주로 중국 IP를 이용하던 과거와 달라…취약점도 다양하게 이용

북한이 3.20 사이버테러를 비롯한 최근의 해킹 공격에서 국내외 10개국을 다양하게 경유지로 사용한 것으로 드러남에 따라 북한의 사이버공격 방식의 변화가 주목된다.

11일 한국인터넷진흥원(KISA) 등 민·관·군 합동대응팀에 따르면 북한의 공격 경유지는 49곳이지만, 국가별로는 한국을 포함해 10개국이었다.

이는 과거 정부가 북한의 소행이라고 결론 내린 사이버 공격 때와는 다소 다른 양상을 보이는 것이다.

과거에는 주로 중국의 인터넷프로토콜(IP)을 거쳐서 국내에 공격을 가했는데, 이번에 해외 공격 경유지가 더 다양해진 것이다.

실제로 정부가 3.20 사이버 테러의 공격 경유지로 확인한 49곳 중 해외는 24곳인데, 이 가운데 과거 해킹에 사용했던 IP는 4곳 뿐이었다. 나머지 20개 해외 IP는 모두 과거 해킹과는 다른 곳이다.

국내 공격경유지 25곳 중 18곳이 과거에 이미 쓰였던 곳과 일치하고 새로운 경유지는 7곳에 불과한 것과는 대조적이다.

정부가 10일 브리핑에서 공개한 32건의 예시 자료에서도 중국 IP는 없는 대신 미국의 IP 4종류와 홍콩의 IP 1종류가 공격 경유지로 명시됐다.

이에 따라 북한이 과거와 달리 중국 이외의 다양한 지역을 공격 경유지로 설정해 두고 필요에 따라 이용하는 방식으로 바뀌는 게 아니냐는 지적이 나온다.

보안업체의 한 관계자는 “사이버공격에 중국 IP가 많이 쓰였던 것은 중국의 전체 IP 수가 다른 나라에 비해 많기 때문”이라며 “다만 다양한 국가의 IP를 사용하면 역추적을 막을 수 있어 좀더 신중한 공격 방식으로 추정해볼 수 있다”고 설명했다.

게다가 이렇게 다양한 IP로 공격하려면 많은 공격 경유지를 미리 확보해 둬야 하기 때문에 준비가 더욱 치밀했다는 증거로도 볼 수 있다.

북한은 또 8개월여 동안 치밀하게 준비한 것을 반영하는 듯 취약점도 다양하게 이용했다.

전길수 KISA 단장은 “(북한이) 전체적으로 애초에 한 가지가 아니라 전체적으로 여러 가지 취약점을 이용했다”고 밝혔다.

북한이 이용한 취약점은 ▲악성코드를 유포하기 위한 웹사이트의 취약점 ▲네트워크 관리자의 PC의 취약점 ▲사내에서 운영하는 서버의 취약점 ▲보안 소프트웨어 등의 배포 서버의 취약점 등이다.

다른 보안업계 관계자는 “이처럼 다양한 취약점을 모두 이용하는 것은 최근 급증하는 지능형지속공격(APT)의 전형적인 특징”이라고 설명했다.

연합뉴스