[일문일답]"6.25 해킹 北소행..IP주소 변조 불가능했다"

[아시아경제 김영식 기자]미래창조과학부는 지난달 25일 발생한 청와대와 국무조정실 등 정부기관과 민간기관의 홈페이지 변조, 정부통합전산센터에 가해진 분산서비스거부(DDoS) 공격 등 연쇄에 대해 북한의 해킹 수법과 일치한다고 밝혔다. 사실상 북한의 소행이라고 밝힌 것이다.

미래창조과학부는 16일 브리핑을 통해 "민관군 합동대응팀의 조사결과에 따르면 지난달 25일부터 이달 1일까지 총 69개 기관·업체를 공격한 '6.25 사이버공격'이 '3.20 사이버테러'로 방송·금융기관의 전산망을 마비시킨 북한의 해킹 수법과 일치한다"고 발표했다.

해커는 최소 수개월 이상 치밀하게 공격을 준비한 것으로 분석됐다. 국내 P2P·웹하드 서비스, 웹호스팅 업체 등 다중 이용 사이트를 사전에 해킹해 다수의 공격목표에 대한 보안 취약점을 미리 확보하는 방식을 사용했다. 또 국제해커집단 '어나니머스' 이미지를 사용해 공격주체 판단에 혼란을 유도했다고 미래부는 설명이다.

박재문 미래부 정보화전략국장은 "'6.25 사이버공격' 당시 서버공격에 활용한 국내 경유지의 IP와 이번달 1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP를 발견했다"면서 "서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요파일 삭제, 해킹 결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징이 '3.20 사이버 테러'와 동일했다"고 말했다.

미래부 측은 "사이버안보 컨트롤 타워인 청와대를 중심으로 국정원, 정부부처간 대응체계를 확립하고, 사이버 위협 조기 경보 기능과 동시 상황전파 체계를 구축하겠다"며 "지능화되고 있는 사이버공격을 효과적으로 차단하는 첨단 대응기술 연구 및 전문인력 확충 등 사이버안보 기반을 지속적으로 보완해 나갈 것"이라고 밝혔다.

이하는 박재문 정보화전략국장과 전길수 한국인터넷진흥원(KISA) 침해사고 대응단장의 질의응답이다.

▲북한이 사용한 IP를 발견했다는 게 가장 중요한데 앞서 3.20 때도 잠시 노출된 것을 추적했다고 했다. 이번에는 어떻게 추적했는가.
= IP는 예전 3.20 때와 거의 유사하게 발견됐다. 웹서버나 로그를 바로 보고 얻은 건 아니며, 실제 시스템의 파괴행위가 이뤄진 뒤 복구 과정에서 일부 로그를 채취할 수 있었고 이 과정에서 북한이 이용한 IP를 발견했다. 3.20 때와 동일한 것은 아니고 북한의 IP 대역으로 파악하고 있는 것이 나왔다.

▲6.25 사이버테러에서 청와대 홈페이지가 공격당한 뒤 개인정보가 유출됐다고 했다. 해커들이 기밀을 빼내려 했다는 흔적을 찾았는가. 또 추정이라고 했는데 확신하지 않는 이유는 무엇인가.

= 유출된 사실은 확인했다. 개인정보는 해킹 과정에서 유출된 것인지 사전에 유출된 것인지는 확실치 않다. 추정이라 함은 100% 확증할 수 없기 때문이다. 과거 3.20 때나 농협 해킹 때도 지금까지 발견된 증거로 볼 때 북한의 소행으로 추정한다고 말할 수 있다는 것이다. 시점에 대해서는 정확히 확인할 수 없었다.

▲3.20 때도 북한의 소행과 유사하다고 했다. 이번에도 북한의 소행이라고 보는 더 구체적인 이유를 말해 달라.

= 북한이 사용한 IP가 발견된 정황이 있었고, 북한 IP가 일부 피해기관과 악성코드 경유지에서 발견된 것이 결정적 증거다.

