北, 언론사까지 ‘사이버테러’

북한은 해킹 공격 당일 10개국으로 분산된 17개 해외 경유지 서버를 활용해 중앙일보 신문제작시스템을 삭제하는 악성코드를 재전송하는 수법을 사용했다. 위장을 위해 이용된 해외 경유지 서버 중 1대는 2011년 3월 4일부터 이틀간 벌어진 이른바 3·4 디도스 공격과 같은 해 4월 농협 전산망 해킹 사건 때 이용된 서버와 같았다. 경찰 관계자는 16일 “전 세계 IP 주소 약 40억개 중에서 한 IP가 우연히 서로 다른 3개 사건에 동시에 공격 경유지 서버로 사용될 가능성은 0％에 가깝다”고 설명했다. 경찰이 북한을 주범으로 꼽는 이유다.

북한 소행이라는 근거로 경찰은 악성코드가 동일하다는 점도 들었다. 중앙일보 해킹에 사용된 16자리 숫자·영문자·특수문자 조합 악성코드가 과거 북한 소행 해킹 사건 때 사용된 악성코드와 똑같았다. 경찰 관계자는 “16자리 관리자 정보 암호 해독에 사용되는 악성코드 키값은 문자와 숫자, 특수문자 조합으로 이뤄지며 제작자가 마음대로 부여한 값이기 때문에 동일 공격자만이 알 수 있다”고 전했다.

북한이 우리나라 웹사이트에 사이버테러를 감행하다가 적발된 것은 다섯 번째다.

앞서 북한은 2009년 7·7디도스 공격, 2011년 3·4 디도스 공격, 같은 해 농협 전산망 해킹과 고려대 이메일 악성코드 유포 등의 사이버 테러를 감행한 바 있다. 7·7 디도스 공격 당시 북한은 체신성 아이피 대역을 이용하는 27만대 좀비 PC를 동원, 전 세계 61개국 435대 서버를 활용해 한국과 미국 주요 기관 등 모두 35개 주요 사이트를 공격했다. 3·4디도스 공격 때는 좀비 PC 10만대를 동원, 해외 70개국 746대 서버를 활용해 청와대, 국회, 언론사 등 국내 정부기관 40개의 사이트를 공략했다. 북한 사이버 테러 대상은 점차 다양해져 한 달여 만에 다시 농협 전산망까지 손댔다. 북한은 해외 13개국에서 27대의 서버를 활용해 농협 금융전산망을 뚫었고 악성코드에 감염된 농협 PC 273대가 파괴됐다. 지난해 4월에는 북한에 대한 비판기사를 썼다는 이유로 국내 보수 언론사 몇 곳에도 선전포고를 했다.

경찰이 분석한 해킹 접속기록을 보면 북한 해커는 지난해 4월 21일부터 약 두 달간 중앙일보의 주요 피해 서버에 집중적으로 접속했다. 이 기간 북한이 악성코드를 심었고, 관리자 PC에 저장된 서버 관리 정보를 해외를 거쳐 이즈원으로 송출했다. 이 정보는 직접적인 해킹 공격에 이용됐다. 이즈원은 공격 당일 10개국으로 분산된 17개 해외 경유지 서버를 활용해 신문제작시스템을 삭제하는 악성코드를 다시 전송했다. 이 명령은 6월 9일 신문 제작에 필요한 일부 서버를 타격했다.

한편 북한의 사이버테러능력은 상당 수준에 올랐다는 것이 전문가들의 평가다. 이동훈 고려대 정보보호대학원 교수는 “북한은 전자전과 서비스 거부 공격, 해킹, 심리전 등 다양한 사이버 공격력을 갖춘 것으로 보인다”고 말했다. 정부기관이나 금융기관, 언론사 등으로 해킹 대상이 갈수록 다양화되고 있어 해당 기관들의 보안대책이 시급하다는 지적이다.

김정은 기자 kimje@seoul.co.kr