특집

3.20 전산망 해킹 ‘북한 소행’ 추정, 이유는

이민형 기자
- 북한IP 발견, 과거 북한 사건과 동일한 악성코드와 경유지

[디지털데일리 이민형기자]
민·관·군 합동대응팀이 지난 20일에 발생한 방송사와 금융사 사이버공격을 북한 소행으로 결론 내린 근거는 세가지다.

북한 내부 인터넷주소에서 국내에 접속했고 과거 북한이 해킹에 사용된 공격 경유지와 악성코드 상당부분이 동일한 것으로 발견됐다. 합동대응팀은 이번 공격에 사용된 수법이 지난 2009년에 발생한 7.7 분산서비스거부(DDoS) 와 2011년 3.4 DDoS, 같은 해 발생한 농협 전산망 마비, 지난해 중앙일보 해킹 사건까지, 그간 북한 소행으로 지목된 보안사고에서 사용된 수법과도 일치한다고 밝혔다.

전길수 한국인터넷진흥원 침해대응단장은 10일 조결과 긴급 브리핑에서 “3주간의 조사결과 총 76종의 악성코드가 채증됐으며 채증자료를 바탕으로 조사한 결과 북한 소행으로 밝혀졌다”고 말했다.

합동대응팀은 북한 내부에서 국내 경유지에 접속해 장기간 동안 공격을 준비한 정황을 포착했다. 그 횟수총 1590회에 달했는데, 이 가운데 13회는 북한이 직접 접속한 흔적을 발견했.

전 단장은  “대부분의 보안장비 로그는 삭제된 상태였기 때문에 공격 IP를 추적하는 것은 매우 어려웠다. 다만 원격에서 접속하기 위해 사용한 ‘원격터미널’에는 접속한 IP가 남아있었다. 해당 IP를 조사한 결과 지난 2009년 북한에 할당된 IP(175.45.178.xx)로 조사됐다”고 설명했다.

또 북한이 방송사, 금융기관을 공격하기 위해 사용한 공격경유지 49개 중 22개가 지난 2009년부터 대남 해킹에 사용된 인터넷 주소와 일치했다.

아울러 이번 사건에 사용된 악성코드 76종 중 30종 이상이 과거에도 사용된 것으로 밝혀졌으며, 감염여부를 확인하는 감염신호 생성코드의 소스프로그램은 18종이 과거와 동일한 것으로 조사됐다.

악성코드 초기 감염 경로는 아직 정확히 밝혀지지 않았다. 합동대응팀은 각 피해기관에 사용된 취약점이 모두 상이하며, 감염시기도 특정할 수 없다는 분석을 내놨다.

전 단장은 “악성코드 감염경로는 다양하게 나타났다. 특정 백신업체들의 업데이트 서버 취약점으로 인한 감염, 이메일 첨부파일 열람을 통한 감염, 웹서핑 도중 감염 등으로 조사됐다”며 “오랜잠복기간과 동시다발적으로 진행돼서 정확한 최초감염시점과 경로를 확인하진 못했다”고 전했다.

이번 해킹사건이 북한소행으로 드러난 이상, 합동대응팀은 더 이상의 수사는 진행하지 않을 계획이다. 전 단장은 “공격에 사용된 악성코드, 방법, 수단 등이 이미 확보된 상황이라 추가적인 수사를 진행하더라도 새로운 사실이 나올 것 같 않다”고 말했다.

다음은 전길수 단장과 일문일답.

- 북한이 다양한 경로와 취약점을 이용했다고 발표했는데, 자세한 내용을 알려달라

“49개의 경로지를 사용했다. 경로지의 국가는 한국을 포함해 10개국이다. 이번 사건에 사용된 취약점은 한가지가 아니다. 웹서버 취약점, 관리자PC 취약점, 서버 취약점 등 다양하게 사용됐다.”

- 13개 북한IP는 어떻게 확인했으며 C&C서버는 어떻게 발견했나.

“금융기관을 조사하다가 입수하게 됐다. 대부분의 로그가 삭제돼 파악이 힘들었으나, 원격터미널접속 시 IP는 남아있었다. 경유하는 과정에서 기술적인 문제로 수초간 북한의 IP가 노출된 것으로 보고 있다. C&C서버는 지속적으로 추적 하고 있다. 이번 경우에서도 해외에서 명령을 내린 흔적을 많이 발견했다.

- 오랫동안 잠복해 있었다고 했는데, 왜 인지하지 못했나. 추가공격이 예상되진 않는가.

“위협에 대한 대응은 지속적으로 하고 있으나, 해킹공격자체를 모두 막는다는 것은 현실적으로 불가능하다. 방어하는 입장에서는 모든 경우의 수를 생각해야 하지만 공격자는 취약점 하나만 찾으면 되기 때문이다. 취약점을 개선하는 것이 중요하다고 생각되며, 이를 해결하기 위해 노력하겠다. 사후 공격 가능성도 열어두고 있다.”

- 이번 해킹으로 정보유출에 대한 피해는 있는가.

“이번 사건은 과거 개인정보유출 사건과 달리 사회적 혼란을 유발하는 공격이다. 개인정보유출이나 기밀데이터 유출과 같은 피해는 없을 것으로 예상하고 있다.”

- 북한IP 라고 확신할 수 있는 근거가 있는가. 북한IP로 위장했을 가능성도 있어 보인다.

“이번에 발견된 북한IP는 단방향이 아닌 양방향 통신에서 발견됐다. 양방향 통신은 위조가 불가능하다.”

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널