예상은 조금도 빗나가지 않았다.
“3·20 전산망 마비 사고는 북한 소행이다.”
3·20 사고를 조사하고 있는 민관군합동대응팀이 10일 발표한 바에 따르면, 이 사고에서 북한IP가 발견됐고, 이전에 북한 소행으로 지목된 보안사고에서 사용된 수법과 비슷한 방법으로 공격이 진행됐으므로 3·20은 북한이 일으킨 사이버테러이다.
2009년 7·7 DDoS, 2011년 3·4 DDoS, 농협 전산망 마비, 2012년 중앙일보 해킹 등이 이와 같은 이유로 북한의 소행으로 결론지어졌다.
과연 이 사고는 북한의 소행일까? 북한은 무엇을 위해 공격을 단행했을까?
무엇을 위해 방송사·금융권 공격했나
사이버테러는 분명한 이유가 있다. 사이버 공격을 통해 적국의 사회기반시설을 파괴해 피해를 입히거나, 시스템에 몰래 숨어들어가 정보를 빼내는 일을 한다. 정치·사회적인 목적을 위해 단행하는 핵티비스트는 시스템을 해킹해 자신들의 메시지를 전달하는 활동을 하기도 하며, 특정 단체 간부들의 개인정보를 훔쳐내 무언가를 폭로하기도 한다.
3·20 사고는 잘 설계된 지능형지속위협공격(APT)으로, 공격을 위해 상당히 오랜 시간 치밀하게 계획하고 준비한 것으로 보인다. 정부 발표에 따르면 무려 8개월 동안 방송사와 금융권 시스템에 침투하기 위해 노력한 것으로 알려진다.
이번 사고가 북한의 소행이라면, 북한은 사이버테러를 통해 무엇을 얻었을까? 방송사의 시스템이 마비되고 PC가 파괴된 것은 방송사 입장에서 상당히 큰 피해임에 틀림없다. 농협도 수일간 영업에 지장을 입었으므로 막대한 피해를 입었다.
그러나 우리 사회 전반적으로 봤을 때 8개월이나 정교하게 준비한 공격이라고 하기에 피해가 미약하다고 볼 수 있다. 3·20 사고로 인해 방송이 중단되지 않았고, 금융거래에 심각한 차질이 빚어진 것도 아니며, 금융정보가 파괴된 것도 아니다.
만일 중요한 정보를 원했다면 금융기관은 공격대상이 될만한 충분한 이유를 갖고 있다. 그러나 방송사를 공격해서 어떤 정보를 얻을 수 있었을까? 기밀정보를 노렸다면 방송사보다 국가기관을 노렸어야 했다. 방송사는 국가기관보다 보안이 상대적으로 취약하며, 기자·PD 등 직원들이 사용하는 PC는 보안 취약성이 매우 높고 고급 정보도 많이 보관돼 있는 것은 사실이다.
그러나 높은 수준의 해커조직을 갖고 있는 북한이 기자·PD가 갖고 있는 정보를 훔치거나 파괴하기 위해 이러한 공격을 단행했다는 것은 설득력이 약하다.
익명을 요구한 보안 전문가는 “북한 소행이라는 정부의 발표를 신뢰할 수 없는 것은 아니다. 실제로 몇 달 전 부터 북한에서부터 지속적으로 공격이 있었으며, 이번 공격과 유사한 형태도 상당수 발견됐다”면서도 “그러나 단지 북한 IP가 있었다는 이유 만으로 이번 사고를 북한에서 일으켰다고 단정짓기는 어려움이 있다”고 말했다.
그는 “IP를 추적해 해커를 찾는 것은 쉽지 않다. 고급 해커일수록 여러 유포지를 경유해 공격하기 때문이다. 추적을 위해서는 공격 발생지점을 분석해 해커의 흔적을 찾아내야 하며, 국제 수사기관의 공조를 요구해야 하는 경우도 많다. 해커가 자신의 실력을 과시하기 위한 목적이 아니라면, 자신의 흔적을 쉽게 발견할 수 있도록 하지는 않았을 것”이라고 덧붙였다.
