[김국배기자] '3·20 사이버테러'의 공격 주체가 북한으로 드러났다. 과거 북한이 사용했던 공격수법과 유사하고 북한 내부 IP가 발견됐다는 점이 핵심 근거다.
지난 10일 해킹 진원지 파악에 애를 먹어 오던 민·관·군 합동대응팀은 정부 브리핑을 통해 이번 사태를 북한 정찰총국의 소행으로 결론지었다. 보안 전문가들은 이번 사태를 높은 수준의 전략이 있었기에 가능했다고 평가했다.
◆ 누가, 어떻게 공격했나
정부 브리핑을 통해 해킹의 근원지와 공격방법에 대한 의문은 다소 풀리게 됐다.
이전까지는 특정 보안업체의 백신 관련 배포 서버가 악성코드의 유포경로로 활용됐다는 점만이 알려졌을 뿐 누가, 어떻게 공격을 감행했는지는 의문점으로 남아있었다.
북한 IP가 확인되면서 '누가'에 관한 부분은 북한에 무게가 실렸다. 합동대응팀에 따르면 경유지를 통한 접속 1천 590회 중 13회에서 북한의 IP가 드러났다.'175.45.178.xx'는 북한의 인터넷 주소였다.
보통 해커들은 추적을 피하기 위해 여러 경유지를 통해 해킹을 시도하며 IP를 숨기기 마련이다.이번에도 역시 해커는 방화벽과 웹서버를 거치면서 남긴 로그를 모두 지웠지만 원격 터미널에 접속한 로그가 일부 남았다. 외국을 경유하며 접속하다 생긴 기술적 문제가 수초 간 북한 IP를 노출했다는 게 정부 측 설명이다.
다음은 '어떻게'에 관한 부분이다.
합동 대응팀에 따르면 공격자는 총 49개(국내 25, 해외 24)의 경유지를 통해 지난해 6월 28일부터 수시로 접속하며 공격을 준비한 것으로 밝혀졌다. 이번 공격에 이용된 악성코드도 현재까지 76종에 달한 것으로 집계됐다.
이를 통해 공격자는 목표 대상 내부 PC나 서버를 장악한 뒤 다양한 취약점을 찾아내 중앙 배포 서버 등을 통해 하드디스크 파괴용 악성코드를 내부에 뿌려 피해를 입혔다.
그러나 아직까지 최초 감염경로는 정확하게 밝혀지지 않았다. 합동 대응팀은 최초 감염이 웹사이트나 이메일에 의한 것으로 추정될 뿐이며 보안 프로그램인 '제큐어웹'은 이번 공격과 연관성이 없다고 밝혔다.
◆ 북한 내부 IP 위조 가능성 낮다
현재 북한 내부 IP의 위조 가능성은 낮게 평가되고 있는 상황이다.
10일 정부 브리핑을 통해 한국인터넷진흥원 침해대응센터 전길수 단장은 "디도스 공격처럼 단방향 공격이면 IP를 위조하는 것이 가능하나 이번 공격처럼 양방향 공격인 경우 위조 가능성은 제로"라고 전했다.
권석철 큐브피아 대표(전 하우리 대표)는 "내부 IP가 발견됐다는 건 굉장히 중요한 사실"이라며 "북한과 같은 폐쇄망은 내부 IP를 경유지로 쓴다는 것 자체가 어렵고 굳이 그렇게 어려운 길을 택한다는 것도 상식적이지 않다"며 정부 발표에 힘을 실었다.
그는 또 "IP 위조는 일반적인 기술이 아니라 어려운 기술인데 가능성은 별로 없어 보인다"고 덧붙였다.
그러나 일각에서는 여전히 위조 가능성을 배제하지 않고 있다.
다른 보안업계 관계자는 "여전히 북한 소행이라는 근거는 과거 수법과의 동일성에만 무게를 두고 있다"며 "IP위조가 불가능한 것도 아닌 만큼 최종 발표가 나올 때까진 다른 가능성도 열어놔야 한다"고 말했다.
◆ 해커 시나리오에 당했다
보안 전문가들은 이번 공격을 시나리오의 승리로 평가하고 있다. 악성코드 자체는 어려운 코드가 아님에도 8개월여에 걸친 치밀한 전략으로 해커 입장에서 큰 효과를 봤다는 이유에서다.
아직까지 명확한 피해규모는 파악되지 않았으나 지금까지 알려진 바에 의하면 약 4만 8천 대 이상의 PC와 서버가 피해를 봤고 그로 인해 방송사와 금융사의 업무에 차질을 줬다. 그나마 사회 혼란을 목적으로 한 공격으로 판단돼 정보유출로 인한 피해 가능성은 낮게 보는 상태다.
해커는 다양한 공격 경유지를 사용했다. 과거의 공격와 다르게 중국 IP는 발견되지 않았지만 한국을 포함해 미국과 홍콩 등 10개국의 IP가 사용됐다.
취약점도 다양히 활용했다. 악성코드를 유포하기 위해 웹서버에 대한 취약점을 이용했고 PC와 다른 사내 서버도 악용했다. 개인 PC와 서버의 파괴를 위해 백신 관련 배포 서버의 취약점을 쓰기도 했다.
한 보안전문가는 "백신 관련 배포 서버를 이용한 건 일반적으로 누구나 안심하고 먹는 물을 오염시킨거나 마찬가지"라며 "작은 무기를 가지고 큰 전투를 효과적으로 치룬 셈"이라고 비유했다.
시만텍코리아 윤광택 이사는 "해킹은 시나리오를 누가 잘 짜느냐가 관건인데 이를 위해 요즘 해커들은 해킹 기술보다 오히려 사회공학 기법을 연구한다"며 "보안 솔루션만으로 해킹에 대응하기는 점점 어려워지고 있다"고 강조했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기