북한의 3.20 사이버테러는 이미 8개월 전부터 시작되고 있었다. 그만큼 장기간에 걸쳐 치밀하게 준비 된 공격이었다는 뜻이고, 동시에 우리나라 주요 공영방송사와 금융기관 및 보안업체들은 무력하기만 했다.
민관군 합동대응팀에 따르면 3.20 사이버테러의 시작은 작년 6월28일. 그 때부터 북한 내의 PC 최소 6대가 국내 금융기관 전산망에 접속을 시도했는데, 밝혀진 회수만 무려 1,590회나 됐다. 북한은 이를 통해 공격용 악성코드를 전산망에 심어 놓고, PC에 저장된 관리자 계정 등 자료를 빼갔다.
다만 북한이 어떤 과정을 통해 접속을 할 수 있었는지, 1차 침투 과정은 밝히지 못했다. 한국인터넷진흥원(KISA) 관계자는 "피해를 입은 금융기관 직원들이 내부PC로 외부사이트에 방문했거나 이메일을 통해 전달된 인터넷주소를 눌렀을 때 악성코드에 감염됐을 것으로 본다"고 말했다.
전산망 침투에 성공한 북한 해커들은 3월20일 전산망 다운이 일어나기 전까지 전산 취약점 등을 정밀 사전 탐지했고, 허점을 이용해 악성코드 76종을 배포했다. 악성코드 유포는 ▦농협처럼 내부에 설치된 보안업체(안랩)의 업데이트 관리서버(APC서버)를 이용한 경우도 있고 ▦방송사들은 기사전송을 위해 외부에서 접속한 서버를 이용한 경우도 있었다.
합동대응팀이 북한소행임을 찾아낸 건, 피해 금융기관의 서버를 분석한 결과 북한 내 인터넷주소(IP)를 확보하면서다. 전길수 KISA 침해사고대응단장은 "북한은 3.20 사이버테러 이후 대부분 접속흔적을 지웠다. 하지만 통신기술 문제 때문에 수초~수분간 북한 IP가 원격 터미널 접속로그에 노출되는 바람에 이를 찾아낼 수 있었다"고 말했다. 그는 또 "2월22일 북한IP에서 공격을 위해 국내 경유IP에 사전 접속한 흔적도 발견됐다"고 덧붙였다.
일각에선 이것만으론 북한 소행임을 단정할 수 없다는 지적도 나왔다. 한 보안업체 관계자는 "IP조작이 얼마든지 가능하기 때문에 다른 해커들이 북한 내 IP인 것처럼 바꿔놓았을 수도 있다"고 말했다.
하지만 미래창조과학부 관계자는 "디도스처럼 한 방향으로 공격명령이 내려오는 경우는 IP를 조작할 수 있지만 이번 악성코드처럼 명령을 보내고 정보를 받는 양방향 통신을 할 경우 IP를 조작하면 아예 정보를 받지 못하기 때문에 IP조작은 할 수 없다"고 강조했다.
북한은 이번 공격을 위해 무려 49개의 경유IP를 쓴 것으로 드러났다. 국내IP가 25개였으며, 미국 홍콩 등 해외 10개국의IP도 24개나 동원됐다. 미래부 관계자는 "이 중 국내 18개, 해외 4개 등 22개 IP가 2009년 이후 북한이 대남 해킹에 사용한 IP와 일치했다"고 전했다.
북한은 경유 IP 뿐 아니라 악성코드도 2009년 7.7 디도스 대란 등에 사용했던 악성코드를 '재활용'했다. 전 단장은 "이번 공격에 쓰인 76개 악성코드 가운데 30종 이상을 재활용했다"고 설명했다.
이번 사이버 테러의 피해집계 결과, ▦방송사와 금융기관의 PCㆍ서버 4만8,700여대가 파괴됐고 ▦3월25일 날씨닷컴이 해킹당하면서 유포된 악성코드에 개인 PC 800여대가 감염됐으며 ▦디지털YTN의 홈페이지 자료서버도 58대 파괴된 것으로 드러났다. 그러나 금융정보와 개인정보가 유출된 흔적은 없었다고 합동대응팀은 전했다.
정부는 이날 조사결과발표로 3.20 사이버테러에 대한 조사를 마무리 지을 예정이다. 미래부 관계자는 "국내 조사에서 북한 소행이라는 충분한 증거가 나왔기 때문에 해외 협조는 아직까지 검토하지 않고 있다"고 강조했다.
최연진기자 wolfpack@hk.co.kr
기사 URL이 복사되었습니다.
댓글0