청와대 뚫렸으나 아직도 ‘어리벙벙’
  • 이규대 기자 (bluesy@sisapress.com)
  • 승인 2013.07.02 14:43
이 기사를 공유합니다

사이버 공격자 못 찾아…국제 해커들, 첨단화하며 무섭게 진화

청와대 홈페이지가 또 먹통이 됐다. 정체를 알 수 없는 누군가가 6월25일 감행한 디도스(DDos) 공격 탓이다. 이뿐만이 아니다. 국무총리 비서실과 국가정보원 홈페이지, 언론사 서버 등 16곳 이상이 공격당했다.

당초 국제 해커집단 어나니머스(Anonymous)가 북한의 주요 웹사이트를 해킹하겠다고 공언한 날이었다. 실제로 이날 어나니머스의 공격을 받아 북한의 조선중앙통신, 로동신문, 우리민족끼리, 조선신보, 류경, 벗 등의 홈페이지가 접속되지 않았다. 그런데 같은 날 남한의 주요 웹사이트 역시 디도스 공격을 받은 것이다. 예고된 어나니머스의 해킹에 대한 보복성 사이버 테러라는 추측이 강하게 제기되는 이유다. 특히 한국전쟁 기념일인 6월25일 남한과 북한 정부의 사이트가 함께 사이버 공격 피해를 주고받은 점이 의미심장하다. 남북의 사이버 전쟁이 점입가경으로 치닫고 있는 것이다.

신종 ‘악성 스크립트’ 공격에도 속수무책

대형 해킹 사건과 남북문제가 본격적으로 관련되기 시작한 것은 4년 전부터다. 2009년 발생한 7·7 디도스 사태가 시작이었다. 청와대를 포함한 정부 공공기관과 민간 등 총 29개 홈페이지가 한꺼번에 공격당했다. 미국에서도 백악관·국방부 등 주요 국가 기관 홈페이지 10여 개가 피해를 입었다. 유례를 찾기 힘든 대규모 해킹 사건이었다. 남한·미국과 군사적으로 긴장 관계에 있는 북한이 용의선상에 올랐다. 하지만 북한의 소행이라는 결정적인 증거는 아직까지 발견되지 않았다.

2011년 3·4 디도스 사태와 농협 전산망 해킹, 2012년 중앙일보 전산망 해킹 등 대형 인터넷 해킹 사건이 한 해 1~2번꼴로 발생했다. 올해 들어 남북의 전산 해킹 사고는 더욱 빈번해졌다. 3월20일 남한의 주요 방송·금융사가 사이버 테러를 당했다. 4월에는 국제 해커집단 어나니머스가 북한의 주요 사이트를 마비시키며 존재감을 드러냈다. 그로부터 불과 2~3개월 만에 남북의 정부 기관 사이트가 대대적인 공격을 받은 것이다.

특히 청와대 홈페이지가 접속 장애가 발생할 정도의 피해를 입은 것은 2009년 7·7 디도스 사태 이후 처음이다. 복구 직전까지 청와대 홈페이지에는 ‘통일 대통령 김정일 장군님 만세’라는 글이 도배됐다. 공격자가 어나니머스라고 자처하는 메시지가 함께 뜨기도 했다. 이에 대해 대북 사이버 공격을 주도한 어나니머스측은 자신들의 소행이 아니라는 입장을 밝혔다.

청와대는 국가 단위 대규모 해킹 공격에서 자주 타깃이 된다. 국가 최고 권력기관이라는 상징성 때문이다. 2009년 7·7 디도스 사태 때 피해를 입은 이후 청와대는 이에 대응하기 위한 나름의 보안 체계를 구축했다. 그 결과 2011년 3·4 디도스 사태 당시 해킹 시도를 효과적으로 방어했다. 그런데 이번 6·25 해킹에서 청와대의 대응 시스템은 전혀 작동하지 않았다.

이유가 무엇일까. 이번에 청와대 홈페이지 해킹에 사용된 수법은 과거에 등장한 적이 없는 신종 기술이었다. 사건을 조사 중인 보안업체 안랩(Ahnlab)은 “청와대를 비롯해 국정원, 새누리당 웹사이트는 ‘악성 스크립트 방식’의 디도스 공격을 받았다”고 밝혔다. 이 방식은 종전 디도스 공격이 악성코드에 감염된 좀비 PC를 이용한 공격과는 달랐다. 해커가 특정 웹사이트에 악성 스크립트를 설치하고 사용자들이 사이트를 방문하면, 미리 설정해놓은 청와대 등 웹사이트로 공격 트래픽이 발생하는 새로운 방법이었다.

