- 검찰- 7·7 3·4 DDoS때와 공격 방식 유사점 제시, 업계 “증거 미흡, 정부 반응도 석연찮다”
[디지털데일리 이유지기자] 지난달 12일부터 발생한 사상초유의 농협 전산망 마비 사태가 ‘북한에 의한 새로운 유형의 사이버테러’로 규정됐다.
서울중앙지방검찰청 첨단범죄수사제2부(부장검사 김영대)는 3일 농협 전산망 장애 사건 수사결과를 이같이 발표했다.
검찰은 이번 사태가 지난 2009년 발생한 7.7 디도스(DDoS, 분산서비스거부), 3.4 DDoS 공격을 가한 동일집단이 장기간 치밀하게 준비해 벌인 사이버테러라고 분석했다. 이 때문에 범인을 북한으로 지목했다.
◆두차례 디도스 공격과 동일집단 소행= 그 핵심 이유는 한국IBM 직원 노트북에서 발견된 81개의 악성코드를 분석한 결과, 앞서 발생한 두차례 디도스 공격에 이용된 웹하드 사이트를 통한 악성코드 유포 방식과 제작기법, 원격 공격방식이 매우 유사하다는 데 있다.
문제의 노트북은 웹하드사이트의 업데이트 프로그램을 통해 악성코드에 감염돼 좀비PC로 전락했고, 원격조정당해 공격 도구로 악용됐다.
공격용 악성코드 역시 악성코드를 발각되지 않도록 암호화한 방식이 3.4 DDoS와 거의 일치하고, 삭제프로그램에서 호출하도록 돼 있는 30여개 파일의 확장자 종류나 순서가 동일하며, 7.7 DDoS 때와도 유사하다는 것이다.
검찰에 따르면, 문제의 노트북은 지난해 9월 4일경 웹하드 사이트를 통해 악성코드에 감염, 좀비PC가 돼 7개월간 집중관리됐고, 이를 통해 공격대상 IP와 최고관리자 비밀번호 등 각종 내부정보를 빼내 공격에 이용됐다.
지난 12일, 공격명령 파일이 노트북에 설치된 뒤 인터넷을 통한 원격제어로 공격프로그램이 실행됐다.
프로그램 분석을 곤란하게 만들기 위해 프로그램 특정 부분을 알아보기 어렵도록 일정한 규칙에 따라 다른 문자로 치환해 표기한 방식이 7․7 때와 같다는 것이 검찰의 분석이다.
아울러 공격에 활용한 이 좀비PC를 조종하기 위해 이용한 서버 IP 1개는 3.4 디도스 사건에 이용된 것과 일치한 것으로 조사됐다.
또 북한이 노트북에 장착된 무선랜카드의 맥어드레스를 좀비 ID로 확보해 노트북을 특별관리해 온 것으로 확인했다는 점도 검찰은 밝혔다.
◆‘북한 소행’ “못믿겠다”, “믿기 싫다”=이같은 수사 발표를 접한 일반 국민들과 IT·보안업계에서는 대체로 “북한 소행이라는 것을 믿기엔 의문점이 너무 많다”는 반응을 보이고 있다.
“범인을 잡지 못하니 북한에 뒤집어 씌우는 것”이라는 의견까지 나오면서 수사결과에 신뢰감을 부여하지 않는 분위기다.
검찰이 제시한 여러 정황과 관련해서도 “정확한 증거 확보나 파악 없이 기존 DDoS 공격과 유사 정황을 갖고 수사기관에서 북한 소행이라고 단정 짓는 것은 문제가 있다”는 지적까지 나오고 있다.
한 보안전문가는 “지난 7.7 디도스(DDoS, 분산서비스거부)나 3.4 디도스 사건도 북한이 공격했다고는 했지만 확실한 증거를 제시하지 못했다”며, “이번 사건도 악성코드 유포 방식과 제작기법이 같거나 유사하다는 점 때문에 동일범의 소행일 것이란 정황만으로 또다시 북한 소행이라고 하는 것은 성급한 판단”이라고 지적했다.
다른 보안업체 관계자도 “7.7 공격때 사용된 중국 IP가 북한 체신청이 임대했다는 이유로 북한이 범인이라고 했지만 그 증거가 확실치 않고, 북한이 임대한 것이라 해도 IP는 얼마든지 위장할 수 있다”며 “납득할만한 보다 명확한 근거가 제시돼야 한다”고 강조했다.
더욱이 이번 농협 사태가 북한이 한 것이라 해도 내부자 연루 가능성이 없이 과연 외부 해킹만으로 공격을 성공시킬 수 있는 지에도 의구심을 보이고 있다.
한 보안업체 대표는 “내부자가 연루돼 있지 않다면 해당 관리자 노트북을 파악하고, 수백 대 서버에서 쓰고 있는 여러 관리자 아이디와 비밀번호를 알아내는 것 역시 불가능할 것”이라며, “검찰의 이번 결과를 믿기 힘들다”고 말했다.
다른 전문가는 “농협이 두차례 DDoS 공격 피해대상이고, IP나 악성코드 유포·감염·제작 및 삭제 방식이 동일하다는 점 등에서 동일범의 소행일 수 있다”며, “그런데 세차례 공격 주범이 북한이라는 사실에는 의문을 갖고 있다”며 남다른 의견을 피력했다.
이 전문가는 “만일 북한 소행이 명확하다면 정부가 외교라인을 통해 강력 항의하고 손해배상을 요구해야 하는데, 매번 북한이라고 발표만 하고 리액션은 왜 취하지 않냐”며, 정부 스스로 확신이 없다는 반증이 아니냐는 의문점을 제시했다.
이에 더해 “이번 공격은 정교하고 치밀하게 한 것 치고는 증거가 너무나 명확하게 남았다는 것도 의문”이라며, “왜 북한이 의심받을 수 있는 IP를 썼으며, 악성코드 개발에 계속 한가지 코딩 방식만 사용하고 있는지 의아하다”고 덧붙였다.
일각에서는 검찰 발표를 ‘믿기 싫다’는 반응도 나오고 있다. 모두 사실이라면 사이버안보와 내 돈을 믿고 맡긴 금융사 전산망 보안관리에 정말 심각한 구멍이 뚫린 상태라는 점에서 불안하다는 생각 때문이다.
한 IT업계 종사자는 “북한이 했다고 한다면, 유사한 방식으로 가한 사이버공격에 주요 사이트 수십곳과 전국에 걸쳐 있는 국내 최대 금융 전산망이 마비되며 속수무책으로 보안체계가 무너진 것으로 아주 심각한 상황”이라며, “지금도, 앞으로도 계속 당할 수 있다는 이야기 아니냐”며 몸서리쳤다.
다른 IT업계 관계자는 “농협의 중요서버 접근권한을 가진 관리자인 협력업체 직원의 노트북이 악성코드에 감염돼 있었지만 7개월간 이 사실을 알지 못했고, 백신을 통한 보안관리조차 전혀 이뤄지지 않았다는 것 자체가 놀랍다”면서 “북한이 했더라도 농협과 IBM의 보안관리 소홀 책임은 면치 못할 것”이라고 목소리를 높였다.