한국일보

정부가 3ㆍ20 사이버테러를 야기한 악성코드 유포 인터넷주소(IP)가 농협내부 PC인 것을 중국이라고 발표하는 어처구니 없는 행동은 했지만, 이번 공격 자체가 해외에서 시도됐으며 상당히 정교한 기법을 동원했다는 사실은 속속 드러나고 있다.

정부는 해커가 정보탈취 등 없이 방송사와 금융기관 전산마비를 통해 오로지 혼란과 불안감만을 초래했다는 점을 들어, 여전히 북한소행에 굳은 심증을 두고 있다.

정부의 한 소식통은 22일 "주요 방송사와 금융기관을 공격한 악성코드가 무려 14종이나 되며 여러 나라를 통해 해킹이 시도된 사실을 확인했다"고 밝혔다. 해커가 추적을 피하고 혼선을 주기 위해 침투경로와 무기를 다양화했다는 얘기다.

그는 "KBS MBC YTN 신한은행 제주은행 농협 등 전산망이 마비됐던 기관을 조사한 결과 똑 같은 악성코드는 하나도 없었다. 유입경로도 모두 달랐다"고 말했다. 비록 농협이 중국IP를 무단 사용한 사실을 미쳐 확인하지 못해 국내IP를 중국IP로 잘못 발표하긴 했지만 다른 중국IP도 발견했으며, 중국이 악성코드 유입경로로 활용됐던 것은 사실이라고 이 소식통은 전했다.

통상 해커들은 추적을 피하기 위해 3~4개 나라, 많게는 7~8개 나라의 IP를 경유하는 '경로세탁'과정을 거친다. 때문에 중국을 포함해 현재까지 당국이 확인한 IP 역시 공격발원지라기 보다는 경유지일 가능성이 높다. 보안전문가인 권석철 큐브피아 사장도 "통상적으로 해커들은 다단계 과정을 거치며 IP를 세탁한다"며 "일단 피해 현장에서 발견된 IP들은 대부분 여러 단계의 경유지 중 하나에 불과할 것"이라고 주장했다.

3ㆍ20 사이버테러의 해커는 침투경로뿐 아니라 무기도 다양하게 동원했다. 이번 공격에 동원된 악성코드는 한 종류가 아니라, 무려 14종이나 된다는 것. 이미 변종까지 사용했다는 뜻이다. 한 관계자는 "이렇게 많은 악성코드를 동원한 예는 보기 드물다. 상당히 정교하고 치밀한 공격이었다는 뜻"이라고 말했다.

한국인터넷진흥원(KISA) 관계자는 14종의 악성 코드에 대해 "잠복했다가 하드디스크를 파괴하고 백신을 우회하는 지능형지속공격(APT) 기법은 모두 동일하다"고 설명했다. 바로 이러한 점 때문에 당국은 이번 공격이 동일조직의 소행으로 결론짓고 있다.

당국은 일단 IP추적을 통해 악성코드 유포자를 끝까지 추적한다는 방침. 하지만 실제로 해커를 찾아낼 수 있을지는 미지수다. 대체 몇 단계 IP세탁을 거쳤는지 알 수도 없고, 기본적으로 다른 나라인 만큼 사법권이 미치지 않아 추적자체가 힘들기 때문이다. 실제로 과거 7ㆍ7 디도스 공격 때는 무려 7개나 IP경유지가 발견됐으며, 미국 플로리다를 마지막으로 더 이상은 추적하지 못했던 것으로 전해졌다.

정부 관계자는 "이젠 어느 나라 IP가 동원됐는지 밝힐 수 없다. 해외 IP에 남아 있는 흔적을 해커가 지울 수 있기 때문"이라며 "시간이 많이 걸리겠지만 소스 분석이 끝나는 대로 공식 채널을 통해 해당 국가들에 정식 협조를 요청할 생각"이라고 설명했다.

최연진기자 wolfpack@hk.co.kr

[ⓒ 인터넷한국일보(www.hankooki.com), 무단 전재 및 재배포 금지]