최소 8개월 이전부터 준비해
  • ▲ 전길수 한국인터넷 진흥원 침해사고단장ⓒ연합뉴스
    ▲ 전길수 한국인터넷 진흥원 침해사고단장ⓒ연합뉴스



    북한이 직접 우리나라를 대상으로 해킹을 시도했다는 사실이 밝혀졌다.

    ▲ 3.20 방송·금융社(6개) 전산장비 파괴 
    ▲ 3.25 <날씨닷컴> 사이트를 통한 全 국민대상 악성코드 유포 
    ▲ 3.26 대북․보수단체 홈페이지(14개) 자료삭제 
    ▲ YTN 계열사 홈페이지 자료서버 파괴 

    이 사건 모두 북한 소행이다.

    왜?

    7.7
    ▲ DDoS(2009년) 
    ▲ 3.4 DDoS(2011년) 
    ▲ 농협(2011년) 
    ▲ 중앙일보(2012년) 전산망 파괴 

    이런 수차례의 대남(對南) 해킹을 시도한 북한의 해킹수법과 일치하기 때문이다.

    민관군 합동대응팀은 지난 3.20 사태 이후 발생한 해킹 수법이 북한의 과거 해킹수법과 일치하다고 10일 밝혔다. 

    [민관군 합동대응팀]은 이번 피해社 감염 장비 및 국내 공격 경유지 등에서 수집한 악성코드 76종 (파괴용 9, 사전 침투·감시용 67)과 수년간 국정원과 군(軍)에 축적된 북한의 대남(對南) 해킹 조사 결과를 종합 비교분석한 끝에 다음과 같이 발표했다. 

    북한은 [최소 8개월 전]부터 이번 APT 공격을 치밀하게 준비해왔다.
    목표 기관 내부 PC 또는 서버 컴퓨터를 장악해 자료 절취, 전산망 취약점 파악 등 지속적으로 감시했다.

    그리고 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포하거나 서버 저장자료 삭제 명령을 실행했다.



    이번 해킹이 [북한의 해킹]이라고 추정되는 증거는 다음과 같다. 

    1. 북한 내부에서 국내 공격 경유지에 수시로 접속해 장기간 공격을 준비했다. 

    작년 6월 28일 내부거점을 구축하기 위해 북한 내부 PC 최소 6대가 1,590회 접속해 방송·금융社 등에 악성코드를 유포하고 PC 저장자료를 절취했다.

    3.20 공격 다음날 해당 공격경유지를 파괴하고 흔적 제거까지 시도했다.

    금년 2월 22일 북한 내부 인터넷주소(175.45.178.xx)에서 명령 하달을 위해 국내 경유지에 처음으로 접속해 사전 시험을 진행하기도 했다. 

    2. 공격경유지 49개중 22개가 과거 사용했던 경유지와 동일하다.

    지금까지 파악된 국-내외 공격경유지 49개(국내 25, 해외 24) 중 22개(국내 18, 해외 4)가 2009년 이후 북한이 대남(對南) 해킹에 사용한 것으로 확인된 인터넷 주소와 일치했다.

    3. 악성코드 76종 중 30종 이상을 재(再)활용했다.

    북한 해커만이 사용하는 감염PC 식별 번호(8자리 숫자) 및 감염신호 생성코드의 소스프로그램이 과거 사용했던 악성코드 중 무려 [18종]과 동일했다. 

    하지만 [후이즈] 조직과는 관계가 없다.

    사이버테러 4건이 동일조직 소행이라는 근거들.

    →3월 20일 방송·금융社 공격의 경우, 대부분 파괴가 같은 시간대에 PC 하드디스크를 [HASTATI] 또는 [PRINCPES]  특정 문자열로 덮어쓰는 방식으로 수행했다.

    →사전 침투 감시용 악성코드의 개발 컴퓨터 프로그램 저장 경로 또한 일치했다. 

    "Z:WorkMake Troy"

    →3월 25일 및 26일 발생한 3건도 악성코드 소스프로그램이 방송·금융社 공격용과 완전 일치했다.

    →공격 경유지도 여러 사건에 공통적으로 사용됐다. 


    ◈한국인터넷진흥원 [전길수]단장 일문 일답

    이번 공격과 관련해 어떤 프로그램에 어떤 취약점이 있었나.

    애초부터 전체적으로 여러 취약점을 이용해 공격했다. 
    웹사이트 취약점, 관리자 PC나 사내 운영 서버, 개인 PC 서버, 백신 관련 소프트웨어의 약점을 파괴 목적으로 사용했다. 


    조사 결과 13개는 북한 IP라 했는데 어떻게 확인이 되었는지?

    실제 IP를 찾는 것은 힘든 일이다.
    IP를 찾는다는 것은 해커를 찾는 것과 마찬가지다. 

    보통은 접속 기록과 방화벽/ 웹서버 로그를 다 지운다. 
    그런데 이번에 [원격 터미널 로그 접속 기록]이 남아 찾을 수 있었다. 
    기술적 문제로 수초에서 수 분간 아이피가 노출됐다. 


    IP위조 가능성은 없는지.

    단방향 공격이면 가능하다. 
    하지만 이번엔 지령을 내리고 응답하는 방법으로 이뤄진 공격이기 대문에 위조가 힘들다고 본다. 
    위조 가능성 테스트도 여러 번 했지만 가능성이 낮았다. 


    피해를 입은 6개사의 감염 경로가 다르다는데, 어떻게 감염됐나.

    각각 취약한 부분이 다르기 때문에 경로가 다른 것이다. 
    최초 감염 경로는 밝힐 수 없다.
    취약부분을 노출시켜 논란이 될 수 있다. 


    같은 방식으로 여러 차례 공격이 되풀이 됐다.
    막을 수 없는 것이었나.
    안보에 문제가 있는 것 아닌가.

    합동 대응팀을 포함해 정부나 보안업체, KISA 등에서 상시 징후를 파악하고 있다.
    취약 부분에 있어 어떻게 보완해야 하는 것은 선결돼야 하는 것이 맞다. 
    하지만 100% 막는 것은 힘들다.
    언제나 공격 침투 경로가 있으므로 그 징후를 얼마나 빨리 찾고 대응 하느냐가 관건이다. 


    피해 규모는 어느 정도 되는지, 중요한 금융 정보 피해는 없는가.

    지난 개인정보 유출 사건처럼 매매를 위한 공격이 아니다. 
    실제 금융권 내부 DB까지 공격이 이뤄지지 못했다. 


    액티브X 보안 프로그램 일종인 제큐어웹(XecureWeb)이 악성코드 유포에 이용됐는지.

    전체적으로 이번 사건과는 관련이 없다.


    왜 오늘 발표했는지.

    특별히 다른 이유가 있다고 하기보다 결론이 충분히 나왔다고 본다. 
    일주일 후나 한 달 후에 발표한다 해도 악성코드 개수나 C&C 정보가 더 많이 나오는 정도라고 판단했다. 


    매번 사건이 터지면 북한 소행이라고 마무리 짓는 것 같다. 

    앞서 말했듯  이번 사건은 3.4-7.7- 농협-중앙일보 사건의 악성코드 구조와 동일하기 때문이다