어떻게 악성코드가 시스템으로 침투했나
이번 사고를 조사하고 분석하는 모든 과정에서 간과되고 있는 매우 중요한 두가지 사실이 있다. 앞서 언급한 ‘사고를 일으킨 목적이 무엇인가’ 하는 점이고, 어떻게 악성코드가 시스템 내부로 들어올 수 있었나 하는 부분이다.
정부 발표에 따르면 기업 내부 망에 접근할 수 있는 권한을 탈취한 후 전산망의 취약점을 파악해 PC를 파괴하는 악성코드를 내부 PC에 일괄 배포했다. 그렇다면 내부망 접근권한은 어떻게 탈취했을까?
한국트렌드마이크로가 3·20 사고에 이용된 악성코드를 조사한 결과, 자사 제품이 도입된 한 금융권에서 동일한 공격을 받았으며, 자사 장비가 악성코드를 사전에 탐지·차단했다고 밝힌 바 있다. 해당 악성코드는 이메일을 통해 배포됐다.
사람의 심리를 이용하는 사회공학기법은 APT 공격에 가장 많이 사용되는 방법이다. 타깃의 취향이나 특성에 맞는 이메일을 전송해 악성코드를 다운받게 하는 방법이다. 인사담당자에게 이력서를 보내고, 강아지를 좋아하는 사람에게 애견관련 정보를 보내며, 결혼을 앞둔 사람에게는 결혼 관련 정보를 보내는 방식이다.
문일준 빛스캔 대표이사는 “거의 모든 PC는 악성코드에 감염돼 있다고 봐도 무방하다. PC의 백신 솔루션은 알려지지 않은 악성코드를 막을 수 없기 때문이다. 해커가 마음만 먹으면 PC의 악성코드를 이용해 무엇이든 할 수 있는 상황이 됐을지도 모른다”며 “3·20 사고에 이용된 악성코드는 알려진 것 처럼 정교하게 설계된 것이 아니다. 그런데도 대규모 사고를 일으켰다는 사실은, APT 공격이 얼마나 심각한 위협인지 잘 보여준다”고 말했다.
최악의 경우를 가정해 봤을 때, 전국민의 PC, 혹은 스마트폰이 DDoS 공격에 이용되는 악성코드에 감염돼 있다면, 일시에 우리나라 통신망을 전면 마비시킬 수도 있다. 3·20 사고는 이와같은 대규모 공격을 위한 전초전일 수 있다는 경고가 보안 전문가들 사이에서 나오고 있다.
특히 스마트폰 등 모바일 기기는 보안에 취약하며, 안드로이드 기반 기기는 보안에 무방비상태나 다름없다. 대규모 사이버 공격에 이용당할 가능성이 매우 높다는 설명이다.
따라서 3·20 사고를 조사·분석하는데 있어 어떤 경로로 해커가 시스템의 관리자 계정을 탈취했는지 정밀한 조사가 필요하다. 더불어 다른 국가기관 및 기업, 주요 사회기반시설, 그리고 개인의 PC 및 스마트폰 보안을 강화할 수 있는 강력한 대책이 필요하며, 이를 관장할 수 있는 컨트롤타워가 필요하다.
문일준 대표이사는 “현재 악성코드에 감염된 사이트를 운영하는 기업/기관 중에서는 악성코드를 삭제하기 위한 아주 사소한 노력도 하지 않는 경우가 많다. PC와 사이트의 악성코드를 없애는 것 만으로도 위험을 상당부분 줄일 수 있는데도 심각한 안전불감증을 보이고 있다”며 “개인이나 기업에서 자율적으로 보안을 강화하기를 바라는 것은 현실적이지 않다. 독립적인 컨트롤타워를 따로 만들 수 없다면, 관련 기관에 강력한 권한을 주어 정책을 시행하도록 해야 한다”고 강조했다.
