네이트와 싸이월드의 가입자 3,500만 명의 정보를 빼내간 해커는 일종의 변신합체로봇, 그러니까 트랜스포머 같은 악성 코드를 이용했다. 지금까지 전혀 드러나지 않았던, 신종 악성코드에 의한 신종해킹 수법이었던 것이다.
보안 관계자에 따르면 네이트와 싸이월드의 전산시스템이 침투한 악성 코드는 한 개가 아니라 여러 개였다. 각기 다른 형태의 악성 코드 여러 개가 해킹 사고가 일어나기 수일 전에 침투해 잠복해 있다가 26일 일제히 활동을 개시했다.
악성 코드들은 역할이 분담되어 있었다. 어떤 악성 코드는 침투용 통로를 만들고, 다른 악성 코드는 정보를 수집하고, 또 다른 악성코드는 수집정보를 미미 지정한 인터넷 주소(IP)로 전송했다. 따로 잠복해있다가 해킹 활동이 개시되는 순간 완벽한 협업체계를 가동하는, 마치 지능이 있는 로봇처럼 움직였던 것이다. 한 보안 관계자는 "네이트와 싸이월드에 악성 코드는 각기 다른 기능을 수행하는 여러 개의 악성 코드가 팀을 이뤄 해킹작업을 했다"며 "이런 팀 공격은 지금까지 발견된 사례가 없었다"고 말했다.
워낙 신종 악성코드인 데다, 과거 해킹과는 다른 팀 플레이 로봇처럼 정보를 빼내다 보니 회사(SK커뮤니케이션즈)측은 해킹이 일어나고 이틀이 지나도록 악성코드를 찾아내지 못했다. 이 관계자는 "악성 코드가 28일 돌출 행동을 하는 바람에 겨우 발견하게 됐다. 만약 돌출행동이 없었다면 지금도 찾지 못했을 것"이라고 말했다.
해커는 문제의 악성코드를 원격 조정했던 것으로 보인다. 특히 SK커뮤니케이션즈 내부의 전산시스템을 손바닥 들여다보듯 파악하고 필요한 부분만 집중 공략한 것으로 알려졌다. 보안 전문가들도 이 점을 주목하고 있다. 다른 보안 관계자는 "어느 회사나 전산 시스템은 구성이 제각각"이라며 "그런데 이번 해커는 회원 데이터베이스 등 내부 시스템 구성을 너무 잘 알고 있었다"고 지적했다. 내부자 소행가능성이 제기되는 대목이다.
이런 악성코드의 특징은 정부가 북한소행으로 의심한 지난 3.4 디도스(DDoSㆍ분산서비스거부) 공격과 유사한 점도 있다. 기능이 각기 다른 악성 코드가 침투했고, 해커의 원격조정을 받은 점 등이 그렇다. 그러나 자폭하면서 파괴행위를 하지는 않았다는 점은 3.4 디도스 때와 구별된다.
보안업계에선 고도의 기법을 악성 코드에 적용한 해커를 잡기가 쉽지 않을 것으로 보고 있다. 우선 인터넷주소(IP)가 중국으로 되어 있지만 이는 그야말로 주소일 뿐이어서, 중국소행인 지 아니면 중국에 IP를 연 한국인 소행인지는 알 길이 없다. 더구나 해커가 아직까지 금품요구나 협박을 하지도 않아 정체파악은 더욱 오리무중인 상태다.
최연진기자 wolfpack@hk.co.kr
기사 URL이 복사되었습니다.
댓글0