“해킹수법·경유지도 기존 北 사이버공격과 일치”

국내 방송·금융사의 전산망을 마비시킨 이른바 ‘3·20 사이버테러’가 북한 소행이라고 정부가 판단한 이유는 역추적 과정에서 북한 내부 인터넷프로토콜(IP)이 발견되는 다양한 근거들이 발견됐기 때문이다.

10일 미래창조과학부 등 민·관·군 합동대응팀의 조사결과 발표에 따르면 3.20사이버 테러 넉달전인 지난 2월 22일 북한의 내부 IP주소(175.45.178.xx)가 감염 PC 원격 조작 등 명령하달 위해 국내 경유지에 처음 시험 접속한 흔적이 발견됐다.

이 공격 경유지에서 안랩 등 보안프로그램의 패치서버 등을 통해 국내 업체에 공격을 시도한 것으로 보인다.

또다른 근거로는 최소한 6대 이상의 북한 내부 PC가 8개월 전인 지난해 6월 28일부터 금융사에 1천590회 접속, 악성코드를 유포했으며 이중 13회에서 북한의 IP가 드러난 점을 꼽을 수 있다.

북한은 공격 다음날인 지난달 21일 해당 공격 경유지를 파괴해 흔적 제거까지 시도하는 치밀함을 보였다.

대응팀은 해커가 방화벽과 웹서버를 거치면서 남긴 로그를 모두 지웠지만 원격 터미널에 접속한 로그가 일부 남아있었다고 설명했다. 통신상의 문제 때문에 수초∼수분간 북한의 IP가 노출됐다는 것이다.

정부는 이 IP가 위조된 것일 가능성을 염두에 두고 조사를 진행했으나 이번 공격이 단방향 공격이 아니라 양방향 통신을 바탕으로 한 공격이라는 점에서 위조 가능성은 낮다고 결론을 내렸다.

디도스(DDoS, 분산서비스거부) 공격처럼 공격자가 명령을 내리기만 하면 되는 공격에서는 IP를 위조할 수 있지만, 이번 공격은 공격자가 명령을 내리고 나서 답을 받아야 하는 방식이기 때문에 IP를 위조했을 가능성은 극히 낮다는 게 정부의 판단이다.

정부 관계자는 “위조된 IP를 쓰면 답변이 엉뚱한 곳으로 갈 수 있다”며 “IP 세탁 가능성을 0%라고 할 수는 없겠지만 가능성이 매우 낮다”고 덧붙였다.

이밖에 대응팀은 지금까지 북한 소행으로 결론이 난 과거 공격과 이번 사이버테러의 경유지와 수법이 일치하거나 상당 부분 유사하다는 점도 북한의 해킹으로 추정되는 증거로 들었다.

이번 공격에 사용된 국내외 공격 경유지는 국내 25곳과 해외 24곳 등 모두 49곳으로, 이중 국내 18곳과 해외 4곳 등 22곳이 과거 북한의 대남 해킹에 이미 사용된 것으로 대응팀은 파악했다.

또 대응팀은 이번 해킹에서 사용된 악성코드 76종 중 과거의 것을 재활용한 것이 30종 이상이었다고 공개했다.

연합뉴스