지난달 20일 발생한 방송사와 은행 등에 대한 사이버 테러는 북한 정찰총국의 소행으로 추정된다는 조사결과가 나왔다.

민·관·군 전문가로 구성된 정부 합동대응팀은 10일 "3.20 해킹의 접속 경로를 추적한 결과 지난 2월 하순 북한 측이 우회 접속 경로로 피해 업체에 악성코드를 심은 사실을 파악했다"며 이같이 밝혔다.

다음은 전길수 한국인터넷진흥원(KISA) 침해사고대응단장과의 일문일답.
--해커가 활용한 경유지(국가)와 소프트웨어 취약점은.
▲한국을 포함해 10개국 정도다.

취약점은 한 가지만 말하기 어렵다.

웹사이트, 웹서버, 관리자 PC, 개인 PC, 사내 서버, 백신 관련 소프트웨어, 소프트웨어 배포 서버 등의 취약점이 이용됐다.

다양한 취약점에 대해 사전에 치밀하게 준비한 공격으로 보인다.

--북한으로 확인한 근거는.
▲북한에서 직접 공격한 IP를 추출하기는 어렵다.

해커도 IP를 숨기려는 노력을 많이 했다.

명령 내리는 서버에 접속하는 로그, 방화벽 및 웹서버 로그 등을 다 지웠다.

원격터미널 로그가 남아 추출했다.

해커가 외국 경유지 통해서 접속했을 때 통신망 관련 기술적 문제 때문에 수 초, 수 분간 북한 IP가 노출됐다.

--악성코드 유포 명령을 내린 서버(C&C; 명령제어)를 발견했나.

▲C&C는 몇백 건 이상도 발견된다.

이번 경우에는 명령 내린 흔적을 발견했고, 북한 IP가 나와서 연관을 지었다.

--왜 북한 정찰총국을 지목하나.

▲북한 IP가 나왔고, 과거 북한 소행의 해킹과 동일하다는 논리가 성립됐다.

과거 해킹이 정찰총국 소행으로 판단된 것은 보안 사항이라 자세히 말하지 못한다.

--위조 IP일 수도 있는데 북한 소행으로 단정할 수 있나.

▲디도스(DDoS; 분산서비스거부) 같은 단방향 공격을 할 때는 IP 위조가 가능하다.

그러나 이번 경우는 명령을 주고받는 양방향 공격이어서 IP 위조 가능성이 매우 낮다.

발견된 IP가 2009년 북한에 할당된 IP 대역인지 확인했는데, 최근 북한 사이트 공격 때 발견된 IP 대역과 동일했다.

북한 소행으로 발표된 7.7 및 3.4 디도스, 농협 해킹에 사용된 경유지가 이번 경유지와 같다.

악성코드 구조 등이 같다는 것도 증거가 됐다.

--북한 공격에 6개월 이상 노출됐는데 막을 수는 없는가.

▲정부와 민간 보안업체가 모니터링하는데, 공격자는 취약점 하나만 잡아서 공격하기 때문에 뚫릴 수 있다.

공격 침투 경로는 항상 있다.

징후를 파악해서 빨리 대응하기 위해 노력하고 있다.

--추가 공격 가능성은.
▲항상 가능성을 열어두고 대비해야 한다.

--정보유출 피해는 없었나.

▲이번은 사회 혼란을 유발하는 공격이다.

과거 개인정보 유출사고와 목적 자체가 다르다.

현재 기업 정보 유출은 파악되지 않았다.

--해커가 금융 정보를 파괴할 수도 있었을 텐데.
▲못한 부분이 있다.

데이터베이스(DB) 서버에 접근했다면 다 없앨 수 있었겠지만, 관리자 계정이 노출되지는 않았다.

--최초 감염경로는.
▲기관마다 서버 취약점이 다 달라서 공격방법이 조금씩 차이 난다.

어떤 기관은 1차 거점이 PC이고, 어떤 기관은 서버다.

웹사이트 접속, 이메일, 외부와 접속할 수 있는 서버 등 악성코드 유포 경로가 다양할 수 있다.

--후이즈(Whois)라는 해킹단체와의 연관성은.
▲직접 확인된 것은 없다.

--수사기관(경찰)이 따로 있는데 정부가 나서 북한 정찰총국을 지목하는 이유는.
▲나는 분석업무 담당이라 기관 간 역학관계를 답변하기 어렵다.

(서울연합뉴스) 최인영 기자 abbie@yna.co.kr