IP 추적ㆍ악성코드 분석해
북한 소행으로 지목한 듯
해킹 기법 아무리 진화해도
위장하기 어려운 소스코드가
해커의 실체 밝히는 열쇠
국가정보원은 8일 정부 주요인사 스마트폰과 금융보안 프로그램 사이버 공격의 배후로 북한을 지목했으나, 구체적인 근거는 공개하지 않았다. 정보ㆍ보안 전문가들은 해킹에 이용된 인터넷 주소(IP) 소재지 추적, 해킹을 위해 만들어진 악성코드 분석 등을 통해 당국이 북한 소행을 확인한 것으로 보고 있다. 국정원이 입증할 근거를 일체 제시하지 않은 만큼, 이번 해킹을 북한의 소행으로 단정하기는 아직 이르다는 목소리도 나온다.
군과 정보당국이 이번 해킹을 북한 정찰총국의 소행으로 추정하는 주요 근거는 해킹 공격에 활용된 IP의 소재지다. 북한 해커부대 상당수는 중국 등 제3국에 비밀 거점을 구축해 우리 금융기관과 정부기관 등에 대한 해킹을 시도하는 것으로 알려져 있다. 일례로 올해 초 청와대 등을 사칭해 정부기관에 광범위하게 발송된 이메일을 역추적한 결과, 발신지 IP가 지난 2014년 한국수력원자력 해킹 사건 때와 동일한 중국 랴오닝성 지역으로 확인되기도 했다. 한수원 해킹은 북한 소행으로 추정되는 대표적 사이버 테러 사건이다. 장항배 중앙대 산업보안학과 교수는 “북한은 중국은 물론 미국을 포함한 여러 국가를 거듭 우회해 해킹 공격을 한다”며 “하지만 다수의 공격 경로를 역추적하면 중국 텐진ㆍ선양 등지처럼 경로가 집중적으로 겹치는 거점을 확인할 수 있다”고 설명했다.
해킹을 위해 개발된 악성코드의 소스코드(원재료)를 분석해봐도 북한의 소행인지 여부를 유추할 수 있다. 정보당국은 북한이 사이버 공격 주체를 은닉하는 기술을 개발해 보유한 것으로 보고 있다. 해킹 방식 또한 악성코드를 심지 않은 이메일을 먼저 보내 수신자가 안심하고 답장을 보내도록 한 뒤, 다음 이메일에 악성코드를 심는 ‘투트랙 스미싱’ 방식으로 진화한 것으로 평가한다. 북한이 지난 1~2월 국내의 2개 지역 철도운영기관 직원들을 대상으로 피싱 메일을 보내 메일계정과 비밀번호를 빼내려고 시도할 때 사용한 수법이다.
북한의 해킹 기법이 아무리 진화해도, 해커의 지문과 소스코드를 위장하기란 쉽지 않다는 게 전문가들의 대체적 평가다. 소스코드의 패턴을 읽어보면 어느 해커가 만든 악성코드인지 가늠할 수 있다는 것이다. 보안업계 관계자는 “스미싱이든 피싱이든 해킹 형태를 달리 할 수 있지만, 바탕에 깔려 있는 소스코드 자체를 제작하는 언어는 바꾸기가 거의 불가능 하다”고 말했다.
다만, 일부 전문가들은 국정원이 판단 근거를 공개하지 않고 있어 북한의 해킹으로 단정하기 어렵다고 평가했다. 보안업계 관계자는 “국정원이 해킹 샘플을 공개하지 않아 이를 북한 소행이다 아니다 단언할 수 없다”며 “미 연방조사국(FBI)도 2014년 소니픽쳐스 해킹 사건을 조사한 뒤 북한이 개입됐을 것으로 추정만했지 확정은 못했다”고 말했다. 이번 사이버 공격의 대상이 된 한 업체 관계자는 “안랩에서 지난 2월 우리회사 코드를 사용한 악성프로그램이 발견됐다는 통보를 받고 즉시 검찰에 수사를 의뢰했다”며 “누가 어떤 목적으로 해킹을 한 것인지에 대해서는 전해들은 바 없다”고 말했다.
이동현기자 nani@hankookilbo.com
정준호기자 junhoj@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0