지난달 '3.20 전산망 대란'을 비롯해 수차례 벌어진 해킹 사건이 북한의 과거 해킹 수법과 유사하다는 내용의 조사 결과가 10일 발표됐다.
미래창조과학부는 이날 오후 브리핑에서 이와 같은 내용의 '민·관·군 합동대응팀 중간 조사결과'를 발표하고 11일 국정원장이 주재하는 '국가 사이버안전전략회의' 등을 통해 사이버 보안 안전 강화 대책을 강구하겠다고 밝혔다.
미래창조과학부의 이번 조사에서 가장 두드러지는 부분은 지난달 벌어진 일련의 해킹이 모두 동일 해커 조직의 소행이며, 2011년 농협 디도스 공격이나 2012년 중앙일보 공격에 사용된 수법과 일치하는 것을 확인한 점이다. 이를 근거로 합동대응팀은 정부가 과거 북한 소행으로 결론 냈던 농협·중앙일보 공격과 마찬가지로 이번 공격 역시 북한 측의 소행일 가능성이 높다고 밝혔다.
북한 해킹설, 근거는?
합동대응팀은 이번 해킹 사건을 조사하면서 2012년 6월 말부터 최소 6대의 북한 내부 PC가 금융업체에 악성 코드를 유포하고 PC 저장 자료를 절취한 사실을 확인했다고 밝혔다. 또 공격 주체는 '3.20 해킹' 다음 날인 21일 공격에 사용된 경유지에 남은 흔적을 파괴한 것으로 알려졌다. 이 과정에서 1590회의 접속이 이뤄졌고, 이 중 13회는 북한에서 직접 접속한 IP로 밝혀졌다는 게 '북한 소행설'의 근거다.
대응팀은 또 "공격 경유지 49곳 중 22곳이 2009년 이후 북한의 대남 해킹에 사용된 인터넷 주소와 일치했다"며 여기에 북한 해커만 고유하게 사용하는 감염 PC의 식별번호 및 북한의 과거 공격과 동일하게 사용된 18종의 악성 코드를 발견했다고 설명했다.
또한 대응팀은 지난달 20일 주요 방송사와 금융업체 공격, 25일 '날씨닷컴' 사이트 공격, 26일 대북·보수 단체 홈페이지 및 YTN 계열사 홈페이지 서버 공격 등이 모두 동일 조직의 소행이라고 밝혔다.
북한의 소행이라면 자국 IP 주소가 포착되게 흔적을 남긴 이유에 대해 대응팀은 "어떤 기술적인 문제 때문에 수 초간, 혹은 수 분간 북한 IP가 노출됐고, 그 부분이 발견됐기 때문에 확인할 수 있었다"고 설명했다.
대응팀은 해커가 공격 주소를 북한 IP로 위장했을 가능성에 대해, 이번 공격은 공격 주체가 한 방향으로 공격 명령을 내리는 방식이 아니라, 공격 명령에 상대편에서 응답하는 양방향 통신 방식을 취했기 때문에 위조가 힘든 상황이라고 설명했다. 다만 대응팀은 다른 곳에서 북한 IP를 활용했을 가능성을 0%로 단정하기는 힘들다고 덧붙였다.
액티브엑스도 해킹 공격에 활용돼
한편, 9일 MBC <뉴스데스크>가 '3.20 해킹'에 사용된 악성 코드의 유포 경로가 공인인증서 프로그램인 '제큐어웹'(XecureWeb) 액티브엑스(ActiveX)라고 보도한 것은 사실과 다른 것으로 드러났다. 미래부는 브리핑에서 "제큐어웹은 ('3.20 해킹' 당시 공격 대상인) 6개 기관에 대한 공격과는 연관성이 없다"고 밝혔다.
하지만 제큐어웹 프로그램이 지난달 25일 '날씨닷컴'에 대한 공격에서는 악성 코드의 유포 경로로 사용되었다는 사실은 확인됐다. 이에 따라 지난달 해킹 사건은 국제 표준 공인인증 절차를 무시한 채 보안 위협이 높은 '액티브엑스'(ActiveX) 설치를 강요했던 한국의 보안 문화에 경종을 울린 사례가 될 것으로 보인다.
제큐어웹은 일반 PC 이용자들 사이에서도 널리 쓰이는 보안 프로그램으로 윈도 운영체제의 인터넷 익스플로러 기반에서 액티브엑스 형태로 설치되는 경우가 대부분이다. 해커가 의도적으로 액티브엑스 프로그램을 해킹할 경우 불특정 다수의 PC 이용자들이 내려받아 악성 코드에 감염될 수 있다.
이 때문에 인터넷 익스플로러를 만든 마이크로소프트도 액티브엑스 설치에 높은 관리자 권한을 요구하는 등 주의를 당부하고 있다. 하지만 액티브엑스를 통해 공인인증을 받는 데 익숙한 한국 인터넷 문화에서는 별다른 의심 없이 제큐어웹 등의 보안 프로그램을 이용해왔다.
이번 해킹 대란에서도 악성 코드의 유통 경로가 액티브엑스로 확인되면서 한국식 보안 인증 문화의 위험성에 대한 논쟁은 더욱 커질 것으로 보인다. 사단법인 오픈넷은 지난달 말 공인인증서 사용을 정부가 법으로 강제한 것과 관련해 금융위원회에 국민 감사를 청구하기 위한 캠페인을 시작한 바 있다.
정부 "3.20 해킹 북한 소행 가능성 높아"…근거는?
정기후원
이 기사의 구독료를 내고 싶습니다.
10,000 원
결제하기
일부 인터넷 환경에서는 결제가 원활히 진행되지 않을 수 있습니다.
343601-04-082252 [예금주 프레시안협동조합(후원금)]으로 계좌이체도 가능합니다.
343601-04-082252 [예금주 프레시안협동조합(후원금)]으로 계좌이체도 가능합니다.프레시안에 제보하기
프레시안에 CMS 정기후원하기
프레시안협동조합 | 사업자번호 101-81-69524 | 대표 전홍기혜
제호: 프레시안 | 신문사업·인터넷신문사업 등록번호 서울아00083 | 창간 2001.9.24 | 등록 2005.10.12 | 발행인·편집인 전홍기혜 | 청소년보호책임자 김봉규
(04043) 서울시 마포구 서교동 395-73 BK빌딩 101호(양화로 10길 49 BK빌딩 101호) | 02-722-8494 | FAX 02-6008-8400
Copyrightⓒ Pressian Coop. All rights reserved.
전체댓글 0