3.20 사이버테러…북한 소행으로 결론

[글로벌이코노믹=온라인뉴스팀] 민·관·군 합동대응팀이 3.20 사이버테러를 역추적하면서 처음으로 북한의 인터넷프로토콜(IP)을 밝혀냄에 따라 과거 해킹도 북한이 저질렀다는 확실한 증거가 나온 셈이 됐다는 분석이 나오고 있다.

김승주 고려대 정보보호대학원 교수는 11일 "이번 3.20 사이버테러는 과거 북한 소행으로 결론이 난 사이버 공격과 수법·경로 등이 유사하다"며 "이런 가운데 북한 IP까지 검출돼 이번 해킹뿐 아니라 과거 해킹까지 북한의 소행이라는 점이 더욱 확실해졌다"고 말했다.
정부는 그간 2009년과 2011년 있은 두 차례의 디도스 공격과 2011∼2012년 잇따라 발생한 농협·중앙일보 전산망 파괴 공격에 대해 모두 북한의 소행으로 결론내렸다.

그러나 일각에서는 이를 '정부의 성급하고 무책임한 판단'으로 치부하는 일이 많았다. 정부가 결정적인 이유를 제시하지 못했다는게 이유였다.

이런 가운데 3.20 사이버테러에 대한 역추적 과정에서 북한 해커가 실수로 남겨둔 북한 내부 IP가 발견되면서 상황이 반전됐다.

북한이 통신망과 관련한 기술적 문제 때문에 IP를 노출시킨 것이다. 더구나 이번 공격은 쌍방향 통신이 필요한 사이버 공격이라 이 IP가 위조됐을 가능성도 극히 적은 것으로 진단됐다.

김 교수는 "통신망 문제로 북한이 IP를 노출한 것은 우리 정부로서는 다행스러운 일"이라며 "쌍방향 통신이 필요한 공격에서 IP 위조가 불가능하다고 단정할 수는 없지만 이번 공격의 경우 거의 가능성이 없는게 사실"이라고 설명했다.

같은 대학원의 이경호 교수도 "3.20 사이버테러에서 북한 IP가 노출된 것은 통신망 장애라는 우연적인 상황 때문"이라며 "북한 해커는 당초 이를 예상하지 못했기 때문에 추가적인 위장의 필요성을 못 느낀 것으로 보인다"고 분석했다.
김 교수는 "이번 공격에서 발견된 공격 경유지와 악성코드가 과거 디도스 공격이나 농협·중앙일보 공격과 상당 부분 겹친다는 게 중요하다"며 "이번 북한 IP 발견으로 과거의 사이버공격도 북한 소행으로 판단할 확실한 근거가 발견된 셈"이라고 평가했다.

3.20 사이버테러에 대한 역추적을 통해 기존 해킹도 북한 소행으로 연결할 수 있는 '잃어버린 고리'가 발견됐다는 설명이다.

실제로 이번 정부의 역추적 관련 발표에서는 북한의 내부 IP와 공격 경유지 일부, 악성코드 소스프로그램 일부 등을 공개하는 등 과거보다 많은 증거 자료가 제시됐다.

이와 관련, 보안 전문가들로 구성된 정부 자문단에서는 너무 많은 자료를 공개하면 앞으로의 북한 공격을 잡아내는 데 어려움이 생긴다며 우려하는 목소리도 많았다는 후문이다.

그러나 해커 집단으로 알려진 어나니머스코리아는 트위터를 통해 "3.20 해킹이 정찰국 소행이라면서 정작 증거자료는 제시를 못했다"며 정부의 조사결과 발표에 의문을 표시하기도 했다.

일부 누리꾼들도 "어느 해커가 자기 IP로 해킹을 하느냐"며 "IP가 증거가 되면 한국은 이제 온갖 해커들의 놀이터가 될 것"이라고 비판했다.