北, 도박SW에 ‘백도어’ 설계… 승부조작해 거액 빼돌린 듯

北 정찰총국, 도박사이트 서버 프로그램 南에 유통

크게보기

북한 정찰총국이 제작한 ‘Poker Game Server’라는 불법 도박사이트 서버 운영 프로그램은 한글로 실행이 가능하도록 제작됐다. 결국 해당 프로그램 제작 당시부터 서버 운영자 및 주요 판매처, 불법 도박사이트 접속자를 한국인을 목표로 삼았다는 뜻이다.

분석 결과 북한 정찰총국은 제작한 서버 운영 프로그램이 수사기관에 적발됐을 경우를 대비해 ‘IP 세탁’ 기능도 심어둔 것으로 밝혀졌다. 만약 북한 정찰총국 인터넷주소(IP주소·175.45.178.OO)로 서버에 접속했을 경우 자동적으로 서버에 남는 기록을 남한 측 IP주소로 변경되도록 프로그래밍했다. 서버에 남는 북한 정찰총국의 흔적을 없애기 위한 방법이다.

이번에 발견된 북한 정찰총국 IP주소는 2013년 ‘3·20 사이버테러’ 당시 발견된 주소와 일치한다. 해당 IP의 등록자 주소는 ‘조선민주주의인민공화국 평양직할시 보통강구역 류경동’이다. 류경동은 고 정주영 현대그룹 명예회장의 이름을 딴 류경정주영체육관이 있는 평양 시내 명소이다. 해당 IP는 이곳에 위치한 ‘스타조인트벤처’라는 회사의 명의로 등록됐다. 스타조인트벤처는 2009년 12월 14일 아시아태평양정보망센터(APNIC)를 통해 175.45.176.0∼175.45.179.255 등 1024개의 IP주소를 등록했다. 조선중앙통신, 노동신문 등은 모두 이 대역의 IP주소를 사용하는 것으로 알려졌다.

보안업계에서는 북한 정찰총국이 해당 도박사이트 서버 프로그램을 직접 운영하기보다 불법도박 관련 조직에 팔아넘겼을 가능성에 더 큰 무게를 두고 있다. 프로그램에서 ‘백도어(Back door)’가 발견됐기 때문이다. 백도어는 프로그램 개발자가 공식적인 채널이 아닌 ‘비공식적’으로 해당 프로그램을 드나들며 마음대로 서버를 조작할 수 있도록 설계한 통로를 의미한다. 보안 전문가들이 해당 프로그램을 분석한 결과 북한 정찰총국은 해당 프로그램에 백도어를 설계해 넣어뒀다. 북한이 해당 서버 운영 프로그램을 불법도박 관련 조직에 팔아넘긴 뒤 지속적으로 백도어를 통해 서버에 침입해 승부를 조작하는 방식으로 돈을 챙겼을 가능성이 크다.

프로그램을 분석한 한 화이트해커는 “백도어를 이용하면 얼마든지 원하는 아이디(ID) 사용자가 게임에서 이기도록 승부를 조작하거나 배당금을 몰아주는 것이 가능하다”며 “북한 정찰총국의 목적이 단순히 프로그램을 제작 및 판매해 돈을 버는 것이 아니라 보다 많이 서버를 활용한 사이트를 유통 생산시키고 백도어를 활용해 돈을 빼돌리는 것으로 예상할 수 있다”고 말했다.

북한은 미국 러시아와 함께 세계 3대 사이버 강국으로 평가받는다. 보안업계에서는 북한이 대남 공격을 할 수 있는 방식 중 위협이 되는 것은 사이버 공격뿐이라고 할 만큼 북한은 해킹, 디도스(DDoS·분산서비스 거부) 공격에서부터 사이버 대남 심리전까지 수준 높은 대남 사이버 공격을 구사해왔다.

실제 김정은 북한 노동당 제1비서는 2013년 2월 해커부대를 시찰하면서 “강력한 정보통신기술, 정찰총국과 같은 용맹한 (사이버) 전사들만 있으면 그 어떤 제재도 뚫을 수 있다”며 사이버전 능력의 중요성을 강조해왔다. 초창기 북한은 e메일 해킹 등 낮은 수준의 사이버 공격에 그쳤으나 금융기관 및 언론사 전산망 침투, 국가 기간시설망 테러 등 그 수준을 높이고 있다.

:: 백도어(Back door) ::

‘뒷문이 열렸다’는 뜻의 보안업계 용어. 프로그램 설계자가 운영자 몰래 정보 및 데이터를 빼낼 수 있도록 미리 뚫어 놓은 통로.

서동일 dong@donga.com·신무경 기자