• 사이버 공격받은 北네트워크, 사실상 '좀비(zombie)'로 전락!

    북한의 컴퓨터-네트워크망 주기적으로 고장 일으킬 가능성 높아.

    김필재     
      
    북한의 사이버 공간이 초토화됐다. 오바마 대통령이 미국을 겨냥한 북한의 사이버 공격에 대해 ‘비례적 대응(propotional response)'을 언급한 이후 벌어진 일이다. 만일 미국이 북한의 네트워크를 공격했다면 사이버 공격을 받은 북한의 모든 컴퓨터는 교체대상이 된다.

    사이버전 무기체계는 일반적으로 공격대상에 적용되는 기술방식에 따라 크게 ‘소프트웨어’ 무기와 ‘하드웨어’ 무기로 구분한다. 사이버 공간에서 공격의 시작과 끝이 이루어지면 소프트웨어 방식의 무기체계라고 하며, 물리적 공간에서 사이버 공간으로 공격이 이루어지면 하드웨어 방식의 무기체계라 한다.

    소프트웨어 무기체계로는 해킹(Hacking), 컴퓨터 바이러스, 인터넷 웜(Internet Worm), 메일폭탄(e-mail Bomb), 논리폭탄(Logic Bomb), 디도스(DDoS 분산서비스 거부)공격, 객체이동 가상무기(AMCW, Autonomous Mobile Cyber Weapon), 악성코드(Malicious Code) 등이 있다.

    하드웨어 무기체계로는 GPS 재밍(Global Positioning System Jamming), EMP(electromagnetic pulse)폭탄, 나노머신(Nano machine), 치핑(Chipping), 고출력전자총(HERP, High Energy Radio Frequency Gun) 등이 존재한다.

    미국으로 추정되는 對北사이버 공격의 주체는 공격 과정에서 아래와 같은 다양한 종류의 사이버 무기를 심었을 가능성이 높다.

  • 북한이 영화 '인터뷰'를 해킹한 것으로 추정되는 소니 픽처스 건물.
    ▲ 북한이 영화 '인터뷰'를 해킹한 것으로 추정되는 소니 픽처스 건물.

    컴퓨터 바이러스: 사이버 공격자가 고의적으로 컴퓨터 시스템의 부트(boot) 영역, 메모리 영역, 파일 영역 등에 기생하면서 자기 증식 및 복제를 통해 다른 컴퓨터를 감염시키는 악성 프로그램이다. 컴퓨터 바이러스는 웜과 트로이 목마의 형태를 닮아가면서 다른 프로그램의 실행이 없어도 스스로 이동하거나 실행이 가능한 형태로 발전하고 있다.

    또한 해킹기법과 융합해 점점 더 지능화되고 고도화되면서 응용프로그램의 취약점을 이용하거나 보안프로그램을 삭제 또는 기능을 마비시켜 보안프로그램이 자신을 탐지하지 못하도록 하는 공격형 바이러스로 진화하고 있다. 이러한 컴퓨터 바이러스는 네트워크를 통해 전파되고 사용자가 모르는 사이에 개인정보 유출이나 정보 파괴 등 다양한 형태의 피해를 입힐 수 있다.

    인터넷 웜(Worm): 네트워크 상에 연결된 다른 컴퓨터들에 자신을 스스로 복제해서 감염시키는 악성 프로그램이다. 웜은 컴퓨터 바이러스처럼 자신을 복제하는데, 가장 큰 차이는 외부 명령 없이 스스로를 복제한다는 점이다. 감염방법은 주로 전자메일을 통해 전파되며, 첨부된 실행파일을 실행시켜야만 전파되는 것부터 메일을 여는 순간 감염되는 것까지 다양하다.

    또한 운영체제(OS)가 윈도우즈 계열일 경우 파일공유 관련 네트워크 서비스를 실행시켰을 때 이들을 통해 감염되기도 한다. 최근에는 바이러스나 해킹기술과 융합해 사용되고 있어 전파력‧파괴력이 점점 강해지고 있는 가장 위험한 사이버 공격으로 평가받고 있다.

