국가정보원이 '7 · 7 사이버 테러'의 배
기울임꼴 src=
후로 북한 인민군 총참모부 정찰국 산하 '110호 연구소'를 구체적으로 지목했다. 그동안 이번 테러의 배후에 "북한 또는 종북 세력이 있는 것으로 추정된다"는 '어법'에서 한걸음 더 나아간 것이다. 국정원의 관측대로 '110호 연구소'가 개입한 것이 사실로 드러날 경우 향후 남북 관계는 물론 한반도 주변 정세 전반에 상당한 긴장과 파장을 몰고 올 것으로 보인다.

이 연구소는 기존 사이버 전쟁 전담 부대인 '기술정찰조'와 '조선컴퓨터센터(KCC)' 등을 확대 편성한 조직인 것으로 보인다. 사이버 심리전 부대 등을 합쳐 500여명이 활동하고 있으며 중국과 동유럽 등지에서 위장 업체를 내세워 해커 부대도 운영하고 있는 것으로 알려졌다.

◆"사전 모의훈련까지 마쳐"

국회 정보위 소속 한 의원은 10일 "정찰국 산하 '110호 연구소'에서 해킹 프로그램을 개발하고 해외 등지에 위장 해커 부대를 운영하고 있다고 국정원이 보고했다"고 전했다. 이 의원이 전한 국정원 보고에 따르면 '110호 연구소'는 지난달 방송통신위원회 산하기관과 지방의 한 대학을 분산서비스거부(DDoS)로 공격하는 사전 모의 훈련을 실시한 것으로 파악됐다. 이 모의 훈련은 북한 군 당국의 지시에 의해 이뤄졌으며 '110호 연구소'는 '남한의 통신망을 순식간에 파괴하는 것'을 목표로 삼았다는 것.국정원은 또 북한이 중국과 동유럽 등지에서 해커 부대를 운영하고 있는 실태도 파악한 것으로 전해졌다.

국정원은 북한이 지난달 27일 조국평화통일위원회(조평통) 성명을 통해 미국이 주도하는 사이버전 합동 훈련인 '사이버 스톰'을 비난하면서 이번 테러를 준비한 것으로 보고 있다. 정보위 관계자는 "지난달 16일 국군 기무사가 주최한 '국방정보보호 컨퍼런스'에서 우리 정부가 사이버 스톰 참여를 추진하고 있다고 밝힌 것이 북한에 공격 명분이 됐을 수도 있다"고 말했다.

지난 4일 한 · 미 두 나라의 컴퓨터 2만대(한국 1만2000대,미국 8000대)에 트래픽을 발생시킨 것도 북한의 소행으로 추정된다. 국정원은 사이버테러가 이뤄진 IP(인터넷 주소)를 추적한 결과,한국 미국 일본 과테말라 등 19개국 92개 IP에 분산돼 있다는 사실을 알아냈다. 이들 나라의 특정 IP 주소는 많은 일반인이 접속하는 사이트로 이들 사이트에 접속한 PC(개인용 컴퓨터)는 백신이 없을 경우 즉시 감염돼 이른바 '좀비 PC'가 된다고 국정원은 설명했다.

◆"IP 역추적에도 대비한 듯"

해킹 수법도 국정원이 북한을 배후로 지목하는 이유 중 하나다. 공격 대상 목록을 담은 파일(uregvs.nls)을 악성코드에서 자체 생성하는 것은 북한이 즐겨 쓰는 해킹 방식이란 것이다. IP 역추적에 대비했다는 정황도 포착됐다. 국정원은 DDoS 공격에 동원된 '좀비PC' 가운데 비주얼 스튜디오 등 전문가용 고급 프로그램을 쓰는 26대의 컴퓨터가 이용된 것으로 나타났다고 보고했다. 정보위 한나라당 간사인 정진섭 의원은 "고급 프로그램을 쓰는 몇 대의 컴퓨터를 특정해 사이트의 다운을 유도했는데 IP 역추적을 방어하기 위한 목적으로 보인다"고 말했다. 국정원 관계자는 "DDoS 공격 수법이 대단히 치밀하다는 점에 비춰볼 때 단순 해커의 소행이라고 보기 어렵다"며 "최근의 남북 관계를 고려할 때 북한이 배후일 가능성이 농후하다"고 강조했다.

하지만 일각에서는 북한이 배후 세력이 맞다면 과도한 트래픽을 유발해 사이트 접속을 마비시키는 DDoS 공격에 그치지 않았을 것이라는 관측도 나온다. 북한이 의도적으로 사이버 테러를 가한 것이라면 기밀 정보를 빼내가거나 주식 시장을 마비시키는 등의 더 큰 피해를 노렸을 것이라는 얘기다.

박영태 기자 pyt@hankyung.com