북 체신성, 중서 할당받은 IP로 공격 시작

미국을 포함해 어느 나라도 1년 전에 발생한 디도스(DDoS분산서비스거부) 공격 사건을 제대로 파악하지 못했다. 그나마 국내 수사기관이 추적해 밝힌 사건의 전모가 지금까진 가장 신뢰성이 높다.

7일은 지난해 국내 대형 포털과 청와대 등 20여 개 사이트를 마비시킨 디도스 공격이 시작된 지 꼭 1년이 되는 날. 당시 사건을 수사한 경찰청 사이버테러대응센터 정석화 수사팀장은 6일 일부 외신 등이 북 배후설의 증거가 없다고 주장한 데 대해 이렇게 말했다. 이에 앞서 정부는 디도스 공격의 배후로 북한을 지목한 바 있다.

그에게 북한이 공격했다고 확신하느냐고 재차 물어봤다. 그는 단정할 순 없지만 지금까지 밝혀진 팩트(사실)는 공격의 진원지가 북한 체신성이 중국으로부터 할당받은 인터넷주소(IP)라는 것이라고 힘줘 말했다. 이어 공격 방식 역시 개인 수준이 아니라 최소한 수십 명의 집단이 할 수 있는 규모라고 덧붙였다.

경찰청은 지난해 10월 사이버테러대응센터가 북한 체신성 IP에서 공격이 시작됐다는 사실을 확인했다고 밝혔다. 수사팀의 이모 경위는 이 공적을 인정받아 연말에 경감으로 1계급 특진했다. 어떻게 공격의 진원지가 북한이었는지를 확인할 수 있었느냐는 질문에는 보안 사안이기 때문에 자세히 말할 수 없다면서도 사이버테러대응센터가 발족하고 10여 년간 쌓아온 기술력이 있었기 때문에 가능했던 일이라고 했다.

디도스 공격 1년을 맞아 2차 공격에 대한 우려가 높아지고 있는 것과 관련해 정 팀장은 4월설, 5월설이 있었지만 지금껏 아무 일도 없었다면서도 다만 공격 가능성은 분명히 있다고 말했다. 그는 당시 공격 명령을 지시한 서버 중 하나가 국내에서 공격을 담당했던 좀비PC들에 저장된 파일목록을 모두 복사해 갔다며 2차 공격을 위해 한국인들의 컴퓨터 활용 성향을 분석한 것으로 보인다고 덧붙였다. 2차 공격 시 더 많은 컴퓨터를 좀비PC로 만들기 위해 한국인이 자주 이용하는 파일을 분석했다는 설명이다.

대응책은 없을까. 정 팀장은 아무리 최신 버전의 백신 프로그램을 깔더라도 좀비PC가 되는 것을 막을 순 없다며 정부 차원에서 인터넷뱅킹 등에 사용하는 방화벽 프로그램을 무료로 보급해야 한다고 강조했다. 디도스 공격 수사는 아직 종결되지 않았다. 정 팀장은 우리가 국내에서 수사할 수 있는 것은 모두 했다면서도 공격의 진원지가 수사권이 미치지 않는 중국의 IP인 만큼 중국과의 공조를 통해 공격의 배후를 반드시 밝혀낼 것이라고 다짐했다.

박진우 pjw@donga.com