[단독] "3.20 대란 악성코드, 北해커 수법"

[전산망 대란] 복수 전문가 "사전 코드 로딩방식 등 흡사"

↑KBS와 MBC, YTN 등 주요 방송사와 신한은행과 농협 등 일부 금융사들의 전산망이 20일 오후 일제히 마비된 가운데, 서울 여의도 KBS 본사 보도국의 컴퓨터가 전산 마비로 작동하지 않고 있다. 2013.3.20/뉴스1

20일 KBS, MBC, YTN 등 방송사와 신한은행 등 금융망 장애를 초래했던 악성코드들 가운데 일부가 7.7 디도스 대란, 농협망 전산사고, 고려대 이메일 악성코드 주요사건, 중앙일보 해킹 사고시 발견됐던 추가 악성코드와 제작 기법 등이 같거나 매우 흡사하다는 분석이 나왔다.

이들 사고는 모두 수사당국의 조사에서 '북한 해커 소행'으로 잠정 결론을 내렸던 사건들이다. 이번 3.20 전산망 대란의 배후 역시 북한일 가능성에 무게가 쏠리고 있다.

21일 복수의 코드 분석가들에 따르면, 이번에 피해를 당한 기관들의 PC에서 채증된 악성코드를 분석한 결과, 코드호출방식(Stub) 등이 7.7 디도스 대란 이후 북한발로 추정되는 악성코드와 동일한 것으로 알려졌다.

익명을 요구한 한 보안 전문가는 "전세계 수억개에 달하는 악성코드 제작기법 가운데 북한해커들이 사용하는 고유 기법들이 있는데, 이번에 발견된 악성코드 역시 지난 2006년 이후 북한해커들의 즐겨 사용하던 방식으로 제작됐다"며 "특히 공격 개발코드 제작 시 사전 제작되는 코드 로딩방식 역시 이전 사례들과 동일하다"고 주장했다.

↑3.20 전산망 대란 당시 발견된 웹페이지 변조화면.

이번 전산망 대란 현장에서 발견된 '디페이스(홈페이지 변조)' 코드 역시 지난해 6월 중앙일보 전산망 해킹 당시 홈페이지 변조에 사용됐던 구성파일과 매우 유사했다는 점에서 북한 관련설에 힘을 실어주고 있다. 당시 이를 수사했던 경찰청 사이버테러대응센터는 중앙일보 서버를 공격한 것이 북한 소행이라고 결론을 내린 바 있다.

이같은 정황에 대해 정부 당국자는 "배후와 관련돼 확인된 바 없고 북한소행으로 단정 지을 수도 없다"고 밝혔다. 그러나 정부는 '키 리졸브' 훈련과 맞물려 사이버 테러 능력을 과시하기 위한 북한의 소행일 가능성을 염두해 두고 진앙지 추적에 나선 것으로 알려졌다.

일단 이번 해킹과정에서 중국의 특정 웹호스팅 기업 서버가 뚫려 악성코드 중개지로 활용된 것도 확인됐다.

민관군 사이버위협 합동대응팀은 이날 오전 브리핑을 통해 "농협 시스템에 대한 분석결과, 중국 IP를 통해 악성코드가 피해기관 내부 PC에 깔렸음을 확인했다"며 "그러나 최종 진앙지로 보기는 어려우며, 여러 단계로 이뤄진 다단계 중개지 중 한곳일 가능성도 없지 않다"고 말했다.


그러나 해킹 공격의 진앙지와 배후를 추적하는데는 대략 수개월이 걸릴 전망이다. 중국 등 경유지로 활용된 서버를 조사하기 위해서는 국제 협조가 불가피하기 때문이다. 실제 지난해 중앙일보 해킹사고 당시에도 약 7개월만의 수사과정 끝에 국내 서버 2대와 10여개의 국가에 분산된 해외 서버 17대가 해킹 경유지로 사용됐음을 파악했다.

한편, 이날 정부 브리핑에서 정부당국은 지난 20일 언론, 금융 등 6개사의 PC, 서버 3만2000대여대가 피해를 당한 것으로 파악하고 있으며, 추가 공격 가능성을 열어둔 상태다.