• 국가정보원이 북한인이 확실한 해커 윤모의 IP를 확인, 이를 근거로 이번 테러가 북한 측에 의해 저질러졌다는 심증을 굳힌 것으로 알려짐에 따라 IP(인터넷프로토콜) 역추적이 과연 어디까지 가능할지 또다시 관심이 모아지고 있다.

    보안전문가들은 대체로 이번 사태에 대해 IP 역추적을 통한 용의자 추정이 대부분의 DDoS 공격 사례처럼 어려울 것이라는 의견도 내놓고 있다.

    11일 정부와 보안업계 등에 따르면 국정원은 그동안 북한인으로 추정되는 해커들과 해커부대의 IP 대역을 추적해 왔으며 북한의 소행임을 자신하는 이유는 이런 IP 대역을 근거로 추적할 수 있기 때문이라는 것.

    실제 국정원은 10일 국회 정보위원회 간담회에서 이번 공격에 대해 안철수연구소의 분석결과를 토대로 "한국과 중국, 일본, 미국, 과테말라 등 19개국의 92개 IP를 통해 사이버 테러가 감행된 것으로 파악한다"고 보고했다.

    이는 PC 파일을 파괴하는 '숙주 IP'로 방송통신위원회가 파악한 분산서비스거부(DDoS) 공격에 이용된 숙주 IP까지 포함하면, 정부가 이번 사이버테러에 사용된 것으로 현재까지 조사된 숙주 IP는 총 97개다.

    국정원은 또 이들 국가에 북한은 포함돼 있지 않지만 "북한 또는 북한 추종세력이 감행한 것으로 추정한다"고 밝혔다.

    국정원은 북한이 6월 30일 한국기계연구원 광주전산망을 중국 선양에 있는 북한인 해커조직이 첫 DDoS 공격을 감행했고 당시 이용된 악성 프로그램의 '확장자'도 북한 해커들이 종전에 많이 썼던 NLS(*.nls)인 것을 확인했던 것으로 알려졌다.

    또 공격대상 목록을 담은 파일을 악성코드에서 생성하는 것은 북한이 주로 사용하는 해킹 수법이고, 북한 해커조직이 중국 등 제3국에서 활동한다는 설명도 곁들여진다.

    국정원은 북한 배후설의 근거로 해커와 그들의 해킹수법 등에 대한 기술적 분석과 현실세계에서의 정보전을 통한 북한군 총참모부 정찰국 소속해커부대의 동향과 정보를 제시하고 있다.

    하지만 국정원이 10일 오전 6시 현재 디도스 공격에 동원된 이른바 `좀비 PC' 중 비주얼 스튜디오 등 전문가용 고급 프로그램을 쓰는 컴퓨터 26대가 파괴된 것으로 파악됐고 이는 IP 역추적을 방어하기 위한 목적으로 이해된다고 국회에 보고한 것처럼 IP 역추적으로 공격자 신원을 밝히는 것은 사실상 힘들다는 것이 보안업계의 공통된 지적이다.

    이는 이번 사이버 테러의 공격자가 누구인지 IP 역추적을 통해 알아내는 것은 기술적으로 한계가 있고 오히려 북한이 배후라고 단정하는 것은 기술적 증거보다는 북한 해커부대에 대한 정보와 동향 등 최근의 정황적 증거에 기대는 측면이 크다는 것을 반증한다고 할 수 있다.

    이때문에 국회 정보위 민주당 간사인 박영선 의원은 "미 국무부는 북한으로 단정할 수 없다고 하는 등 한미 양국의 발표내용에 차이가 있다"며 "국정원이 정황증거만 갖고 얘기하는 것은 정보기관의 신뢰성과 연관지어 문제가 있다는 비판과 지적이 있었다"고 말했다.

    정보위 한나라당 간사인 정진섭 의원은 현재로선 국정원이 북한의 해킹부대를 용의선상에 올려놓았다는 수준으로 보면 된다는 의견을 제시했다. 그는 "북한에 해킹부대가 있고, 정보당국이 이를 주시하고 있는 것은 사실"이라며 "현재 사이버테러가 발생한 만큼 정보당국이 북한을 용의선상에 올려놨다는 수준으로 해석하면 될 것"이라고 말했다.

    한 업계 보안 전문가는 "이번 DDoS 공격의 특징은 조정 서버(C&C)없이 가상의 프락시(Proxy) 서버를 통해 전파된 것으로 볼 수 있다"며 "이 경우 DDoS 공격자가 누구인지, 조직적인 배후세력이 있는 지 밝히기는 매우 어렵다"고 말했다.

    이번 DDoS 공격에 사용된 악성코드가 과거 사이버공격에 사용되던 것과 달리 공격대상과 시간이 미리 정해져 있는 등 상당한 준비작업을 거친 것이라는 점은 북한이라고 지정할 수는 없지만 특정의도를 가진 해커들에 의해 미리 계획되고 짜맞춰진 것이라는 추정은 할 수 있다.

    안철수연구소 유승렬 팀장은 "공격이 시작된 지난 7일 악성코드 샘플을 입수했는데 보통 한 두개 파일에 모든 기능을 담는 것과 달리 열 개 이상의 파일이 유기적으로 기능하는 형태였다"며 "6년동안 악성코드 분석을 하고 있지만 이런 경우는 처음"이라고 말했다.

    안철수연구소는 이 같은 분석을 통해 7곳의 3차 추가 공격대상 웹사이트를 밝혀 해당 사이트가 미리 대비할 수 있도록 도움을 줬고, 악성코드가 깔린 '좀비PC'의 하드디스크 삭제도 미리 경고했다.

    또 다른 보안업계 관계자는 그러나 "이번 사이버공격의 배후가 북한이라고 단정하기는 기술적 관점에서 볼 때 매우 어려운 것이 사실"이라며 "특히 국내에서는 비교적 자유롭게 IP 추적을 할 수 있지만 해외 IP의 경우 그 이전에 이미 여러 경로를 거쳤을 경우 사실상 추적할 방법이 없다"고 말했다.

    아울러 솜씨가 좋은 2∼3명 정도의 해커들이면 충분히 이 정도의 공격 설계를 할 수 있다는 의견도 일부 보안전문가들은 내놓고 있다. (서울=연합뉴스)