    웜 형태의 대표적 사이버무기로는 ‘스턱스넷’(Stuxnet)이 있다. 2010년 6월 컴퓨터 보안회사 ‘VirusBlokAda’에 의해 처음 발견되었으며, 바이러스 코드 내에 Stuxnet 키워드가 자주 등장하는 특징 때문에 스턱스넷이라고 명명됐다. 스턱스넷은 마이크로소프트(MS) 윈도우 운영체제(OS)의 ‘제로데이’ 취약점을 통해 PC에 감염되며 감염된 PC에 연결된 USB등을 통해 추가감염이 이뤄지는 형태이다.

    스턱스넷의 가장 큰 특징은 공격 시 모든 시스템을 대상으로 하는 것이 아니라 산업시설의 전반적인 현황을 감시하고 제어하는 ‘스카다’(SCADA) 시스템만을 노린다는 점이다. 스턱스넷에 감염되면 스카다 시스템이 무력화되어 산업시설 등이 컨트롤 되지 않는 등 큰 피해가 발생할 수 있다. 일반적으로 스카다 시스템은 외부와 연결되지 않은 폐쇄망 형태로 구성되어 있기 때문에 보안위협으로부터 안전하다는 인식이 있었다.

    그러나 스카다 시스템의 안전을 위협하는 요소는 주로 시스템 노후화 및 장비고장에 따른 시스템 유지보수를 위한 외부인의 접근과 시설 내부자의 소행일 가능성이 매우 높다. 스턱스넷의 경우 공격 시 목표물을 감염시키기 위해 직접 침투해야 하며, 주로 USB와 같은 이동식 저장매체를 통해 감염된다. 일단 스턱스넷이 목표시스템 환경 내의 컴퓨터 한대만 감염시키면, 네트워크에 연결되어 있는 모든 컴퓨터에 침투가 가능하다.

    ▲e-메일폭탄: 짧은 시간에 수백, 수천 통의 전자메일을 발송해 시스템 장애를 발생시키는 것을 이메일 폭탄이라고 한다. 공격방법은 바이러스 및 대용량의 파일을 첨부한 전자메일을 무차별적으로 전송해 사용자의 시스템 메모리 사용을 상승시키거나 시스템 장애를 유발시킨다.

    또한 수신자 주소로 수많은 메일링(mailing) 그룹에 가입해 반복적으로 악의적 내용의 메일을 전송하는 방법과 상대방 수신자 주소로 많은 사람들에게 대량의 메시지를 송신해 대량의 항의우편을 상대방이 수신하도록 유도하는 방법 등이 있다.

    ▲논리폭탄: 해커나 크래커가 프로그램 코드의 일부를 조작해 이것이 소프트웨어의 어떤 부위에 숨어 있다가 특정 조건에 달했을 경우 실행되도록 하는 것이다. 즉 논리폭탄이라는 용어 그대로 프로그램에 어떤 조건이 주어져 숨어 있던 논리에 만족되는 순간 폭탄처럼 자료나 소프트웨어를 파괴해 자동적으로 잘못된 결과가 나타나게 하는 사이버 무기이다. 
     
    디도스(DDoS)공격: 분산서비스거부(DDos: Distributed Denial of Service) 공격은 해커가 여러 대의 장비를 이용, 엄청난 분량의 데이터를 하나의 서버(server)에만 집중적으로 전송해 특정 서버의 정상적인 기능을 방해하는 공격 행위를 의미한다.

    즉 특정 홈페이지를 무력화하기 위해 악성코드에 감염된 PC를 이용해 대량의 접속신호를 보내는 사이버 테러 기법이다. 공격당한 홈페이지는 처리 용량을 넘어서게 되면 접속이 느려지고 결국 사이트 접속이 불가능해 진다. 이러한 공격에 사용되는 해킹툴(tool)로는 ‘트리누’(Trinoo), ‘TFN’(Tribe Flood Network) 등이 있다.
     
    김필재(조갑제닷컴) spooner1@hanmail.net
    [조갑제닷컴=뉴데일리 특약]