▲ 북한 소행으로 추정했지만 IP주소도 다 변조 가능한 것 아닌가.

= IP주소도 변조 가능하다. 이는 단방향이었을 경우다. 이번에는 IP와 서버와의 통신이 양방향으로 이뤄졌기 때문에 변조가 불가능했던 것으로 파악했다.

▲비교 대상이 된 북 아이피는 언제 나온 건가.

= 과거부터 정보기관이 확보하고 있는 아이피 대역이다.

▲새누리당 당원명단과 청와대 회원정보 350만건이 유출됐다고 알려졌는데, 실제 피해는 어느 정도인가.

= 개인정보 유출 규모는 정확히 파악되지 않았다. 해당 기관에서 자체적으로 밝힌 것 외에는 시스템 자체가 파괴된 경우에 피해규모를 파악하기 어렵다.

▲공격자가 최소 수 개월 전부터 준비했다고 했는데 3.20 이전인가 이후인가.

= 이전이다. 최소 6개월 전으로 파악하고 있다.

▲ 3.20 이후 100억원 가량 추경 예산을 확보한 걸로 아는데 어떻게 쓰였으며, 내년 예산에 사이버보안 관련 예산의 증액을 요청했는가.

= 예산은 KISA 침해대응센터 사전탐지시스템 구축, 악성코드 정보공유시스템 구축, 최정예 정보보안인력 양성 등으로 구성돼 있다. 내년 사이버보안종합대책에 따라 관련 기관과 미래부가 합동으로 사이버보안 탐지시스템 신규 구축, 국가간 정보공유 시스템 구축, 정보보안인력양성, 교육훈련장 등에 대한 부분을 요청해 놓고 있다.

▲ 북한 소행으로 추정된다면 다음 절차는.

= 민관군 합동대응팀은 공격주체에 대한 발표를 먼저 내놓은 뒤 진화된 수법에 대해서는 차후 분석과정을 거쳐 어떻게 쓰였는지 등을 조사할 계획이다.

▲ 보안전문가들은 이미 정부기관 등 주요 네트워크에 악성코드가 침투해 있고 정치적으로 민감한 시기마다 터뜨리는 게 아니냐는 의문을 제기하고 있다. 일부에선 국가기간망이 이미 장악된 게 아니냐는 말도 나온다. 근본적 해결책은 뭔가.

= 가장 고민하는 부분이다. 최근의 공격은 악성코드를 먼저 심어놓고 잠복기를 거치 형태다. 정부차원에서는 점검절차를 강화하고 기관별로 보안정책이나 대책 등을 강화하고 있다. 이런 사태가 재발되지 않도록 재발 방지 대책도 세우고 있다. 한편 국가망을 구분해 판단할 필요가 있다. 대국민 서비스와 관련된 시스템이 있고, 국가조직 업무를 처리하는 망이 별개다. 대부분 공격은 분리된 국가 기간망에 대한 공격이 아니라 웹 서버에 대한 공격이었다.

▲이번 합동대응팀에 검·경 수사당국도 포함된 걸로 안다. 수사 결과에 따라 또 다른 브리핑이 열리는가. 또 이번 발표 이후 수사가 마무리되는가.

= 수사는 중단되지 않는다. 이번에 확인된 정보는 시스템 분석과 로그 분석 등으로 이뤄진 것이고 해외 서버도 계속 확보해 조사할 예정이다.

▲ 6.25 사이버공격이 3.20 이전부터 준비됐다면 잠재된 공격 가능성을 파악 못했다는 말인데 그 원인은 뭔가. 재발할 될 가능성은 있는가.

= 사전에 공격을 탐지할 수 있다면 좋겠지만 공격자도 탐지되지 않도록 계속 조작하기에 매우 어렵다. 손놓고 있어야 하는 건 아니다. 계속 보안 조치를 강화하고 기술적으로도 공격을 사전에 막기 위한 연구개발과 노력을 하고 있음을 이해해 달라.

김영식 기자 grad@