국가정보원이 이번 사이버테러의 유력한 배후로 북한을 지목하며 내놓는 근거를 놓고 보안전문가들이 설왕설래하고 있다.

우선 국정원은 이번 분산서비스거부(DDoS) 공격에 사용된 악성코드 안에 NLS(*.nls) 확장자가 들어가 있는 것을 근거로 들고 있다.

이 확장자가 북한 해커들이 종전에 많이 사용했다는 이유에서다.

국정원은 지난 30일 중국 선양의 북한인 해커조직이 한국기계연구원에 대해 DDoS 공격을 감행했을 당시 악성코드의 확장자가 NLS인 것으로 확인한 것으로 알려졌다.

국정원은 또 공격대상 목록을 담은 파일을 악성코드에서 생성하는 것은 북한이 주로 사용하는 해킹 수법이라고 파악하고 있는 것으로 전해졌다.

더욱이 이번 사이버 테러 공격 경로를 파악하는 과정에서도 '눈에 익숙한' 북한인 해커 조직의 IP대역폭이 동원됐다는 사실을 국정원이 알아냈다는 보도도 나왔다.

이에 대해 보안전문가들은 지금까지 외부로 알려진 정보 당국의 정보가 충분치 않아 기술적으로 배후가 북한임을 추정할 수 있는 근거로 삼기는 어렵다는 시각이다.

한 보안전문가는 11일 "NLS는 마이크로소프트(MS) 윈도의 확장자 가운데 하나로 이 확장자가 별다른 기능을 가진 것은 아니다"며 "완전범죄를 꿈꾸는 해커들이라면 확장자를 반복해 사용할 가능성은 적다"고 말했다.

물론 해커가 특별한 확장자에 대해 집착한다면 반복해서 사용할 가능성도 있다는 의견도 나왔다.

북한인 해커 조직의 IP, 또는 IP대역폭이 동원됐다는 부분에 대해서는, 현재 악성코드의 실행파일을 내려받게 한 매개체가 처음 심어진 (숙주 사이트 이전의) 원천 사이트가 발견되지 않은 상황에서 배후자의 IP를 추적하는 것은 어렵다는 게 보안전문가들의 평가다.

물론 경찰이 이번 사이버테러와 관련된 국내 서버를 입수해 조사하고 있어서, IP추적이 이뤄진 결과에 따른 것이 아니냐는 해석도 나온다.

다른 보안전문가는 "보도된 내용만으로 봤을 때는 기술적으로 국정원이 어느 수준까지 추적했는지 알기 어렵다"면서 "보안업체들은 대체로 이번 사이버테러의 특성을 볼 때 해커가 치명적인 실수를 하지 않는 한 기술적으로 추적하기는 쉽지 않다고 여기는 분위기"라고 말했다.

그러나 일각에서는 기술적으로도 북한이 배후라는 의심할만한 증거가 나타났다는 주장도 제기됐다.

파일 파괴 악성코드가 감염 PC에서 35개의 파일 확장자 명을 검색해 삭제하는 데, 이 중 90년대 중반까지 국내에서 이용된 *.hna, *.kwp 등의 하나워드 확장자명이 들어있는 전해졌기 때문.
하나워드는 금성소프트웨어(현 효성그룹의 홍진데이타서비스)에서 개발한 도스용 워드프로세서로 당시 민간분야뿐만 아니라 군대와 행정기관에서도 이용됐기 때문에, 옛 공문서를 파괴할 수 있다는 주장이다.

이밖에 DDoS 악성코드의 이메일 버전에서 이메일이 euc_kr이라는 한국어 코드명으로 인코딩 돼 있어 배후자가 한국어를 사용하고 있다는 주장도 나타났다.

(서울연합뉴스) 이광빈 기자 lkbin@yna.co.kr