인터파크 개인정보 유출사고도 북한 소행이다. 정부 발표에 따르면 북한은 우리나라 외교안보 공무원 90명의 이메일을 해킹해 기밀 탈취를 시도했으며, 방산업체에 침투해 국방관련 자료를 유출하고, 대기업의 PC와 서버 13만여대를 해킹하려고 시도하는가 하면, 해외에서도 은행을 해킹하고 도박사이트를 운영하는 등 불법행위를 저지르고 있다.

북한은 수 년 전부터 우리나라에 사이버 테러를 자행해왔다. 농협 전산망을 파괴하고, 방송사와 금융사 PC와 서버를 파괴했으며, 한국수력원자력을 해킹해 정부에 돈을 요구했다. 최근에는 보안회사를 해킹해 코드서명을 위조하고 국내 인터넷 뱅킹 사용자 정보를 유출하려고 시도했으며, 서울메트로 서버를 해킹했고, 우리 정부 외교·안보라인 주요 인사 수십명의 스마트폰을 해킹한 정황이 밝혀졌다.

정부 발표대로라면 북한의 해킹 실력은 세계적인 수준이다. 정부는 북한이 국가적 규모의 사이버테러를 시도하기 위해 장기간 사전 준비 작업을 하고 있으며, 김정은의 지시로 전략사이버사령부를 창설하고 사이버전 인력 6800여명을 양성하고 있다고 전한다.

분업화되는 사이버 범죄 시장…배후를 특정할 수 있을까

우리나라 사이버 보안 사고 중 대대적으로 기사화 된 사고의 상당수가 북한의 소행으로 밝혀졌다. 모든 사이버 사고가 북한소행은 아니지만, 언론에 공개되고 사회적으로 큰 이슈가 되는 것은 대부분 북한 소행이다.

정부는 사이버 사고의 배후에 북한이 있다고 발표할 때 마다 전문가의 정밀한 조사 끝에 북한 소행이라는 증거를 찾았다고 주장한다. 북한 소행이라는 증거는 ▲이전의 북한발 공격에 사용된 IP가 사용됐다는 점 ▲이전의 북한 발 공격에서 사용한 악성코드와 유사한 악성코드가 사용됐다는 점 ▲메일 등에서 북한에서만 사용하는 단어가 발견된다는 점 등을 들었다.

그런데 이 세 요소가 공격자를 특정할 수 있는 결정적인 증거가 될 수 있을까?

사이버 범죄 시장은 악성코드와 공격툴킷을 개발하는 개발조직과 실제 공격을 진행하는 공격조직으로 나뉘어 발전하고 있다. 개발조직이 개발한 공격도구(제품)를 공격자(고객)에게 판매하는 유통사도 조직적으로 성장하고 있다.

악성코드 개발조직은 새롭게 만든 악성코드가 백신, IPS, 샌드박스 등 악성코드 탐지 엔진에서 탐지 되는지 테스트 해 본 후 출시한다. 주문제작 악성코드의 경우, 타깃 시스템에서 사용하는 보안 솔루션에서만 탐지되지 않도록 만들기도 한다.

악성코드 유사성만으로 공격자를 특정할 수 있을까

악성코드를 제작할 때에는 처음부터 끝까지 새롭게 만드는 것은 아니고, 기존에 만들어진 모듈을 재사용한다. 다른 개발조직으로부터 모듈을 구입하기도 하고, 공개된 것을 사용하기도 하며, 공격 성공률이 높은 악성코드 세트를 구입해 사용하는 경우도 있다. 악성코드 제작에도 ‘애자일’ 기법이 사용되는 셈이다.

세계적으로 명성을 떨친 유명 해커들은 자신의 독특한 패턴을 악성코드에 남겨 자신이 개발한 악성코드라는 사실을 자랑하기도 한다. 방어조직은 이를 이용해 공격자 그룹의 핑거프린팅을 만들고 시그니처에 포함시켜 차단해왔다. 그러나 현재 악성코드 개발자들은 명성을 얻기보다 금전적 이익을 얻는데 더 집중하고 있으며, 자신을 드러내는 것 보다 공격 성공률을 높이기 위해 노력한다.

공격에 사용된 악성코드에서 이전 공격에 사용된 악성코드와 유사한 점이 있다고 해서 같은 개발자가 개발한 것이라고 할 수 있을까? 그럴 수도 있지만 아닐 수도 있다. 악성코드는 지하시장에서 판매되고 공유된다. 유사품은 얼마든지 나올 수 있다.

유명 개발자의 시그니처를 모방해 악성코드에 심어놓으면 사이버 경찰의 추적을 피할 수 있다. 다른 범죄자에게 자신의 죄까지 뒤집어씌우고자 하는 계산도 가능하다.

공격에 이용된 IP가 단순 경유지는 아닐까

공격조직은 개발조직으로부터 공격도구를 구입한 후 토르 네트워크를 이용해 공격하며, 공격에 성공했을 때 비트코인을 요구한다. 익명의 네트워크와 화폐를 이용해 공격 경로와 범죄자금을 세탁하는 것이다. 토르 네트워크를 이용하면 IP 추적이 불가능하다. 공격 경로에 나타난 IP 주소가 공격자와 연관돼 있다고 단정할 수 없다는 뜻이다.

토르를 이용하지 않고도 쉽게 IP 추적을 무력화 할 수 있다. VPN을 통과하면 IP 주소가 VPN 주소로 바뀌기 때문에 IP만으로 추적할 수 없다. 클라우드를 이용했을 때에도 공격자의 IP 주소가 남지 않는다. 로그를 남기지 않도록 VPN을 설정했다면 로그 분석으로 추적하는 것도 불가능하다. 클라우드를 이용하는 경우라면, 공격이 끝났거나 추적이 시작됐을 때 사용하던 클라우드 서비스를 해지하면 범죄 증거는 깨끗하게 사라진다.

국내에서 발생한 범죄라면, 수사당국이 VPN 로그를 요구하고 수사에 이용할 수 있다. 클라우드 서비스 사업자에 대해서도 수사가 가능하다. 그러나 해외에 있는 VPN 서버와 클라우드 서비스를 이용한다면, 해당 국가의 수사당국이 협조해야 하기 때문에 수사가 쉽지 않다. 중국, 동유럽, 러시아, 필리핀 등 사이버 범죄 조직이 활약하고 있는 국가라면 수사 공조가 매우 어렵다.

공격자가 자신의 위치를 노출하면서 공격하는 경우는 거의 없다. 대부분 여러 IP를 거쳐 공격하며, 여러 VPN을 이용하고, 클라우드나 호스팅 서비스를 이용해 IP 추적을 방해한다.

실력이 뛰어난 해커라면 자신이 컨트롤하는 서버를 추적 가능한 위치에 드러내지는 않을 것이다. 이전 공격과 동일한 IP가 사용됐다는 사실은, 같은 공격자가 벌인 소행이라고 추정하기보다 해당 서버가 보안에 취약해 공격에 반복적으로 이용당하고 있다고 보는 것이 합리적일 것이다.