북한발 한수원·소니 해킹...사이버테러 대란 경고
2014-12-22 15:36
배후 북한 지목 "내년 사이버공격 더욱 거세질 것"
아주경제 장윤정 기자 = 최근 발생한 한국수력원자력과 소니 픽처스 해킹 사건의 배후로 북한이 유력하게 지목되면서 한동안 잠잠했던 북한의 사이버 공격이 가속화 되는 것 아니냐는 우려가 나오고 있다.
22일 보안업계에 따르면 전문가들은 이번 한수원 해킹의 배후가 소니 해킹의 주범으로 지목되는 북한일 가능성이 높다고 분석했다.
임종인 고려대학교 정보보호대학원 원장은 "안랩에서 한수원을 공격한 악성코드 샘플을 분석한 결과 소니를 공격한 다크서울과 비슷한 코드의 유사점이 발견됐다"며 "북한을 흉내 낸 세력일 수도 있으나 해커그룹이 사용하는 고유한 코드가 있다는 점을 감안하면 북한이거나 북한을 지지하는 종북단체의 소행일 가능성이 높다"고 밝혔다.
그간 북한 해커들은 2009년 7.7일 디도스 대란부터 2011년 농협 전산망 침입, 2013년 3.20일, 6.25일 사이버공격 등 국내 주요 기반시설을 침투, 각종 공격을 감행해왔다.
이 사건들의 공통점은 '사회 혼란', '체제 전복'과 맞닿아 있다는 점이다. 특히 이번 한수원 사건의 경우 원자력이라는 국가적으로 가장 민감한 사안을 건드렸다는 점에서 북한의 소행일 가능성에 무게가 실리고 있다.
국내 이스트소프트의 악성코드 분석 전문가도 "IP와 악성코드를 분석하면 70% 가량은 북한의 사이버테러 수법과 유사하다"며 "무엇보다 과거 3.20·6.25 사이버테러와 공격 시나리오, 방식 등이 비슷해 북한의 소행일 가능성이 농후하다"고 말했다.
다른 한 전문가는 "이번 공격을 시도한 해커가 트위터를 통해 공격을 알리면서 '청와대, 아직도 아닌 보살'이라는 표현을 사용하며 청와대의 움직임을 촉구하고 있다" 며 청와대의 움직임을 주시하는 북한의 공격일 가능성이 높다고 강조했다.
해킹 수법은 비슷하지만 아직 단정하기는 이르다는 주장도 제기된다.
하우리 최상명 팀장은 "한수원 하드파일 악성코드를 분석한 결과 3.20·6.25 사이버공격 악성코드와 100% 일치하는 것은 아니다"며 "소니사이트의 경우 100% 일치를 보였으나 한수원의 경우 비슷한 코드가 보이긴 하지만 70~80% 가량 비슷한 정도다. 악성코드가 추가적으로 발견되거나 IP가 밝와혀진다면 좀더 자세하게 누구의 소행인지 알 수 있을 것"이라고 신중한 입장을 보였다.
또한 '아닌 보살'은 북한에서 '시치미를 뗀다'는 의미로 주로 쓰이는 용어라 북한이라는 추론이 나오고 있지만 전문가들은 오히려 북한의 소행인 것처럼 보이게 하려고 일부러 표현을 썼을 수도 있다는 설명이다. 말투는 조선족일 수도 있고, 중국인일 수도 있으니 추가적인 단서가 나올 때까지는 말하기 어렵다며 단정을 자제하는 분위기다.
그러나 이번 사건의 배후가 북한이든 북한을 추종하는 세력이든 제3의 세력이든 기반 시설 중 가장 안전해야할 원자력 부문에서 사이버공격을 받았다는 점에서 경각심을 높여야 한다는 목소리가 커지고 있다. 그간 보안전문가들은 원자력, 전기, 수력 등 기반시설 분야에 대한 해커의 공격을 경고해왔다.
그럼에도 정부는 망분리로 운영되기 때문에 인터넷과 연결돼 있지 않은 기반시설이 사이버공격을 받을 가능성이 적다며 사회혼란을 부치기지 말라고 소극적인 태도를 취해온 것이 사실이다.
전문가들은 이번 한수원 사건을 비롯해 정부 시스템과 사회 기반시설 등을 노린 악성코드 유포 사실이 잇달아 확인되면서 대규모 사이버테러의 전조현상이라고 경고한다. 또 긴장이 풀리는 연말연시를 틈타 해커들의 공격이 더욱 활발해질 것으로 내다봤다.
권석철 큐브피아 대표는 "지난 2011년 9월 한전에 북한 추정 사이버공격이 감행됐다는 증거를 언론에 발표했지만 아무도 믿지 않았다"며 "북한 또는 북한을 가장한 해커들은 벌써 3~4년전부터 국내 기반시설을 공격할 준비를 해오고 있었다. 실제로 2014~2015년경 대형 사이버공격을 감행할 것이라는 시나리오가 있었다. 2015년이 위험하다"고 경고했다.