'6·25 해킹도 북한 소행 추정' 미래부 일문일답

(서울=연합뉴스) 최인영 기자 = 3·20 사이버테러에 이어 청와대와 언론사 등 69개 기관을 공격한 6·25 해킹도 북한의 소행으로 추정된다는 조사 결과가 나왔다.

민·관·군 합동대응팀은 16일 "지난달 25일부터 이달 1일 사이에 발생한 연쇄적인 사이버공격은 3·20 사이버테러 등을 일으킨 북한의 해킹 수법과 일치한다"고 밝혔다. 대응팀은 북한으로 추정되는 공격자가 국제해커그룹 '어나니머스'를 위장해 이번 공격을 일으킨 것으로 분석했다.

다음은 박재문 미래창조과학부 정보화전략국장, 전길수 한국인터넷진흥원(KISA) 침해사고 대응팀장, 오승곤 미래부 정보보호정책과장과의 일문일답.

-- 6·25 사이버공격에서 북한 IP가 발견됐다고 했는데, 3·20 공격에서 사용된 IP와 같은 것이 있는가.

▲ 이번에 발견된 IP는 3·20 공격 때와 유사한 형태다. 이번 북한 IP는 웹서버나 기타 서버 로그 기록에서 바로 얻은 것은 아니고, 파괴된 서버를 복구하면서 일부 채취한 로그에서 발견했다. IP 자체가 3·20 공격 때와 같은 것은 아니다. 이미 아는 북한 내 IP가 발견된 것이다.

-- 청와대 홈페이지의 개인정보가 새어나갔다고 하는데 북한이 청와대에서 개인정보를 빼내려고 시도한 것인가.

▲ 개인정보가 해킹 과정에서 유출된 것인지, 해킹을 준비하는 과정에서 유출된 것인지는 아직 확정할 수 없다.

-- 개인정보가 북한으로 간 것인가.

▲ 북한이어서 단정적으로 말하기 어렵지만 북한 행위로 추정하고 있다.

-- 왜 북한 소행이라고 안 하고 '추정'이라고 하는가.

▲ 100% 확정할 수 없어서 추정이라고 한 거다. 과거 7·7 디도스, 3·4 디도스, 농협 해킹 때도 기존 발견된 증거들로 미뤄 북한 소행이라고 말할 수 있었다.

-- 3·20 공격 때와 수법이 같은 게 아닌데 북한 소행으로 추정하는 근거가 불충분한 것 같다.

▲ 북한의 IP가 일부 피해기관과 악성코드 경유지에서 발견됐다. 과거 북한 소행으로 결론난 해킹 사건의 악성코드와 동종 수법이 이번에 발견된 것과 크게 다르지 않다.

-- 새누리당 당원명단, 청와대 홈페이지 개인정보 등 개인정보 유출 규모는.

▲ 시스템 자체가 파괴돼서 규모를 파악하기 어렵다. 각 피해기관이 유출 사실 보도를 냈다.

-- 공격자가 6·25 공격을 준비한 시점은.

▲ 3·20 공격 이전으로 파악한다. 6개월 이상 걸렸을 것으로 본다.

-- 6·25 공격이 3·20 공격 이전부터 준비된 공격이라면 6·25 공격을 3·20의 '변종'이라고 할 수 있나.

▲ 3·20 공격 이후에 발견돼서 변종이라고 한 거다. 3·20 공격 외에도 과거 농협 해킹 등에 사용된 악성코드와 유사하다.

-- 그렇다면 북한 소행으로 단정해도 되지 않나.

▲ 이번에 발견된 IP와 경유지에서 발견된 서버의 통신이 단방향이라면 IP를 변조할 수 있지만, 이번 공격에 사용된 통신은 양방향이어서 IP 변조가 불가능하다. 이를 바탕으로 북한 소행이라고 단정할 수는 있다. 단순 '추정'보다는 좀더 강하게 '소행으로 판단'으로 이해하면 된다.

-- 6·25 공격자를 자처한 국제 해커집단 어나니머스가 북한 해커인가. 북한을 해킹했다고 주장한 어나니머스의 정체는 파악했는가.

▲ 청와대 등 공격은 북한이 어나니머스를 위장했다고 본다. 북한을 공격한 어나니머스의 실체는 정확히 파악되지 않고 있다.

-- 3·20 공격 이후 추경예산을 확보했는데, 용처를 확정했는가.

▲ KISA 침해대응센터의 해킹 사전탐지시스템 구축, 악성코드 정보공유시스템 구축, 사이버대피소 용량 증축, 최정예 정보보안 인력 양성, 사이버 보안 종합대책에 따른 관계기관 사이버 보안 탐지시스템 신축, 국가간 정보공유시스템 구축, 인력양성, 교육훈련장 개선 등을 요청하고 있다.

-- 폐쇄망인 국가망이 이미 해커들에 장악된 게 아닌가.

▲ 최근 공격은 잠복기를 거친다. 악성코드가 이미 심어져 있기 때문에 발생한 것이고 이를 바탕으로 정부도 유출을 당했다. 정부 차원에서는 점검 절차 강화하고 재발방치대책 세우고 있다. 단, 국가망은 부처 홈페이지 등 국민에 정보를 공개하기 위한 시스템과 국가 주요 업무를 처리하기 위한 내부망으로 구분된다. 이번 공격은 대부분 국가 기간망이 아니라 개방된 인터넷망과 웹서버, 민간 웹서버 등이 당했다. 정부통합전산센터도 국가기관의 인터넷망을 관리하는 곳이다.

-- 북한에 경고 등 대응은 안 하나.

▲ 오늘 브리핑에서 다룰 대상은 아닌 것 같다.

-- 오늘 브리핑이 경찰의 6·25 공격 관련 수사에 영향을 주지 않을까.

▲ 수사는 계속 진행된다. 이번에 발표한 증거는 국내에서 확인 가능한 정보로 이뤄진 것이고, 경유지로 사용된 해외 서버를 확보해서 추가로 계속 조사할 예정이다.

-- 청와대 홈페이지 변조가 없었으면 개인정보 유출을 파악하기 어려웠을까.

▲ 아니다. 별도로 점검하는 과정에서 분석하면 파악할 수 있는 내용이다.

abbie@yna.co.kr

제보는 카카오톡 okjebo <저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지> 2013/07/16 16:14 송고