[3·20 해킹]일문일답…"北소행, 위조IP일 가능성은 0%"

심나영기자

입력2013.04.10 15:12

수정2013.04.10 15:22

시계아이콘01분 49초 소요

언어변환 숏뉴스

숏 뉴스 AI 요약 기술은 핵심만 전달합니다. 전체 내용의 이해를 위해 기사 본문을 확인해주세요.

불러오는 중...

[아시아경제 심나영 기자]10일 미래창조과학부는 민관군 합동대응팀을 대표해 '3·20 사이버테러 중간 조사결과'를 발표했다. 미래부는 북한의 과거 해킹 수법과 동일하다며 이번 사이버테러도 북한 소행이라고 밝혔다.

미래부는 그 근거 네가지로 ▲북한 내부에서 국내 공격 경유지에 수시로 접속하고 장기간 공격 준비했다는 점 ▲ 공격경유지 49개중 22개가 과거 사용했던 경유지와 동일하다는 점 ▲ 악성코드 76종 중 30종 이상을 재활용했다는 점 ▲악성코드 개발작업이 수행된 컴퓨터의 프로그램 저장경로가 일치한다는 점을 들었다.

다음은 일문일답.

▲경로를 역추적한 부분에 대해서 어느 나라에서 접속을 했나. 프로그램의 어떤 취약점 이용했는지 설명해달라.
= 북한이 접속할 때 경유된 나라는 많다. 한국도 포함된다. 국외의10개국이 포함돼 있다. 애초에 여러가지 취약점을 이용했다. 악성코드를 유포하기 위해 웹서버의 취약점, 관리자 PC나 사내운영하고 있는 서버도 악용했다. 개인PC나 백신 관련 소프트웨어, 다른 소프트웨어를 배포하는 서버도 이용했다. 사전에 치밀히 준비했다.

▲ 이번에 발견된 IP가 13개인데 북한이 직접 접속한 IP는 어떻게 확인했나.
= 실제로 북에서 직접 접속한 IP자체를 추출하는 것은 어렵다. 숨기는게 해커 목적이라 노출 시키는게 추적 단서다. 해커 입장에서도 IP를 숨기려고 노력했다, 악성코드. 금융사에서 발견된 서버 접속 로그들도 사실 다 지웠다. 접속 기록들 남을 수 있는 곳이 방화벽 로그인데 그것도 다 지워서 흔적 안남았다. 다만 원격 터미널접속 로그에 흔적이 남긴 것을 발견한 것이다. 북한 IP는 외국을 통해 접속했으며 수분간 북한 IP 노출 된 것이 발견됐다.

▲악성코드 명령 내렸던 C&C서버를 발견했나.
=C&C서버는 발견됐다. C&C서버를 추적하는 것은 중요한 조사방법이다. 이번 경우는 해외에 명령 내린 흔적이 발견됐다.

▲오랫동안 공격 준비를 했는데 막을 수 있었던 것 아닌가. 추가공격 가능성은.
= 사이버테러에 관해 방어 자체는 하고 있다. 정부와 민간기업, 인터넷진흥원도 집중 모니터링하고 있다.100% 해킹을 막으면 좋은데 방어는 모든 경우의 수 다 확인해야한다. 그러나 공격은 특정 취약점만 골라 하기 때문에 뚫릴 가능성은 있다. 징후가 보이면 빨리 대응하는 것이 관건이다. 추가 공격 가능성에 대해선 대비해야한다.

▲정보 유출 피해가 발생했나. 피해가 있었다면 규모는.
= 과거와 비교하면 목적 자체가 다르다. 과거에는 개인정보 유출 매매가 목적이라면 이번에는 사회 혼란을 유발하려는 공격이다. APT 공격도 과거에는 디도스 공격이었으나 이번에는 한 기관이 아니라 다양한 기관을 공격했다. APT공격은 반드시 정보를 수집해야한다. 공격거점 확보해야하기 때문이다. 개인 PC 서버에서 시작됐다면 아이디나 패스워드, 관리자계정을 스캔하는 과정 거치게 된다. 그 정도 정보는 유출됐다고 본다.

▲ 최초 감염 경로는. 해킹을 당한 6곳 기관의 감염 경로 다 다른가.
= 6개 기관에 대해서 조금씩 차이가 있다. 공격당한 곳이 6개라 서버에 대한 취약 부분이 다 다르다. 어떤 기관에 대해서는 1차거점이 개인PC였고, 다른 경우는 외부 서버가 거점이었다.

▲후이즈라는 그룹과 이번 사이버 테러의 상관관계는 밝혀졌나.
= 후이즈는 확인된바 없다.

▲북한이라고 지목한 것이 이례적이다. 우회접속이나 프록시 가능성은?
= IP를 위조하는 것도 디도스 공격처럼 단방향일때는 위조가 가능하다. 위조한 IP는 탐지되기도 한다. 그런데 이번 공격은 양방향 통신이다. 이번에는 한쪽 명령 내리면 응답하는 것이라 위조 자체가 안된다. 양방향 통신을 하려면 위조IP로 조정하는 명령이 전송되면 응답이 딴쪽으로 간다. 그래서 통신이 안 이뤄진다. 이번에 확인된 IP는 과거 2009년에 북한 쪽으로 할당된 IP대역이었다.

▲북한 정찰총국 소행이라고 보도되는데 구체적인 공격자 신원이 파악됐나.
= 신원 자체를 파악하는 것은 PC자체를 분석하는 방법밖에 없다. 확인은 북한 IP이고 동일범 소행이다. 북한 쪽 소행이다.