원전 해킹 패턴, 디도스 대란과 닮았다

보안 전문가들 분석

악성코드로 시스템 교란 후 정보 빼 가, 여러 우회 IP 거쳐 흔적 감춘 듯

디도스 대란 때 날짜 바꿔 파괴 명령… 예고한 성탄일 지나 시도 가능성도

원전 해킹에 대한 실체가 오리무중인 가운데 보안 전문가들 사이에 이번 원전 해킹이 과거 디도스(DDoSㆍ분산서비스거부) 공격 패턴과 유사하다는 의혹이 제기됐다. 즉, 악성코드를 이용해 시스템을 교란시킨 뒤 정보를 빼가는 식이다. 이 과정에서 해커가 여러 우회 인터넷주소(IP)를 거쳐 흔적을 감췄을 가능성이 높아 중국발 IP만으로 북한 소행을 단정짓기에 무리라는 지적이다.

25일 보안전문가들은 이번 원전 해킹의 패턴이 2009년 발생한 7.7 디도스 대란이나 2011년 3.3 디도스 대란과 흡사하다고 보고 있다. 여러 기능을 가진 복수의 악성코드가 침투해 복합적으로 시스템을 교란한 뒤 정보를 빼갔을 가능성이 높다는 분석이다. 여기서 디도스 대란 때와 달리 다수의 좀비PC를 이용해 여러 사이트를 무차별 공격하는 기능만 빠진 셈이다.

보안전문가들은 이 과정에서 해커가 여러 단계의 우회 IP를 거치면서 흔적을 감췄다면, 중국 IP는 1차 경유지일 가능성이 크다고 보고 있다. 이를 단적으로 보여주는 사례가 7.7 디도스 대란이다.

당시 해커가 국내외 사이트들을 무차별 공격하기 위해 이용한 IP는 700개 이상이었고 이 중 상당수는 중국 IP여서 북한이 배후로 강한 의심을 받았다. 그러나 정작 공격 명령은 미국에서 떨어진 것으로 뒤늦게 확인됐다. 전 방송통신위원회 고위 관계자는 "당시 외교 문제 때문에 정부가 공식 언급을 하지 않았으나 미국 플로리다의 데이터센터 등이 공격지였다"며 "이 곳에 보관된 영국 방송업체와 미국 유명 정보기술(IT) 업체 등 다수의 서버들이 공격에 이용된 것으로 본다"고 말했다.

이렇게 되면 북한 이외 지역에서 해킹 공격이 시작됐을 가능성도 있다. 이 관계자는 "1차적으로 중국 IP들이 디도스 공격에 동원됐고 배후에 영국 가상사설망(VPN) 업체 IP가 발견됐으며, 미국 마이애미 데이터센터 IP가 공격 진원지로 지목됐다"며 "당시 외신들은 여러 이유로 영국 방송업체만 간간히 언급했으나 미국 유명 IT업체들의 서버도 일부 있었다"고 밝혔다.

만약 원전을 해킹한 해커가 디도스 대란의 공격 패턴을 따른다면 당초 예고한 크리스마스에 원전 공격이 이뤄지지 않은 점도 안심하기 이르다. 보안업체 A사 대표 한 모씨는 "3.3 디도스 대란 때 해커는 악성코드에 내장된 2차 공격 날짜를 바꿔서 파괴 명령을 내렸다"며 "침투한 악성코드가 아직 남아있고 원격 명령서버와 교신을 하면서 다른 악성코드를 끌어들인 경우 예고한 크리스마스를 지나서 추가 공격 등을 시도할 수 있다"고 강조했다.

최연진기자 wolfpack@hk.co.kr