진짜 IP 남기며 해킹하는 해커가 어디 있나

北 사이버테러" 검찰 발표 의문점

'과연 북한일까.'

검찰이 농협 전산망 장애 사건의 범인으로 북한 정찰총국을 지목했다. 산하 400여 명의 해커부대를 동원해 수 개월 동안 악성 코드를 제작 유포해 여기 감염된 협력업체 직원의 노트북을 원격 조정했다는 것이 검찰 수사 결과다. 하지만 보안 전문가들은 검찰 발표에 고개를 갸웃거리고 있다. 북한 소행으로 단정짓기에는 몇 가지 미심쩍은 대목이 있기 때문이다. 오히려 일부 보안전문가들은 농협 내부자 소행일 가능성에 더 무게를 싣고 있다.

위변조 쉬운 IP로 범인 단정은 무리

우선 보안 전문가들은 이구동성으로 검찰 수사와 달리 인터넷주소(IP) 추적 만으로 해커의 정체를 파악하기 힘들다고 주장했다. IP는 일종의 신분증이다. 컴퓨터(PC)나 노트북 등으로 인터넷에 접속하면 기계적 주소를 부여받는데 이것이 IP다. 따라서 특정 사이트에 접속하면 접속 기기의 IP가 기록에 남는다.

문제는 IP를 세탁하거나 변조할 수 있다는 점이다. 악성코드를 이용해 특정 PC를 좀비PC로 만든 뒤 이를 원격 조정해서 특정 사이트를 해킹하면 좀비PC의 IP만 남는다. 즉, IP 세탁을 통해 진짜 해킹 주소를 감추는 셈이다.

심지어 약간의 해킹 지식만 있다면 IP를 변조하는 것도 가능하다. 특히 과거 해킹 사건에 사용된 IP를 알고 있다면 이를 이용할 수도 있다. 해커 출신 국내 보안업체 사장인 A씨는 "IP는 신분증 같은 것"이라며"도둑질을 하기 위해 신분증을 맡기고 정문을 통과해야 한다면 진짜 신분증을 맡기겠느냐. 프록시 기법을 이용해 해킹을 하고 여러 기기나 사이트를 수 차례 경유한 뒤 접속기록에 남아 있는 IP 자체를 조작하면 진범의 IP를 찾기 힘들다"고 말했다.

특히 A씨는 IP 조작 가능성을 높게 보고 있다. 그는 "추적의 빌미를 남기며 해킹을 하는 해커는 없다"며 "해킹 당한 시스템에서 찾아낸 IP라면 조작 가능성이 높다"고 단정했다.

북한 해커부대 실력은 미지수

보안전문가들은 북한 해커부대의 실력 또한 의심하고 있다. 한 번도 그들의 소행으로 입증된 사례가 없기 때문이다. 지난해 7.7 디도스 대란이나 올해 3.4 디도스 사태도 정부에서 북한 소행으로 추정했으나 정작 북한은 침묵을 지켰다.

보안 전문가들은 북한의 여건상 대규모 해킹이 어려울 것으로 보고 있다. 보안 전문가 B씨는 "북한은 사실 IP 조차 제대로 부여받지 못해 중국 망을 빌려서 사용한다"며 "전세계 해커들 사이에서 취약한 인프라를 가진 북한의 해커부대는 아예 존재감이 없다"고 지적했다. 보안전문가 A씨는 "국가 기관이 치밀한 준비를 통해 사이버 공격을 한다면 훨씬 치명적이고 광범위한 공격이 가능한데 그렇게 하지 않은 점도 이상하다"고 덧붙였다.

고난이도 해킹 기법 아니다

악성 코드를 배포하고, 여기 감염된 좀비PC를 통해 C&C에서 원격 조정하는 기법은 검찰 발표와 달리 새로운 형태의 사이버테러나 고난이도 해킹 기법이 아니라는 것이 전문가들 얘기다. 지난해 7.7 디도스 대란, 올해 3.4 디도스 사태 모두 이 같은 방법을 사용했다. 검찰도 동일한 기법이라고 밝혀 이를 뒷받침했다. 보안업체 큐브피아의 권석철 사장은 "해킹 지식과 경험이 있다면 악성 코드를 만들어 취약점을 찾아내고, C&C로 공격하는 것은 어려운 게 아니다"라며 "굳이 많은 인원도 필요 없고 악성코드 배포에 오랜 시간이 걸리지도 않는다"고 주장했다.

내부자 소행 가능성 있다

보안전문가들이 내부자 소행일 수도 있다고 보는 이유는 공격 방식 때문이다. 농협이 사용한 유닉스 서버에서 모든 파일과 디렉토리 등 데이터를 삭제하는 rm 명령을 날릴 수 있는 권한은 최종 관리자만 갖고 있다. 보안전문가 C씨는 "짧은 시간에 유닉스 서버에 접속해 최종 관리자만 사용할 수 있는 rm 명령으로 시스템을 마비시킨 것은 내부 정보를 잘 아는 사람의 소행일 수 있다"며 "스크립트 명령을 정교하게 사용해 공격한 점도 내부 시스템에 익숙한 것으로 추정된다"고 강조했다.

다른 보안업계 관계자는 "범인을 잡기 힘든 상황에서 북한을 범인으로 지목하면 자백하지 않는 이상 누구도 사실 여부를 확인하기 힘들다"며 "이런 점 때문에 북한이 지목됐을 가능성이 높다"고 지적했다.

차라리 내부자 소행인데 흔적을 안 남겨서 못찾겠다 이렇게 나오면 이해를 하겠습니다.....