정부 “북한 IP 발견…과거 해킹과 유사”

전길수 인터넷진흥원 단장이 10일 경기도 과천 미래창조과학부 브리핑실에서 ‘3·20 사이버테러’ 중간 조사 결과를 발표하고 있다. 뉴스1

북한 소행 지목 근거
“8개월 전부터 준비된 지능형 공격
6대 이상 북한PC 악성코드 유포”
발표 근거·시점·주체 두고 논란

정부가 지난달 20~26일 사이 일어난 사이버 테러의 배후로 북한을 지목했다. 해킹을 역추적하는 과정에서 북한발 아이피(IP)가 발견됐고, 수법이 기존 북한발 해킹과 유사하다는 게 근거로 제시됐다.

10일 브리핑에서 민관군 사이버공격 합동대응팀은 지난달 20일 발생한 한국방송(KBS)·문화방송(MBC)·와이티엔(YTN)·농협·신한은행·제주은행 전산망의 동시다발적 마비는 “최소 8개월 전부터 치밀하게 준비된 지능형 지속(APT) 공격 결과”라고 밝혔다. 지능형 지속 공격은 정부 또는 특정 회사 등을 타깃 삼아 지속적으로 이뤄지는 해킹 공격을 뜻한다. 이를 통해 해커가 백신 등 소프트웨어를 일괄적으로 설치하는 자산관리 서버를 장악했고, 지난달 20일 망에 접속해 있는 단말기들을 한꺼번에 먹통으로 만들었다는 설명이다.

합동대응팀은 2월22일 북한의 내부 아이피주소(175.45.178.××)가 감염된 피시(PC)에 원격조작 명령을 하달하기 위해 국내 경유지에 처음 시험 접속한 흔적을 발견했다고 밝혔다. 또 최소한 6대 이상의 북한 내부 피시가 지난해 6월28일부터 해당 금융기관에 1590회 접속해 악성코드를 유포했다고 설명했다. 인터넷진흥원 전길수 침해사고대응단장은 “공격 이튿날인 21일 해킹 흔적을 제거하기 위해 방화벽과 웹서버 로그 기록을 모두 지웠지만, 원격터미널 로그 기록이 남아 (북한 아이피를) 확인할 수 있었다”고 설명했다. 완전 범죄를 위해 흔적을 지웠지만, 통신 기술상 문제로 수초~수분 동안 북한 아이피가 노출됐다는 얘기다.

해당 아이피가 다른 해커에 의해 세탁(위조)됐을 가능성과 관련해 합동대응팀은 디도스(DDoS·분산서비스거부) 공격처럼 공격자가 명령을 내리기만 하는 단방향에서는 아이피 위조가 많지만, 이번 공격은 명령을 내리고 다시 응답하는 양방향 통신 방식이어서 그 가능성이 적다고 설명했다. 전 단장은 “위조된 아이피를 쓰면 (좀비 피시에서 보내오는) 답변이 엉뚱한 곳으로 가지 않겠냐. 아이피 세탁 가능성이 0%라고 할 수는 없지만, 매우 낮다”고 설명했다.

합동대응팀은 현재까지 파악된 공격 경유지 49개(국내 25, 해외 24) 가운데 22개(국내 18, 해외 4)가 2009년 이후 북한이 대남 해킹에 사용한 인터넷 주소와 일치했다고 설명했다. 또 북한 해커들이 고유하게 사용하는 감염 피시 식별번호(8자리 숫자)와 감염신호 생성코드의 소스 프로그램 중 과거와 동일하게 사용된 악성코드가 18종에 달했다고 설명했다. 악성코드 76종류 중 30개 이상이 재활용된 것이란 설명이다.

합동대응팀은 20일 발생한 방송사·금융기관 전산망 마비와 25일 일어난 ‘날씨닷컴’ 사이트를 통한 전 국민대상 악성코드 유포, 26일 대북·보수단체 홈페이지 자료 삭제와 와이티엔 홈페이지 자료 서버 파괴 등 4가지 사이버 범죄가 동일조직의 소행이라고 밝혔다. 동일한 악성코드 소스 프로그램이 공통으로 사용됐고, 동일한 공격 경유지가 여럿 확인됐다는 게 근거였다.

이날 브리핑에서는 발표 주체와 시기 등과 관련한 논란이 일었다. ‘범인 잡는 수사를 진행 중인 경찰청이 제외된 채 범인을 발표하는 게 맞느냐?’란 질문에 전길수 단장은 “분석 결과를 설명할 뿐, 기관 간 관계는 답변하기 어렵다”고 답했다. 그는 또 ‘국가정보원이 이번 발표를 주도한 게 맞느냐’는 질문에는 “기관 사이에 역할 분담이 어느 정도 돼 있다고 이해해달라”고 답했다. 이순혁 기자 hyuk@hani.co.kr

<한겨레 인기기사>

■ 북한 미사일 쏘면 어떻게 되나?
■ 자격 없는데도 외국인학교 입학…의사·교수 자녀 등 163명 적발
■ 위기탈출, 직접 체험이 ‘넘버원’
■ ‘쥐꼬리 금리’에 돈 빼는 고객들
■ [화보] 제주보다 가까운 섬 대마도, 어디까지 가봤니?