미국 정부가 2009년 이후 발생한 대규모 해킹 공격의 용의자로 북한 정부를 지목했다. 북한 정부 산하 해킹 조직 이름 ‘히든 코브라’를 공개하며 북한의 추가 공격에 대한 사이버 보안 강화를 주문했다.
외신에 따르면 미 국토안보부 산하 컴퓨터비상대응팀(US-CERT)과 연방수사국(FBI)이 이같은 내용의 경보를 발령하면서, 2009년 이후 미국을 비롯한 세계 주요국의 언론사, 항공우주 관련 기관, 금융회사, 주요 기반시설 등을 상대로 해킹 공격을 시도했다고 밝혔다.
미국은 지난 2014년 소니픽처스 해킹 사고를 조사하고, 북한 해커 조직의 소행이라고 단정한 바 있으며, 이 조직은 7·7 디도스 공격, 한국수력원자력 해킹 공격, 우리나라 군 해킹 공격 등을 주도해 온 것으로 알려진다. 또한 2016년 방글라데시 중앙은행 해킹의 배후로 지목됐으며, 지난 5월 발생한 워너크라이 랜섬웨어를 저지른 일당으로도 지목된다.
정황증거만으로 배후 특정 못해
그동안 국내에서 발생하는 대형 보안 사고는 거의 대부분 북한 소행으로 지목됐으나, 이것이 정치적으로 악용되거나 해석돼 국내에서는 ‘북한 발 해킹’이 그리 설득력을 갖지 못했다. 그러나 이번에 미국 정부가 북한 해커조직을 공개하면서 북한의 사이버전 능력이 실제로 공식화 되고 있는 모양을 갖추고 있다.
더불어 미국의 보안기업들도 잇달아 북한의 사이버전 능력을 분석하면서 정치자금을 마련하기 위해 다양한 사이버 공격을 벌이고 있다고 분석하고 있기도 하다. 북한이 잇달아 미사일 발사 실험을 하면서 그 시기에 맞춰 사이버 공격을 벌임으로써 자국 국민을 단결시키고 체제 보장을 유지하려고 한다는 주장도 설득력을 얻어가고 있다.
워너크라이 공격을 전후로 비트코인이 최대 400만원까지 뛰는 이상 현상을 보였으며, 현재 이더리움의 급등이 심상치 않은 모습을 보이고 있다. 이와 함께 북한에서 비트코인 거래가 일어나고 있다는 조짐도 나와 가상화폐를 통한 돈세탁으로 외화벌이에 나서고 있다는 주장도 나온다.
그러나 북한을 공공의 적으로 돌리고 모든 공격을 북한 소행으로 몰고 가는 것은 주의해야 한다는 주장도 나온다. 사이버 공격은 얼마든지 증거를 조작할 수 있으며, 다른 공격조직의 소행으로 몰아갈 수도 있다. 또한 북한은 거의 매달 미사일 발사 실험을 하기 때문에 미사일 발사와 사이버 공격의 시기를 연관지어 해석하는 것도 무리가 있다. 국제 정세만으로 사이버 공격 배후를 찾는다면, 중국, 러시아, IS 등 다른 나라 혹은 테러집단의 소행이라고 해도 얼마든지 설득력을 갖는다.
보안 전문가들이 해킹의 배후를 추정하는 근거들은 대부분 공격자가 실수로 남긴 흔적을 찾아 추적하는 것인데, 이러한 수사 방향을 인지하고 있는 공격자들이 수사에 혼선을 주기 위해 일부러 조작된 증거를 흘린다는 보고서도 다수 발표된 바 있다.
대규모 공격을 벌이는 집단들은 공격하는 팀과 해킹 증거를 지우는 팀으로 나뉜다. 공격 증거를 지워 추적을 피하거나 수사를 방해하는 조작된 증거를 남기기 위한 것으로, 수사의 단서가 되는 증거가 실제 범인의 증거인지 아닌지 파악해야 한다.
기태현 라온시큐어 화이트햇센터장은 “보안 전문가들이 범죄 조직의 배후를 특정할 때는 충분한 증거가 확보됐기 때문에 자신있게 발표하는 것이다”며 “그러나 수집된 증거가 위조됐을 가능성도 염두에 두어야 한다. 공격조직은 수사팀의 수사 방향을 파악하면서 공격을 진행하기 때문에 한 두가지 증거만으로 혹은 정치적으로 해석되는 정황증거만으로 배후를 특정하는 것은 바람직하지 않다”고 말했다.
