세계 2위 IT 강국 DDoS공격에 속절없이 무너져
최근 발생한 사이버 테러 일명 ‘7·7대란’으로 나라 안팎이 떠들썩하다. 7·7 대란은 지난 7일 오후 시작된 한미 주요기관 인터넷에 대한 동시다발적인 분산서비스거부(DDoS: 디도스) 공격을 말한다. 이날 시작된 공격으로 국가 기관 뿐 아니라 금융 산업 기관의 홈페이지와 전산 시스템이 마비되는 사태가 발생했다. 피해사이트들은 현재 복구에 큰 어려움을 겪고 있다. 특히 디도스의 공격으로 피해를 입은 온라인 오픈마켓 옥션은 DDoS공격에 대비한 전용 보안시스템을 갖추고 실시간 감시를 해왔지만 이번 공격에 속수무책이었다. 더 큰 문제는 이번 사태와 같은 사이버 테러에 대한 국가적 방어 체계가 허술하기 짝이 없다는 점이다. 이에 유사한 사건의 재발을 막을 수 있는 대책마련이 시급하다는 지적이 일고 있다.
청와대 등 주요 정부기관 사이트와 일부 포털 등이 공격받은 이번 사태와 관련, 통신 주무부처인 방송통신위원회와 산하 한국정보보호진흥원의 안일한 대응을 질타하는 목소리가 커지고 있다.
방통위는 지난 7일 사건 발생 후 6시간이 지나도록 대국민 경보 발령을 하지 않았다. 또 DDoS 공격에 대한 대응책도 마련하지 못하고 우왕좌왕하는 바람에 청와대 사이트 등은 지난 8일 오전까지 먹통이 됐다. 전문가들은 DDoS 공격 사실을 인지하고 곧바로 대국민 경보에 들어가 이를 알렸다면 다음날까지 혼란을 최소화할 수 있었을 것이라고 지적했다.
통상 웹사이트 접속장애가 시작되면 원인을 파악하는데 걸리는 시간은 1∼2시간. 따라서 6시간 만에 조치에 들어간 것은 상당히 지체된 것이라는 게 전문가들의 공통된 견해다.
그러나 방통위는 오히려 정품을 사용하지 않는 PC 사용자들에게 문제가 있고 이에 대해 정부가 뚜렷이 대응할만한 방안이 없다는 식의 무책임한 태도로 일관하고 있다.
검·경찰 수사 난항 예고
DDoS 공격 대응책과 관련해 방통위 관계자는 “PC가 기업용이면 기업 전산실에서 대응하고 개인 PC의 경우 (백신프로그램 등)정품을 사용하지 않는 경우라면 업데이트가 되지 않아 예방이 힘들다"고 밝혔다.
국정원과 더불어 검·경찰은 이번 DDoS 공격의 범인을 추적하는데 주력하고 있다.
DDoS 공격은 해커가 인터넷 카페 등의 파일에 악성코드를 숨겨 놓아 이 파일에 접촉한 일반 컴퓨터 수만대를 감염시키고, 중간 조정(C&C:Command&Control) 서버를 통해 감염된 컴퓨터(일명 좀비PC)를 원격조종해 목표한 사이트에 일제히 접속을 유도, 마비시키는 방식이다.
서울중앙지검 첨단범죄수사부에 따르면 피해 사이트에 집중 접속한 인터넷 주소(IP)의 90% 이상은 국내에서 비롯된 것으로 밝혀졌다.
검찰의 한 관계자는 “사안의 중대성을 감안해 경찰을 지휘하고 자체적으로도 인터넷범죄센터에서 로그기록 추적을 병행하고 있다”며 “악성코드 유포자가 국내인으로 드러나면 법에 따라 엄정히 처벌할 방침”이라고 말했다.
