北 내부 PC 이용 직간접 공격… 8개월 이상 준비

북한은 3·20 사이버 테러를 위해 8개월 이상 치밀한 준비를 한 것으로 밝혀졌다.

민·관·군 합동대응팀은 이번 사이버테러 피해 PC 등에서 수집한 악성코드 76종(파괴용 9종, 사전침투·감시용 67종)과 국정원, 군 사이버사령부 등이 축적해온 북한 해킹 자료 등을 종합적으로 분석해 이 같은 결론을 도출했다.

북한은 지난해 6월 28일부터 북한 내부 PC 6대를 이용해 직접 또는 해외 경유지를 거쳐 1590회 접속을 시도했다. 이 중 13개 인터넷프로토콜(IP)이 북한 것으로 확인됐다.

해커는 공격을 하고 나서 자신을 숨기기 위해 IP 주소를 우회하거나 자신의 접속 기록을 삭제한다. 이번 사이버 테러에서도 서버, 방화벽 등에 접속한 기록은 모두 삭제했다. 하지만 지능형지속(APT) 공격은 공격 명령을 내리고 이에 대한 회신을 받아야 하기 때문에 일시적이나마 실제 IP 주소가 노출될 수밖에 없다. IP를 우회하면 명령에 대한 회신이 우회한 IP로 가기 때문이다. 전길수 한국인터넷진흥원 침해사고대응단장은 “기술적 문제 때문에 수초간 북한 IP가 노출돼서 확인할 수 있었다”고 설명했다.

북한은 또 아이디를 국내 보안업체인 ‘안랩(AhnLab)’으로 위장해 공격을 감행했다. 이 아이디는 실제 안랩과는 전혀 무관한 것으로 해커가 임의로 만든 이름이다. 하지만 피해기관 입장에서는 안랩의 이름 때문에 전산망에 이상이 생겨도 공격이 아니라 정상적인 보안 활동이라고 판단할 가능성도 있기 때문에 이점을 노리고 아이디로 사용한 것으로 풀이된다.

북한은 공격 방식도 다양했다. 최초 감염경로를 하나로 특정할 수 없는 이유도 북한이 각 기관을 공격하기에 앞서 취약점을 파악해 이에 맞게 공격을 가했기 때문이다. 합동대응팀은 지난달 25일 ‘날씨닷컴’ 사이트를 통한 전 국민 대상 악성코드 유포, 26일 대북·보수단체 홈페이지 14곳 자료 삭제, YTN 계열사 홈페이지 자료 서버 58대 파괴 등도 모두 북한의 소행이라고 결론지었다.

방송사와 금융사 공격의 경우 파괴가 같은 시간대에 PC 하드디스크를 ‘HASTATI’ 또는 ‘PRINCPES’ 등 특정 문자열로 덮어쓰는 방식으로 진행됐고, 악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로가 일치했다. 25일과 26일 발생한 3건의 공격도 사전침투, 감시용 악성코드 소스프로그램이 20일 공격에 사용된 것과 일치했고 공격 경유지도 재사용된 사실을 확인했다는 것이 근거다.

합동대응팀은 조사 과정에서 섣부른 대응으로 비난을 받기도 했다. 해킹 사건 다음날인 21일 대응팀은 해킹으로 악성파일이 농협 서버에 유입된 과정에 중국 IP가 있었다고 밝혔다. 그러나 정부는 하루 만에 농협 내부직원의 사설 IP를 중국 IP로 오인했다고 해명했다.

김준엽 기자 snoopy@kmib.co.kr



GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재, 수집, 재배포 및 AI학습 이용 금지