'농협 전산망 마비는 北의 사이버 테러' 문답풀이

조선일보
  • 김희섭 기자
    입력 2011.05.05 03:09

    좀비PC 고유번호 북한 것? 국정원 입수 목록과 일치
    나머지 좀비 200대 못 찾나? 수많은 PC 다 검사 못해
    PC 고유번호 알면 사용자는? 유통망 복잡해 알기 어려워

    지난달 12일 발생한 농협 전산망 마비 사태가 북한의 사이버테러로 밝혀졌다는 검찰 발표에 의문을 제기하는 사람들이 있다. "해킹 수법이 비슷하다는 점만으로 북한 소행이라고 섣불리 단정하기는 어렵다"거나 "수사가 잘 안 되니까 무조건 북한 탓으로 돌리는 것 아니냐"는 의문들이다. 검찰은 무슨 근거로 북한 소행으로 단정했을까.

    Q: 이번 사건이 전형적인 북한의 해킹 수법인가?

    A: 그렇다. 농협 전산망 공격에 사용된 악성코드를 암호화하는 기법이 지난 3월 4일 북한이 저지른 디도스(분산서비스거부) 공격과 똑같다. A로 시작하는 45자의 암호 키가 동일하고 삭제 대상 파일 종류 30여개도 100% 일치한다.

    Q: 해커들이 일반적으로 널리 쓰는 수법일 수도 있지 않나?

    A: 공격 명령을 내린 서버 컴퓨터의 인터넷 주소(IP) 하나가 지난번 3·4 디도스 공격 때 쓰인 북한 것과 똑같았다. 김영대 서울중앙지검 첨단범죄수사2부장은 "IP 한 개가 일치할 수 있는 확률은 43억분의 1"이라고 밝혔다. 두 사건을 한 해커 집단이 저질렀다는 증거라는 것이다.

    Q: 인터넷 주소를 위장하는 방법도 있다던데.

    A: 맞다. 국내 해커들도 해킹 경로를 숨기려고 해외 서버에서 접속한 것처럼 IP를 속이기도 한다.

    Q: 그렇다면 더 결정적인 증거는 없나?

    A: 있다. 농협 공격에 사용된 한국IBM 직원의 노트북PC를 조사한 결과 확실한 증거가 나왔다. 노트북에 들어 있는 통신용 랜카드는 저마다 고유번호(맥 어드레스)를 갖고 있다. IBM 직원 노트북에 있는 고유번호는 북한이 사이버테러용으로 관리해온 좀비PC 201대 중 하나의 번호와 똑같았다. 숫자와 알파벳으로 구성된 이 고유번호는 랜카드마다 다르다. IP와 달리 다른 번호로 마음대로 위조하는 것이 불가능하다.

    Q: 그 번호가 북한 것인 줄 어떻게 알 수 있나?

    A: 국정원이 모종 경로로 북한이 통제하는 좀비PC의 고유번호 목록을 입수했다. 당국은 구체적인 목록 입수 경위는 보안 문제 때문에 밝히기 힘들다고 설명한다. 다만 북한의 목록이라는 것은 분명하다고 단언했다.

    Q: 북한이 관리한다는 나머지 좀비PC 200대를 찾아내면 추가 사고를 예방할 수 있지 않나?

    A: 쉽지 않다. 인터넷 사이트에 접속한 IP는 기록이 남지만 랜카드의 고유번호는 저장되지 않는다. 문제가 발생했을 때 해당 PC를 분석해야 랜카드의 고유번호를 알 수 있다. 수없이 많은 PC를 일일이 검사해 고유번호를 확인하는 것은 불가능하다.

    Q: 북한의 추가 공격을 막을 수 없다는 뜻인가?

    A: 현재로서는 전산망 관리자들이 보안에 더욱 주의하는 수밖에 없다. PC 사용자들도 백신프로그램을 최신판으로 업데이트하고 자주 검사해야 한다. 신뢰할 수 없는 사이트나 파일은 쓰지 않는 것이 좋다.
    핫뉴스 BEST
      내가 본 뉴스 맨 위로

      내가 본 뉴스 닫기