해킹의 배후에 대해서는 북한의 사이버전 부대가 유력하게 지목된다. 6월25일 해킹이 있었던 정황상 예고된 어나니머스의 대북 해킹에 대한 보복 성격이 짙다. 그러나 이는 정황에 근거한 추정일 뿐 아직 드러난 것은 없다. 보안업체 시만텍이 해킹집단 ‘다크서울’을 이번 해킹의 주범으로 꼽기도 하는 등 다양한 추측이 나오는 상황이다.

보안 전문가들은 이번 대남 사이버 해킹을 저지른 공격자들의 실력이 상당한 수준이라고 보고 있다. 이에 대해 보안업체 잉카인터넷 관계자는 “이렇게 대규모 해킹을 성공시켰다는 것 자체가 기술 수준이 높음을 드러낸다. 기존에 볼 수 없었던 새로운 방식이 등장한 것, 다양한 해킹 방식을 동시에 구사한 점을 봐도 그렇다”고 전했다.

이번 사이버 공격의 특징은 다양한 해킹 기법이 적용됐다는 데 있다. 공격자들은 악성 스크립트를 활용하는 새로운 방식과 함께, 일부 정부 기관 사이트에서 좀비 PC를 동원하는 기존 방식을 활용했다. 이뿐이 아니다. 단순한 사이트 접속 마비를 넘어서 사용자의 PC를 파괴하는 고도의 방식을 선보였다. 이에 대해 안랩 관계자는 “파일을 삭제하고 하드디스크를 파괴하는 기능, 패스워드 변경 및 바탕화면 변경 등 이전 사이버 테러에 활용된 악성코드에는 없던 새로운 방법이 동원됐다”고 밝혔다.

6월27일 인터넷 보안 상황을 모니터링 중인 한국인터넷진흥원 인터넷침해대응센터. ⓒ 시사저널 전영기
시스템 파괴 가능한 악성 코드 등장

전문가들은 6·25 해킹을 계기로 단순 디도스 공격에서 정보 파괴용 공격으로 사이버 테러 공격이 전환되고 있는 점에 우려를 표시한다. 사이버 전쟁이 현실 세계에서 본격적인 피해를 발생시키기 시작하는 징조로 해석할 수 있기 때문이다.

실제로 국가 단위의 사이버 전쟁은 좀 더 치명적인 물리적 피해를 발생시키는 방향으로 진화하고 있다. 2010년 처음 발견된 스턱스넷 웜(Sturxnet Worm)이 대표적이다. 스턱스넷 웜은 발전소·공항·철도 등의 전산 산업 통제 시스템을 파괴하기 위한 목적으로 제작된 바이러스다. 이란의 핵 관련 시설에 침투해 큰 피해를 남기면서 악명을 떨쳤다.

스턱스넷 웜은 미국과 이스라엘이 공동으로 모의한 사이버 전쟁 프로젝트 결과라는 사실이 지난해 밝혀졌다. 국가의 의지가 적극 반영돼 적국 기간산업에 물리적 위해를 입힐 수 있을 정도로 사이버 전쟁 기술이 진화하고 있는 것이다. 결국 이번 6·25 해킹에서 시스템 파괴가 가능한 악성코드가 등장한 것은 더욱 위협적인 사이버 전쟁이 남북 간에 펼쳐질 수 있다는 점을 드러낸 셈이다.

그럼에도 사이버 공격의 배후에 누가 있는지 규명하는 일은 매우 어렵다고 알려져 있다. 전문 기술을 가진 해커가 공격 시발점을 철저하게 위장하기 때문이다. 이에 대해 한 중견 보안업체 관계자는 “끝까지 IP를 추적해서 최초 근원지를 찾아야만 누구의 범행인지 확정할 수 있다. 원론적으로야 가능한 일이지만 이것이 실제로 되는 경우는 거의 없다. 해커들이 바보가 아닌 이상 자신이 밞아온 IP는 추적을 못하게끔 계속 우회하면서 흔적을 지운다”고 설명했다.

실체를 철저히 숨긴 채 익명에 의해 수행된다는 점에서 사이버 전쟁은 전통적인 의미의 전쟁보다 은밀하게 진행된다. 수법은 날로 고도화하고 있다. 이에 따라 사이버 테러의 위력은 더욱 엄청난 수준으로 커져간다. 이번 사태가 남북 사이버 전쟁의 ‘제2 라운드’를 알리는 서막이라는 분석이 나오는 이유다.

 

이 기사에 댓글쓰기펼치기