정부가 지난 6.25 사이버 공격과 3.20 사이버 테러를 북한 소행으로 결론 지었다. 근거로 제시한 것은 공통적으로 북한 IP가 발견됐다는 점이다.
현재로서는 IP 외에 확실한 물증이 없으나 유사한 공격수법이 동원된 일련의 공격에서 북한 IP가 발견됐다는 점에서 북한의 공격 가능성은 '추정'에서 '소행'으로 바뀌었다. 보안전문가들도 대체로 정부 발표에 수긍하는 분위기다.
미래창조과학부는 16일 과천 정부종합청사에서 브리핑을 갖고 3.20 사이버 테러때와 유사한 형태로 북한 IP가 발견됐다고 밝혔다.
민관군 합동대응팀의 전길수 한국인터넷진흥원(KISA) 침해사고대응단장은 공격 이후 파괴됐던 웹서버 및 기타 서버로그 기록을 복원해 분석한 결과 북한 IP가 발견됐다며 3.20 때와 동일한 IP가 발견된 것은 아니나 북한에서 사용되고 있는 것으로 확인된 IP가 공격에 쓰였다고 설명했다.
그렇다고 북한 IP 발견=북한 소행으로 단정짓기는 어렵다. 다만 전 단장은 과거에 사용된 북한 제작 추정 악성코드가 발견됐고 수법 면에서도 과거와 크게 다르지 않았다고 말했다. IP주소는 조작할 수 있기 때문에 북한이 아닐 수도 있지 않냐는 지적에 대해서 IP변조가 가능한 것은 사실이나 서버의 통신이 양방향으로 이뤄지기 때문에 변조가 불가능한 경우라며 (북한공격 추정)보다는 강한 '북한 소행'으로 판단된다고 말했다.
실제로 국내외 보안전문가들은 6.25 사이버 공격때 사용된 수법이 7.7 분산서비스거부(DDoS) 공격, 3.20 사이버 테러 등에 거의 동일하게 사용됐다고 분석하고 있다. 1차로 웹하드를 통해 악성코드를 유포한 뒤, 정상 프로그램의 업데이트 모듈을 통해 추가로 악성코드를 유포하는 등의 방식이 크게 다르지 않다는 것이다.
이스트소프트, 잉카인터넷 등 보안회사에 따르면 6.25 공격에 사용된 해외 소재 웹메일 서버 아이스워프는 3.20 사이버테러와 함께 5월 31일 발생했던 공격에도 동일하게 사용됐다. 경남일보 등 지역 언론사 등의 홈페이지를 위변조한 공격에도 거의 유사한 악성코드가 사용된 것으로 나타났다.
하우리 최정식 선임연구원은 여전히 확증은 없지만 부팅영역(MBR) 파괴, 복구가 불가능 하도록 파일을 삭제하는 등의 기능 등이 비슷하다고 말했다. 북한이 아닐 수 있다는 가능성에 대해서는 북한이 아니라면 누가 이렇게 조직적으로 공격을 감행했을지 의문이라고 덧붙였다.
미래부가 추가로 들었던 근거는 6.25 사이버 공격 당시 홈페이지 변조와 분산서비스거부(DDoS) 등에 사용된 악성코드가 3.20 사이버 테러때 사용된 악성코드의 변종이었다는 점이다. 과거 농협 서버 장애를 일으킨 악성코드 역시 해당 악성코드와 유사한 것으로 조사됐다.
전 단장은 대전정부통합전산센터 등 폐쇄망을 공격했다는 점에 대해 최근 공격은 잠복기를 거친다는 공통점이 있으나 국가기간망(내부DB)과 인터넷에 접속해 볼 수 있는 홈페이지 등의 시스템은 망이 분리돼 있기 때문에 같은 궤로 놓고 평가하기는 힘들다며 기간망이 아니라 국가기관의 인터넷망이 공격당한 것으로 봐야 한다고 설명했다.
관련기사
- 정부 “6.25 사이버공격, 북한 수법과 일치”2013.07.16
- 잇따른 사이버 공격 北의심 이유는?2013.07.16
- 6.25 공격 사용 악성파일, PC방서 전파2013.07.16
- 6.25 변종악성코드, DNS서버증폭 공격2013.07.16
이밖에 새누리당원 명단, 청와대 직원 개인정보 유출 등에 대해서는 아직 정확한 규모가 파악되지 않았다며 피해기관에서 밝힌 내용과 함께 시스템 자체가 파괴되서 규모 자체를 파악하기 어려운 점이 있다고 말했다.
합동대응팀은 6.25 사이버공격에 대해 약 6개월 전부터 다수의 공격목표에 대한 보안 취약점을 미리 확보하는 등 치밀하게 공격을 준비했다고 분석했다.