지난달 12일 발생한 농협 전산망 마비 사태가 북한의 사이버테러로 밝혀졌다는 검찰 발표에 의문을 제기하는 사람들이 있다. "해킹 수법이 비슷하다는 점만으로 북한 소행이라고 섣불리 단정하기는 어렵다"거나 "수사가 잘 안 되니까 무조건 북한 탓으로 돌리는 것 아니냐"는 의문들이다. 검찰은 무슨 근거로 북한 소행으로 단정했을까.
Q: 이번 사건이 전형적인 북한의 해킹 수법인가?
A: 그렇다. 농협 전산망 공격에 사용된 악성코드를 암호화하는 기법이 지난 3월 4일 북한이 저지른 디도스(분산서비스거부) 공격과 똑같다. A로 시작하는 45자의 암호 키가 동일하고 삭제 대상 파일 종류 30여개도 100% 일치한다.
Q: 해커들이 일반적으로 널리 쓰는 수법일 수도 있지 않나?
A: 공격 명령을 내린 서버 컴퓨터의 인터넷 주소(IP) 하나가 지난번 3·4 디도스 공격 때 쓰인 북한 것과 똑같았다. 김영대 서울중앙지검 첨단범죄수사2부장은 "IP 한 개가 일치할 수 있는 확률은 43억분의 1"이라고 밝혔다. 두 사건을 한 해커 집단이 저질렀다는 증거라는 것이다.
Q: 인터넷 주소를 위장하는 방법도 있다던데.
A: 맞다. 국내 해커들도 해킹 경로를 숨기려고 해외 서버에서 접속한 것처럼 IP를 속이기도 한다.
Q: 그렇다면 더 결정적인 증거는 없나?
A: 있다. 농협 공격에 사용된 한국IBM 직원의 노트북PC를 조사한 결과 확실한 증거가 나왔다. 노트북에 들어 있는 통신용 랜카드는 저마다 고유번호(맥 어드레스)를 갖고 있다. IBM 직원 노트북에 있는 고유번호는 북한이 사이버테러용으로 관리해온 좀비PC 201대 중 하나의 번호와 똑같았다. 숫자와 알파벳으로 구성된 이 고유번호는 랜카드마다 다르다. IP와 달리 다른 번호로 마음대로 위조하는 것이 불가능하다.
Q: 그 번호가 북한 것인 줄 어떻게 알 수 있나?
A: 국정원이 모종 경로로 북한이 통제하는 좀비PC의 고유번호 목록을 입수했다. 당국은 구체적인 목록 입수 경위는 보안 문제 때문에 밝히기 힘들다고 설명한다. 다만 북한의 목록이라는 것은 분명하다고 단언했다.
Q: 북한이 관리한다는 나머지 좀비PC 200대를 찾아내면 추가 사고를 예방할 수 있지 않나?
A: 쉽지 않다. 인터넷 사이트에 접속한 IP는 기록이 남지만 랜카드의 고유번호는 저장되지 않는다. 문제가 발생했을 때 해당 PC를 분석해야 랜카드의 고유번호를 알 수 있다. 수없이 많은 PC를 일일이 검사해 고유번호를 확인하는 것은 불가능하다.
Q: 북한의 추가 공격을 막을 수 없다는 뜻인가?
A: 현재로서는 전산망 관리자들이 보안에 더욱 주의하는 수밖에 없다. PC 사용자들도 백신프로그램을 최신판으로 업데이트하고 자주 검사해야 한다. 신뢰할 수 없는 사이트나 파일은 쓰지 않는 것이 좋다.