사용자 삽입 이미지

미국 정부가 소니 해킹 사건의 배후로 북한을 지목하면서도 증거를 제시하지 않은 이유는 우방국인 우리나라의 네트워크 해킹이 사전에 수행돼 있었기 때문으로 보인다.

독일 슈피겔에 따르면 미국 국가안보국(NSA)은 북한 정보기관을 감시하고 있는 우리나라의 정보망을 탈취한 뒤, 추가적으로 자신들의 감시 코드를 삽입했다.

이 언론이 공개한 NSA의 기밀문건에 따르면 NSA는 ‘디파이언트워리어(DEFIANTWARRIOR)’는 악성코드(소프트웨어)를 개발했다. 디파이언트워리어는 봇넷의 권한을 탈취해 자신들이 통제할 수 있는 새로운 악성코드를 숨길 수 있는 기능을 갖추고 있다. 이 기술은 퀀텀봇(Quantumbot)이라는 코드명으로도 불린다.
사용자 삽입 이미지

NSA의 디파이언트워리어는 자국을 제외한 해외 주요 국가에 유포돼 활동하고 있으며, 해외 정보기관들이 타국으로부터 훔쳐낸 데이터를 또 다시 가로채는 ‘제 4자 수집(fourth party collect)’ 행위도 한것으로 나타났다.

슈피겔이 공개한 기밀문건에는 북한(NK)뿐만 아니라 한국(SK)도 자주 등장한다. 기밀문서에는 NSA가 북한 네트워크 감시를 위해 한국이 북한 네트워크에 심어둔 프로그램의 도움을 받았다고 서술돼 있다.

하지만 NSA는 한국에 정식으로 도움을 요청한 것이 아니었다. 당시 NSA는 북한 네트워크에 접근하기가 어려운 상황이었다. NSA는 북한 네트워크에 접근할 통로를 만드는 대신 이미 북한 네트워크에 접근하고 있는 우리나라의 네트워크를 탈취해 활용한 것이다. 소니 해킹의 배후로 북한을 지목한 이유가 바로 여기에 있다.

문제는 미국은 우리나라가 북한에 심어둔 네트워크를 활용하면서 동시에 우리나라의 대북 정보수집 활동도 감시하고 있었던 것이다. 이로 인해 우리는 대북에 대한 정보도 빼앗기고, 대북 네트워크도 무너지게 됐다.

사이버세상에서는 우방국도 적대국도 없다는 것이 다시 한번 밝혀진 셈이다.
2015/01/20 16:01 2015/01/20 16:01


 


지난 몇년간 우리 나라에서 발생하는 해킹 사고중 일부는‘북한의 소행’으로 귀결되곤 했다. 이는 공격자의 정체를 제대로 파악하지 못할 경우에도 주로 나타났는데, 사건의 정황이 북한과 관련이 있기 때문일 것이다.


지난해 발생한 농협 전산망 장애 사건의 배후로 검찰은 북한 정찰총국을 지목했다. 400여명의 해커부대를 동원해 수 개월동안 악성코드를 제작, 유포해 APT(지능적지속가능위협) 공격을 했다는 것이 검찰의 수사결과였다.

‘북한소행’으로 결정지어진 해킹 사고는 농협뿐만 아니다. 지난해 대규모 정전사태를 비롯해 한글파일을 이용한 악성코드 배포, 게임 클라이언트 해킹, 중앙일보 해킹 등이 모두 ‘북한소행’으로 결론지어졌다.

보안업계에서는 북한 해커의 실력을 ‘평가할 수 없다’라고 일축한다. 실력이 뛰어난지, 그렇지 않는지조차 파악하기 힘들기 때문이다.

이 같은 주장이 나오는 이유는 지난 2010년 전세계를 떠들석하게 만들었던 스턱스넷과 관련이 있다. 스턱스넷은 미국과 이스라엘 중추부에서 특정한 목적을 가지고 국가단위로 움직인 공격이었다. 최근 미국 오바마 대통령이 공식적으로 시인하기 전까진 심증만 있을 뿐 배후를 전혀 찾을 수 없었다.

매우 우수한 실력을 가지고 있다면 미국의 경우처럼 애초부터 증거를 남기지 않을 것이라는 게 상식적으로 생각할 수 있는 부분이다. 하지만 사건발생 후 증거는 늘 북한발 IP로 드러난다는 점에 의혹을 가지고 있는 해커들도 다수 등장했다.

실제 지난해 농협 전산망 해킹사건과 관련해 다수의 해커들은 증거가 너무 명확하게 드러났다는 점에서 의구심을 표출한 바 있다.

11일 서울 리츠칼튼 호텔에서 열린 ‘시큐인사이드 2012’에서도 이와 같은 주제가 나왔다.

한국 해커인 이승진 씨는 “우리나라 사람들이 흔히 착각하고 있는 것이 북한의 해커들이 매우 뛰어난 실력을 갖추고 있다고 생각하는 것이다. 사실 북한 해커들의 실력을 알아낼 수 있는 자료는 매우 한정적이고, 실제 샘플을 입수해 조사해본 결과 수준이 많이 떨어진다는 것을 알 수 있었다”고 말했다.

앞서 이야기 한대로 사건의 모든 증거가 로그에 남아있다는 의미로 해석된다.

이 씨는 “가장 최근에 입수한 악성코드는 APT 공격에 활용되는 것이었는데, 국내에서 발생한 공격과는 형태가 전혀 달랐다. 이런 이유로 인해 지하세계에서 활동하는 국내 해커들은 북한 해커들이 실력이 좋다는 것에 동의하지 않는다”며 “물론 국가 단위로 교육을 시키기 때문에 해킹에 대한 기초지식은 우리보다 풍부할 수 있다고 생각한다. 그러나 기초지식과 해킹 실력은 별도의 이야기”라고 덧붙였다.

사실 북한 해커들의 실력 수준보다 중요한 것은 자국의 상황을 알아야한다는 것이다. 우리나라는 여전히 사이버보안에 취약성을 드러내고 있고, 이제서야 인재양성을 위한 계단을 서서히 밟고 있는 상황이다. 음지에서 활동하는 해커들은 많지만, 국가에서는 여전히 이들을 인정하고 있지 않다.

미국의 경우 해커들을 공개적으로 채용해 버그리포트를 의뢰하거나 버그픽스를 한 해커들을 대상으로 포상을 하기도 한다. 대표적으로 구글, 애플, 마이크로소프트가 이에 속한다. 그러나 국내에서는 아직까지 이런 분위기가 없다.

이 씨는 "해외의 경우 해커들의 대우가 상당히 좋은 편이지만, 국내에서는 상황이 다르다"며 "비록 음지 시장이긴 하지만 시장의 규모도 다르다. 버그를 찾아내거나 취약점을 보고해도 해커들이 얻을 수 있는 부분은 없다"고 말했다.



2012/07/12 12:04 2012/07/12 12:04