아울러 경찰은 ‘좀비 PC’를 감염시킨 악성코드를 분석한 결과 청와대와 백악관 등 우리나라와 미국의 25개 사이트에 대한 공격 명령이 숨어 있는 것을 발견했다. 그러나 이번 공격은 좀비 PC가 C&C 서버를 통한 원격 조종을 받지 않고 스스로 7월 7일 오후 7시에 일제히 공격을 시작했다는 점에서 일반적인 DDoS 공격과는 다르다고 경찰은 설명했다. 하지만 수사는 쉽지 않을 전망이다. 보통 DDoS 해킹 사건 수사에서 좀비 PC를 조종하는 C&C 서버를 먼저 추적해야 하는데 이 C&C 서버를 찾을 수 없어서다.
이와 함께 국정원은 이번 사태의 배후가 북한일 가능성이 있다 보고 조사를 진행 중이다.
북한이 7·7대란의 주범?
국가정보원은 이번 공격의 배후엔 북한 혹은 북한 추종세력이 관련된 것으로 보고 있다. 그러나 국정원은 이에 대한 뚜렷한 근거를 제시하지 않고 있다.
북한은 인터넷을 수단으로 대남, 대미 첩보를 수집하고 전산망을 교란하는 사이버전 전담부대인 ‘기술정찰조’를 확대 편성해 운용하고 있는 것으로 국정원은 파악하고 있다. 인민군 총참모부 정찰국 소속인 이 부대는 군 컴퓨터 전문요원을 양성하는 평양의 지휘자동화대학 졸업생 위주로 100여명이 활동 중인 것으로 알려졌다. 북한은 이들 부대를 통해 남한군 장성을 비롯한 요직의 인물들을 대상으로 군사정보 자료를 빼내기 위해 해킹 시도를 감행하고 있다.
미국의 보수적 싱크탱크인 헤리티지재단의 브루스 클링너 선임연구원도 북한군이 1996년 500~ 1000명의 전문 해커부대를 창설했고 2006년에 한국과 미 국방부를 목표로 해킹을 시도, 큰 피해를 입힌 적이 있다는 한국 국회 정보위원회 발표를 제시하며 “북한이 한국과 미국에 대한 사이버 공격의 배후일 수 있다”고 말했다. 이 때문에 남북 간에 이미 ‘총성없는 사이버전쟁’이 시작된 것 아니냐는 우려가 나오고 있다. 하지만 북한이 배후일 것이라는 추측에 의문을 제기하는 이들도 적지 않다. 로이터통신이 9일 보도한 바에 따르면 미국 정부와 인터넷 보안전문가들은 북한 배후설에 대해 부정적인 입장이다.
1983~1991년 미 법무부의 사이버범죄팀을 이끈 ‘시큐어IT엑스퍼트'의 마크 래쉬는 북한이 공격 배후일지도 모르지만 공격이 북한에 있는 컴퓨터에서 이뤄지지는 않은 것으로 보인다고 말했다.
보안전문업체 ‘쉬프트웍스'의 홍민표 대표는 9일 한 언론을 통해 “14시간 가량 직접 분석한 악성코드의 유포지가 미국 IP(75.151.XX X.XXX)였다”고 밝혔다.
한편 북한은 1990년대 말부터 해킹 전담부대를 운용해온 사이버전(戰) 강국이다. 북한이 보유한 해킹 전문인력은 500~1000명 정도로 추정된다. 이 중 일부는 2001년부터 중국 등 해외에 상주하면서 우리나라와 미국을 상대로 다양한 공격을 펴고 있다.
북한 해커부대원들의 주 임무는 군 관련 기관의 컴퓨터망에 침입해 비밀 자료를 훔쳐가거나 바이러스를 유포한다.
북한은 주로 평양의 지휘자동화대학과 김책공대, 평양 컴퓨터기술대학 졸업생 중 우수 인력을 뽑아 해커 요원으로 충당하는 것으로 알려졌다.
[윤지환 기자] jjh@dailysun.co.kr
윤지환 기자
jjh@dailysun.co.kr