■ 北소행 여부 밝혀질까
20일 발생한 방송사와 금융회사에 대한 사이버 테러의 정황과 공격 수법이 조금씩 드러나면서 북한의 소행일 가능성에 무게가 실리고 있다. 남북 긴장이 고조되는 상황인 데다 정부 합동대응팀의 분석 결과 해커의 공격이 중국 인터넷주소(IP주소)를 경유한 흔적이 발견됐기 때문이다.
○ 북한 소행 어떻게 밝히나
농협을 공격한 해커가 중국 IP주소인 ‘101.106.25.105’를 경유한 것으로 확인되면서 북한 관련설이 힘을 얻고 있다. 북한은 앞서 2009년 7월 7일과 2011년 3월 4일 디도스(DDoS·분산서비스 거부) 공격 당시도 중국에 있는 조선체신청 IP주소를 사용했다.
해킹에 사용된 악성코드를 분석하는 것도 북한 소행 여부를 판단하는 근거가 된다. 정부는 2011년 4월 농협 전산망 마비 당시에는 사용된 코드가 과거 북한이 사용한 것과 동일하다는 점을 근거로 내세운 바 있다. 이번 악성코드 역시 과거 북한의 방식과 일부 닮은 점은 확인했지만 완전히 같은지는 아직 결론을 내지 못했다.
오히려 해커들이 사용하는 수법과 공격 의도를 분석하는 것이 효과적이란 견해도 있다. 손동식 윈스테크넷 침해사고대응센터장은 “이번 공격에서 하드디스크의 마스터부트레코드(MBR) 영역을 파괴한 것은 2011년 4월 북한의 농협 전산망 해킹 때와 비슷하다”며 “돈을 노리거나 정치적 메시지를 전파하려는 일반 해커들은 이런 파괴적인 수법을 잘 사용하지 않는다”고 말했다.
해커들이 분업화, 조직화돼 있다는 점도 훈련된 정예요원이 관여한 흔적이라는 분석도 나왔다. 6개 피해 기업에서 발견된 코드가 유사하면서도 조금씩 달라 여러 명으로 구성된 팀의 소행일 수 있다는 얘기다. 이번 해킹 공격자들은 LG유플러스의 그룹웨어를 해킹하면서 6개의 e메일 주소를 남기기도 했다.
○ 배후 확인, 얼마나 걸리나
이경호 고려대 사이버국방과학과 교수는 “시간을 두고 여러 정보를 종합 분석해야 비로소 누구의 소행인지 밝혀낼 수 있다”며 “감정적으로 대응하지 말고 객관적 증거로 판단해야 한다”고 말했다.
정부는 2011년 농협 전산망 마비사태 당시 불과 며칠 만에 북한 소행임을 확인한 것으로 알려졌다. 이명박 정부의 청와대 핵심 당국자였던 한 인사는 “당시에는 북한의 사이버 테러 위협이 가시화하지 않았던 때여서 언론은 농협의 부실한 보안망, 투자자들의 항의와 소송 움직임에 집중했다”며 “우리의 보안기술과 해킹 추적능력 등이 (북한에) 알려지지 않도록 해야 했기 때문에 북한 소행임을 일찌감치 확인했지만 일부러 몇 달 뒤에 검찰을 통해 조사 결과를 발표했다”고 전했다.
게다가 북한이 최근엔 사이버 공격에 대한 우리 정보기관의 추적을 피하기 위해 국내 민간기업의 정보기술(IT) 유지보수 업체를 우회하거나 해킹통신을 암호화하는 등의 고난도 기술을 사용한 점을 우리 정부가 확인한 것으로 전해졌다.
○ “북한 소행 밝혀지면 강력 대응”
일각에선 사이버공격으로 맞불을 놓거나 아예 북한 정찰총국 산하 사이버 전담부서인 110연구소 등을 무력으로 타격해야 한다는 주장도 나온다. 그러나 군 관계자는 “북한이 발뺌하는 상황이라 쉽지 않다”며 “자칫 북한에 무력 도발의 빌미를 줄 수 있다”고 말했다.
김용석·정호재·손영일 기자 nex@donga.com