서버 공격한 IP주소, 변조 불가능한 北IP

■ ‘6·25 사이버공격’ 北소행 근거는

이번에도 북한이었다. ‘6·25 사이버 공격’에서 드러난 북한의 해킹 수법은 이들의 전략이 좀 더 치밀하고 장기화됐으며, 행동도 훨씬 일사불란했음을 보여 줬다. 보안 전문가들은 “해킹 사건의 주범이 북한임을 밝혀내는 게 중요한 때는 지났다”며 “이제는 계속되는 북한의 사이버 공격에 우리 정부가 정치적으로, 기술적으로 어떻게 대응해야 할지 실질적 대책을 내놓아야 한다”고 입을 모았다.

이날 미래창조과학부의 발표는 6·25 사이버 공격의 주체가 왜 북한인지를 규명하는 데 초점을 맞췄다. 미래부는 서버 파괴 및 홈페이지 공격에 사용된 인터넷 프로토콜(IP) 주소가 북한의 것이고, 과거 ‘3·20 사이버 테러’ 등과 해킹 수법이나 발견된 악성코드가 유사한 점을 주요 근거로 제시했다.

분석을 총괄한 전길수 한국인터넷진흥원(KISA) 침해사고대응단장은 “6·25 사이버 공격의 피해 장비와 공격 경유지에서 82종의 악성코드와 PC 접속 기록, 공격 IP 주소 등을 확보해 분석한 결과 IP 주소가 현재 우리 정보 당국이 북한의 IP 대역으로 파악하고 있는 것과 일치했다”고 말했다. 그는 “해커가 경유지 로그를 삭제하고 하드디스크를 파괴하는 식으로 흔적을 없애려 했지만 디지털 포렌식(해킹 증거 수집 기술) 및 데이터 복구를 통해 북한 IP임을 확인했다”며 “통상 IP 주소는 변조할 수 있지만 이번에 발견된 것처럼 양방향 통신 IP인 경우 변조가 불가능해 북한의 것이 확실하다”고 설명했다.

전 단장은 또 6·25 사이버 공격과 3·20 사이버 테러에 사용된 해킹 수법이 거의 같은 점에도 주목했다고 덧붙였다. 6·25 사이버 공격에서는 △서버를 다운시키기 위해 시스템 부팅영역을 파괴하고 △시스템 주요 파일을 삭제하며 △해킹 결과를 파악하기 위해 공격 상황을 모니터링하는 패턴이 나타났는데 이는 3·20 사이버 테러의 방식과 똑같다는 것이다. 또 북한은 이번 악성파일을 배포하는 데 S웹하드 사이트 등을 이용했는데, 이처럼 보안이 허술한 중소 웹하드 사이트를 악성코드 배포에 활용하는 것은 2009년 ‘7·7’, 2011년 ‘3·4’, 올해 3·20 사이버 테러 때도 북한이 썼던 수법이다.

이를 토대로 전 단장은 6·25 사이버 공격 때 해커가 청와대 홈페이지에 국제 해커 집단인 어나니머스의 이미지를 내건 것은 “공격 주체를 모호하게 하기 위한 북한의 위장술”이라고 추정했다.

한편 정부의 공식 발표는 이날 나왔지만 보안 업계에서는 이미 6·25 사이버 공격 당일부터 북한의 소행이라는 관측이 나왔다. 문종현 잉카인터넷 시큐리티 대응센터 팀장은 “2009년 7·7 디도스 공격 이후 벌어진 대부분의 사이버 테러는 북한의 소행”이라며 “북한은 상상 이상으로 오랜 기간 공격을 준비해 왔고 정보를 수집해 왔다고 봐야 한다”고 강조했다.

실제 보안업계 일각에서는 북한이 이미 수많은 민관 사이트에 악성코드를 심어 놓았으며 국내 인터넷 망을 상당 부분 장악하고 언제든 공격할 ‘때’만 기다리고 있다는 분석도 나온다. 익명을 요구한 보안 업계 관계자는 “개인정보에서 군사정보에 이르기까지 다양한 정보를 빼 가기 위해 북한 내 여러 조직이 움직이고 있다”며 “6·25 사이버 공격처럼 드러나면 유출 여부를 알 수 있지만 그렇지 않으면 정보를 뺏기는 것조차 모를 수 있다”라고 지적했다.

임우선·정호재 기자 imsun@donga.com