3·20 사이버테러 통해 본 수법

북한의 사이버 공격이 갈수록 지능화되고 있다.

북한은 ‘3·20 사이버테러’를 비롯한 수차례 해킹에서 국내외 10개국을 경유지로 사용한 것으로 확인됐다. 과거에 주로 중국의 인터넷프로토콜(IP)을 거쳐 단순하게 공격했던 것과 비교해 볼 때 발전된 형태이다. 따라서 추가 공격을 받으면 국내는 다시 혼란을 겪을 가능성이 높다.

11일 민·관·군 합동대응팀에 따르면 북한의 공격 경유지는 49개 지점, 국가별로는 한국을 포함한 10개국인 것으로 밝혀졌다. 특히 공격 경유지 49곳 중 해외는 24곳이었고, 이 가운데 과거 해킹에 사용했던 IP는 4개뿐이었다.

나머지 20개 해외 IP는 모두 과거 해킹과는 무관한 것이었다. 전날 공개된 32건의 공격 경유지 예시 자료에서도 중국 IP는 하나도 없는 대신에 미국의 IP 4종류와 홍콩의 IP 1종류가 명시됐다.

북한은 다양한 지역을 공격 경유지로 설정해 두고 필요에 따라 선택적으로 이용한 것으로 추정된다. 공격 경유지를 다각화하려면 사전에 시간을 두고 더욱 치밀하게 준비해야 한다는 점에서 수사를 어렵게 하고 있다.

보안업계 관계자는 “역추적을 막기 위해 공격 경유지를 복잡하게 해둔 점, 8개월여 전부터 미리 잠입해 감시활동을 펼친 점, 경유지 흔적을 지우려 한 점 등에서 과거보다 지능화된 공격 방식을 알 수 있다”고 지적했다.

이와 함께 3·20 사이버테러에 사용된 IP의 지리적 등록 주소는 ‘조선민주주의인민공화국 평양직할시 보통강 구역 류경동’인 것으로 나타났다. 한국인터넷진흥원(KISA)이 운영하는 ‘후이즈’ IP 검색 서비스에 따르면 IP 주소인 ‘175.45.178.xx’의 등록자 주소는 보통강 구역 류경동(Ryugyong-dong Potong-gang District)이다. 류경동은 고 정주영 현대 명예회장의 이름을 딴 류경정주영체육관과 류경호텔 등이 있는 평양 시내 명소로 알려진 곳이다. 해당 IP는 이곳에 위치한 ‘스타조인트벤처’라는 회사 명의로 등록됐다.

스타조인트벤처는 2009년 12월 14일 아시아태평양정보망센터(APNIC)를 통해 ‘175.45.176.0’∼‘175.45.179.255’ 등 1024개의 IP 주소를 등록했다. 그러나 IP 주소 등록자가 기입한 지리적 주소와 IP 주소를 실제로 사용하는 지리적 주소는 다를 수 있다. 따라서 실제 사이버 공격이 평양 류경동에서 실행됐는지 여부를 이것만으로 단정짓기는 어렵다.

홍혜정 기자 jukebox@seoul.co.kr