잇따른 사이버 공격 北의심 이유는?

일반입력 :2013/07/07 10:12

손경호 기자

2009년 7.7 분산서비스거부(DDoS) 공격, 2011년 농협 전산망 사고, 올 들어 발생한 3.20 사이버 테러 등은 북한IP가 발견됐다고 결론 내려졌다. 이를 두고 북한 소행인지 아닌지에 대해서는 여전히 반신반의하는 분위기다.

그러나 지난 6.25 사이버 테러 사건을 기점으로 북한 혹은 북한 내부 조직이 연루됐을 가능성은 더 커졌다. 과거 북한IP가 발견됐던 것과 거의 유사한 수법이 6.25 사이버 테러때도 사용됐기 때문이다.

7일 국내외 보안업계관계자들에 따르면 6.25 사이버 테러에 사용된 공격 수법은 과거 7.7 DDoS, 농협 전산망 사고, 3.20 사이버 테러 등에 사용된 것과 거의 동일하다. 1차적으로 웹하드를 통해 악성코드에 감염시킨 뒤 정상적인 프로그램의 업데이트 모듈을 악성코드 유포 통로로 활용했다. 2009년 이후 이뤄진 대형 공격이 모두 같은 기법을 사용했다는 점은 동일범의 소행임을 확신시켜준다.

먼저 최근 공격까지 일련의 사건에서 해커들이 공격명령을 내리기 위해 사용하는 C&C서버에서 공통점이 발견됐다. 6.25 공격때 사용된 해외 소재 웹메일 서버 아이스워프는 과거 3.20 사이버 테러, 5.31 공격 때도 동일하게 사용됐다. 이들은 모두 아이스워프의 서버에 접속을 시도해 공격명령을 받게 된다.

문종현 잉카인터넷 대응팀장은 이 웹메일 서비스는 실제로는 정상적인 서비스로 사용되지만 공격자들이 웹서버의 취약점을 지속적으로 악용하고 있는 것으로 파악됐다고 밝혔다.

6.25 사이버 테러 당시 대전 정부통합전산센터의 DNS 서버에 대해 이뤄진 DDoS 공격 역시 아이스워프로부터 공격명령을 받은 것으로 나타났다.

지난달 27일부터 지역 언론사를 사이트를 대상으로 한 공격에서도 아이스워프의 서버가 공격명령을 전송한 것으로 확인됐다.

이와 관련 시만텍은 지난달 27일 자사에서 수집한 악성코드 샘플을 분석한 결과 7.7 DDoS 공격 이후로 최근 6.25 사이버 테러까지 모두 동일범의 소행이라고 결론 낸 보고서를 발표하기도 했다.

국내외 보안업체들의 분석에 따르면 부팅영역(MBR)을 파괴해 시스템의 파일을 모두 삭제해버리거나 다른 파일로 바꿔 못쓰게 만드는 공격은 7.7 DDoS 공격 이후 실제로 꾸준히 사용됐던 수법의 하나다.

특히 지난 3.20 사이버 테러는 최근 6.25 공격 때와 거의 동일한 수법이 사용된 것이 확인된 바 있다. 3.20 때는 정부가 정황상 북한IP가 발견됐기 때문에 북측의 소행으로 추정된다는 잠정결론을 내렸다. 수법이 공통적으로 사용됐는데 이중 한가지 공격에서 북한IP가 노출됐다는 것은 북한으로 의심할 만한 근거가 되고 있다.

당시 발견된 북한IP는 추적을 피하기 위해 가상사설망(VPN)을 통해 원격으로 접속하던 C&C서버와 갑자기 연결이 끊어지면서 실제 IP주소가 노출됐다. 기존에 국정원이 확보하고 있던 북한발 IP주소가 노출된 주소와 일치하는 것으로 드러났다. 이때 발견된 IP주소는 태국과 북한의 합작법인으로 ISP서비스를 제공하고 있는 스타조인트벤처로부터 나온 것으로 확인됐다.

이와 관련 시만텍은 7.7DDoS 이후 지난 4년간 발생한 사이버 공격을 모두 '다크서울'이라 명명한 동일 해킹조직의 소행인 것으로 결론냈다. 윤광택 시만텍 코리아 이사는 과거에는 반신반의했지만 최근 일련의 공격 사태를 겪은 뒤 실제로 시만텍 대응팀에서도 동일 조직의 소행이라는 분석결과를 내놓았다며 북한이라고 확정 지을 수는 없지만 유력한 것도 사실이라고 밝혔다.

문종현 팀장은 2009년 이후 수년간 분석한 결과 의혹을 제기했던 부분이 현실이 됐다며 현재로서는 북한으로 의심되는 해킹조직과 사이버 전쟁을 벌이고 있는 것이나 다름없는 상황이라고 말했다. 그는 오랫동안 일련의 사건을 추적한 결과 북한으로 잠정결론을 냈다.

문 팀장은 6.25 공격 때 자신들을 '하이 어나니머스(high anonymous)'라고 칭하며 청와대 홈페이지를 공격한 이들은 북한 사이트를 공격한 어나니머스 코리아 일원이라고 밝힌 이들보다 우월하다는 점을 보여주기 위한 심리전 성격으로 보인다는 분석을 내놓았다.

물론 여전히 100% 북한의 소행이라고 단정짓기는 힘들다. 그러나 가장 유력한 공격대상으로 북한을 꼽을 수밖에 없는 상황이다.

관련기사

이에 대해 이경호 고려대 정보보호학과 교수는 북한 IP가 발견됐다는 사실에 기초해 실제 히스토리를 추적해야 한다고 주장했다. 북한 소행이다, 아니다라고 명확하게 결론 짓기는 힘들고, 사실관계에 기반한 분석을 내놓아야 한다는 것이다.

이 교수는 북한의 공격이라고 가정하더라도 실제 북한 정부의 지시를 받은 것인지 아니면 북한 내에 일부 조직에서 독자적으로 공격을 벌인 것인지 등에 대해서도 분명히 구분할 필요가 있다고 밝혔다. 확대해석이나 축소해석을 경계해야한다는 설명이다.