최상명 하우리 팀장은 25일 기자와 만나 "한수원 자료를 유출시킨 해커는 고도의 전문지식을 갖췄으며 최소 30대 중후반 이상의 경력을 가진 기술자일 것"이라고 분석했다.
최 팀장은 자타가 공인하는 악성코드 전문가이자 북한 악성코드 분석 분야에서 국내 손꼽히는 보안전문가다.
실제 북한 해커들의 움직임을 추적하며 쌓아온 노하우는 실전을 통해 습득한 지식으로 자타공인 국내 최고 수준이다.
악성코드에는 고난도 교란용 코드가 들어 있었고 이 악성코드는 난독화돼 있었다. 보통 악성코드에 난독화 기법까지 적용해서 유포하지 않지만 자신을 숨기기 위해 난독화를 적용했다는 것은 상당한 수준이라는 설명이다. 한글파일에 숨겨 넣은 방식도 현재 개발된 백신이 탐지하지 못한 신종 기법이다.
좀비 PC를 해킹에 이용하고, 여러 나라에 거쳐 해킹을 시도해 추적을 따돌리는 등 수준급 해킹 실력을 선보이고 있다.
최상명 하우리 팀장은 "이번 한수원 해킹은 세계 수준의 해커"라며 "악성코드를 USB를 통해서 옮겨진 PC에서 동작할 수 있게도 충분히 만들 수 있다"고 말했다.
최 팀장은 "그동안 악성 코드로 하드디스크를 파괴하고 부팅 자체가 안 되게 하는 경우는 많았다"면서 "이번에는 부팅되면서 빨간색 글자로 'Who Am I'라는 글자가 나오게 했는데, 여기에는 매우 고급기술이 들어간다"고 설명했다.
지난 3.20, 6.25 사이버테러 등에서는 PC 부팅 영역에 해당하는 마스터부트레코드(MBR)를 파괴해 내부 시스템을 쓰지 못하게 하는 기능을 넣으며 하드디스크를 멈추게 해 까만색 화면이 나타나게 하는 방법 등은 웬만한 해킹 실력을 가진 해커라면 가능한 일이다.
하지만 한수원 해킹에서는 악성코드 내에 'Who Am I?'라는 문구를 집어넣었고, MBR 파괴 기능이 작동할 경우 감염된 PC를 재부팅하면 첫 화면에 'Who Am I?'라는 문구가 표시되도록 했다.
즉, PC가 부팅하고 윈도로 진입하기 전에 글자가 화면에 나타나는 하는 이같은 기법은 도스 시절에 사용했던 기법이다. 윈도 환경으로 넘어오면서 이러한 기술을 사용한 악성 코드가 한 번도 없었다는 설명이다. 또 악성 코드가 난독화 돼 있거나 한글파일에 숨겨 넣는 방식 등도 고난도의 기술로 간주한다.
그는 "2000년 이후 이같은 공격을 거의 보지 못했다"며 "이에 따라 한수원을 공격한 해커 또는 해커 집단은 30대 이후 중후반 이후 상당한 컴퓨터 지식을 가졌을 것으로 추정된다"고 밝혔다.
그러나 그는 이번 해킹의 배후가 북한일 것이라고 단정짓지는 않았다.
그는 "비슷한 시기에 발생한 소니픽처스의 해킹은 북한의 패턴과 90% 이상이 일치하며 북한에서 사용하는 IP가 발견됐기 때문에 북한이라고 밝힐 수 있었으나 이번에 발견된 악성 코드는 기존 북한의 소행이라고 알려진 3.20 및 6.25 해킹때 써왔던 악성 코드 유형과는 많이 다르다"는 의견을 내놨다.
그러면서도 그는 "북한 소행을 완전히 배제할 수도 없다"며 "북한이 자주 사용하는 코딩이 이번 해킹에서도 발견되는 등 비슷한 습성이 보인다"고 언급했다.
이어 그는 "지난 10월 이후 국내 악성코드 유포가 급격히 증가했다. 한수원 뿐 아니라 윈도XP 등 구 버전 OS를 사용하는 기관, 기업, 일반 사용자 등에 대한 총체적인 점검 및 대비가 시급하다"고 강조했다.