Anonsj, @YourAnonnewsKR 등)가 공개됐다. 이 아이디들은 그동안 북한 사이트 공격을 예고한 어나니머스 회원들이다. 이들은 자신들의 트위터를 통해 청와대 해킹은 우리 소행이 아니다라는 내용의 글을 올리기도 했다.

어나니머스는 이날 오전 11시부터 북한 사이트들을 공격하겠다고 예고한 뒤 실제로 DDoS 공격을 감행해 조선중앙통신 등의 사이트들의 접속이 마비됐다. 이 같은 정황을 봤을 때 공격자들은 어나니머스가 공격한 것처럼 보이도록 하는 위장 전술을 썼다.

DDoS 공격에 사용된 악성파일은 웹하드 업체 두 곳의 설치프로그램을 변조해 유포된 것으로 확인됐다. 해당 사이트에 접속하면 악성파일 설치가 유도돼 좀비PC가 생성되며 공격자들이 구축한 C&C서버를 통해 공격 명령을 수행한다.

여기에 사용된 악성파일은 다량의 패킷 쿼리를 대전 정부통합전산센터 서버로 전송해 DNS서버의 리소스를 소모시켜 정부기관 홈페이지에 접속에 과부하를 일으키는 수법을 사용했다.

이 과정에서는 은폐전술이 사용됐다. 이들 악성파일을 은밀하게 숨기고, 분석과 추적을 피하기 위해 일반적인 상용 패킹 프로그램 더미다(Themida)로 실행압축하거나, 토르(tor)라는 암호화 통신하는 분산 네트워크를 통해 트래픽에 대한 추적이 어렵게 만들었다.

그 뒤 국내 사용자들을 기만하는 전술을 쓰기도 했다. 청와대 공격 이후에 이들은 추가로 공격과정을 담은 동영상을 공개하면서 재차 위기감을 조성했다. 일단 관심을 끄는데 성공했다고 판단한 뒤 반신반의하는 국내 전문가들을 상대로 실제 공격이라는 점을 믿도록 이를 공개한 것이다.

이외에 추가로 유포된 동영상에는 일간베스트나 우리민족끼리를 해킹한 해커들은 가짜 어나니머스(FakeAnons)라는 내용까지 담고 있다.

이 같은 전술의 목표는 결국 사회 혼란을 조장하는 것이다. 따라서 정확한 사실에 근거한 분석과 함께 냉철한 대응이 필요할 것으로 전망된다

이경호 고려대 정보보호학과 교수는 6.25 사이버 테러는 대표적인 심리전이라며 서로 분열시키고 혼란을 주는 것이 목적이라고 밝혔다. 최악의 상황에서 우리나라 내 조직들 간 불신을 일으켜 정확한 정보가 유통되지 못하도록 하는 것이 공격의 목표인 것을 추정된다.

관련기사

3.20을 포함해 6.25 사이버 테러 역시 '성동격서(聲東擊西)'일 가능성이 높은 상황이다. 동쪽에서 소리를 내고 서쪽을 공격한다는 말처럼 청와대 홈페이지 위변조, DDoS 공격 등으로 시선을 끈 뒤 은밀하게 다른 고급 정보들을 유출시켰을 가능성 또한 배제할 수 없다는 설명이다.

이 교수는 중요한 것은 팩트를 확인하고 정확하게 접근해야 한다는 것이라며 근본적인 문제해결에 집중해야 한다고 밝혔다.