6·25 사이버공격에서 드러난 북한 해킹수법

북한은 청와대 홈페이지를 변조시키고 방송·신문사의 서버를 파괴한 ‘6·25 사이버공격’을 위해 최소 6개월 전부터 국내 인기 웹사이트를 사전에 해킹해 공격 목표를 치밀하게 분석한 것으로 나타났다.

특히 국제해커집단 ‘어나니머스’로 위장하는 방법으로 공격주체 판단에 혼란을 일으키는 교활함도 드러냈다.

16일 민·관·군 합동대응팀은 북한 소행으로 결론난 3·20 사이버테러와 동일한 공격 수법이 이번 6·25 사이버공격에서도 나타났고, 북한 IP가 사용됐다는 점에서 이번 공격도 북한 소행으로 판단한다고 밝혔다.

홈페이지 변조와 디도스(DDoS;분산서비스거부) 공격 등 이번 사이버공격에 사용된 악성코드가 3·20 사이버테러 때 발견된 악성코드의 변종이라는 점도 북한을 공격자로 지목하는 근거다.

북한은 지난달 25일부터 이달 1일까지 청와대, 국무조정실, 언론사 등 69개 기관을 해킹하기 위해 많은 사람이 이용하는 국내 P2P·웹하드 서비스, 웹호스팅 업체 등을 사전에 해킹한 것으로 조사됐다.

이들 사이트와 업체에서 북한은 공격 목표에 대한 보안 취약점을 미리 확보한 것으로 분석된다.

전길수 한국인터넷진흥원(KISA) 침해사고대응팀장은 “최근 공격은 잠복기를 거친다는 특징이 있다”며 “피해 기관에 악성코드를 미리 심어 공격하고, 정보도 유출했다”고 말했다.

청와대 홈페이지를 변조하면서 어나니머스의 소행임을 암시하는 문구와 이미지를 남김으로써 우리나라가 공격 주체를 판단하는 데 혼란을 주는 교란전술을 시도하기도 했다. 청와대와 국무조정실 등 상징성이 큰 국가기관의 홈페이지를 변조해 한국의 국격을 훼손하려는 저의도 드러냈다.

북한은 6·25 공격에 종전보다 치밀하고 진화한 방법을 다양하게 사용했다. 먼저 해킹 근원지 추적을 방해하기 위해 오랫동안 준비를 한 것으로 나타났다. 공격한 서버의 하드디스크를 파괴하고 공격 IP를 숨겼으며 로그파일을 삭제했다. 이 때문에 대응팀은 데이터 복구하는 과정에서 비로소 북한 IP를 찾아낼 수 있었다.

좀비PC를 이용해 디도스 공격뿐만 아니라 해외로부터의 서비스 응답으로 위장한 공격방법을 사용하는 등 고도의 위장전술도 동원했다.

그러나 이번 공격에 사용된 악성코드는 과거 7·7 디도스 및 3·4 디도스 공격과 농협 해킹 등에 사용된 악성코드와 유사한 것으로 밝혀지면서 북한 소행임을 완전히 감추지는 못했다.

정부부처의 홈페이지를 종합적으로 관리하는 정보통합전산센터의 DNS 서버를 공격해 여러 부처의 인터넷 서비스를 일시에 마비시키려 한 것은 7·7 디도스 공격 때의 사용된 수법이었다.

서버를 망가뜨리기 위해 시스템 부팅영역(MBR)을 파괴하고, 시스템의 주요 파일을 삭제한 것 등은 3·20 사이버테러 때 나타난 특징과 동일하다.

연합뉴스