[은행-방송 전산망 사이버 테러]하드디스크 파괴 수법, 北 2011년 농협 해킹 때와 비슷

■ 北소행 여부 밝혀질까

20일 발생한 방송사와 금융회사에 대한 사이버 테러의 정황과 공격 수법이 조금씩 드러나면서 북한의 소행일 가능성에 무게가 실리고 있다. 남북 긴장이 고조되는 상황인 데다 정부 합동대응팀의 분석 결과 해커의 공격이 중국 인터넷주소(IP주소)를 경유한 흔적이 발견됐기 때문이다.

○ 북한 소행 어떻게 밝히나

농협을 공격한 해커가 중국 IP주소인 ‘101.106.25.105’를 경유한 것으로 확인되면서 북한 관련설이 힘을 얻고 있다. 북한은 앞서 2009년 7월 7일과 2011년 3월 4일 디도스(DDoS·분산서비스 거부) 공격 당시도 중국에 있는 조선체신청 IP주소를 사용했다.

하지만 이를 확실한 증거로 볼 수는 없다는 게 정부와 전문가들의 견해다. 이번 해킹에 쓰인 중국 IP주소를 과거에도 북한이 사용했다는 흔적을 발견하지 못했고, 미국 호주 한국의 IP주소도 경유한 것으로 확인됐기 때문이다. 박재문 방송통신위원회 네트워크정책국장은 “지금 단계에서는 여러 가능성을 열어 놓고 해커의 실체 규명에 최선을 다하고 있다”고 말했다.

해킹에 사용된 악성코드를 분석하는 것도 북한 소행 여부를 판단하는 근거가 된다. 정부는 2011년 4월 농협 전산망 마비 당시에는 사용된 코드가 과거 북한이 사용한 것과 동일하다는 점을 근거로 내세운 바 있다. 이번 악성코드 역시 과거 북한의 방식과 일부 닮은 점은 확인했지만 완전히 같은지는 아직 결론을 내지 못했다.

오히려 해커들이 사용하는 수법과 공격 의도를 분석하는 것이 효과적이란 견해도 있다. 손동식 윈스테크넷 침해사고대응센터장은 “이번 공격에서 하드디스크의 마스터부트레코드(MBR) 영역을 파괴한 것은 2011년 4월 북한의 농협 전산망 해킹 때와 비슷하다”며 “돈을 노리거나 정치적 메시지를 전파하려는 일반 해커들은 이런 파괴적인 수법을 잘 사용하지 않는다”고 말했다.

해커들이 분업화, 조직화돼 있다는 점도 훈련된 정예요원이 관여한 흔적이라는 분석도 나왔다. 6개 피해 기업에서 발견된 코드가 유사하면서도 조금씩 달라 여러 명으로 구성된 팀의 소행일 수 있다는 얘기다. 이번 해킹 공격자들은 LG유플러스의 그룹웨어를 해킹하면서 6개의 e메일 주소를 남기기도 했다.

○ 배후 확인, 얼마나 걸리나

지금까지 발견된 정황만으로 북한 소행이라고 단정하는 것은 성급하다는 신중론도 많다. 해커집단이 정체를 숨기기 위해 북한이 사용했던 코드를 일부러 베낄 수도 있고 IP도 여러 번 경유하면서 북한의 소행으로 위장할 수 있다는 것이다. 이 때문에 국가정보원 등 정보보안 관련 기관들은 대중에 공개하지 않은 북한의 사이버 공격 경로 데이터베이스(DB)를 활용해 경로를 추적한다. 이와 함께 공격에 사용된 코드와 수법을 종합적으로 분석해 북한의 소행 여부를 최종 판단한다.

이경호 고려대 사이버국방과학과 교수는 “시간을 두고 여러 정보를 종합 분석해야 비로소 누구의 소행인지 밝혀낼 수 있다”며 “감정적으로 대응하지 말고 객관적 증거로 판단해야 한다”고 말했다.

정부는 2011년 농협 전산망 마비사태 당시 불과 며칠 만에 북한 소행임을 확인한 것으로 알려졌다. 이명박 정부의 청와대 핵심 당국자였던 한 인사는 “당시에는 북한의 사이버 테러 위협이 가시화하지 않았던 때여서 언론은 농협의 부실한 보안망, 투자자들의 항의와 소송 움직임에 집중했다”며 “우리의 보안기술과 해킹 추적능력 등이 (북한에) 알려지지 않도록 해야 했기 때문에 북한 소행임을 일찌감치 확인했지만 일부러 몇 달 뒤에 검찰을 통해 조사 결과를 발표했다”고 전했다.

게다가 북한이 최근엔 사이버 공격에 대한 우리 정보기관의 추적을 피하기 위해 국내 민간기업의 정보기술(IT) 유지보수 업체를 우회하거나 해킹통신을 암호화하는 등의 고난도 기술을 사용한 점을 우리 정부가 확인한 것으로 전해졌다.

○ “북한 소행 밝혀지면 강력 대응”

정부와 군 당국은 ‘3·20 사이버 테러’가 북한의 소행으로 확인되면 강력 대응할 방침이다. 김민석 국방부 대변인은 21일 브리핑에서 “북한의 소행으로 밝혀진다면 군뿐만 아니라 정부 차원에서 당연히 대응책을 마련해야 한다”고 밝혔다. 가장 먼저 고려되는 것이 국제사회를 통해 북한의 행위를 규탄하거나 제재를 가하는 방법이다.

일각에선 사이버공격으로 맞불을 놓거나 아예 북한 정찰총국 산하 사이버 전담부서인 110연구소 등을 무력으로 타격해야 한다는 주장도 나온다. 그러나 군 관계자는 “북한이 발뺌하는 상황이라 쉽지 않다”며 “자칫 북한에 무력 도발의 빌미를 줄 수 있다”고 말했다.

김용석·정호재·손영일 기자 nex@donga.com