北이 반복 사용하는 악성코드 패턴·IP경유지 등 통해 밝혀

■ 구멍 뚫린 사이버안보 - 北 소행 추정 근거는

원자력硏·서울대병원 해킹
과거 수법과 정확하게 일치

디도스(DDoS·분산서비스거부) 공격이나 대규모 전산망 해킹과 같은 고도의 사이버 공작은 그 가해 세력이 누구인지 입증하는 명확한 증거를 잡아내기가 쉽지 않다.

그러나 국내 해킹 조사 기관들은 해킹에 동원된 악성코드의 패턴(유형)이나 IP 또는 해당 IP들이 경유한 지역 등 주요 3가지 근거를 바탕으로 특정 해킹 사건이 북한 관련 해킹그룹의 소행인지를 판단하고 있다.

12일 유동열 자유민주연구원장은 문화일보와의 통화에서 각 해킹 사건들의 북한 연계 해킹그룹 소행 여부에 대해 “해킹에 사용된 악성코드 패턴, 특정 IP나 IP의 경유지 등을 통해 북한 연계성 여부를 판단한다”고 설명했다. 예를 들어, 지난 2013년 3월 국내 방송·금융사들에 대한 대규모 전산망 해킹사건 당시에도 국내 민관군 합동대응팀은 “북한 정찰총국의 수법과 유사하다”는 입장을 밝히며 △북한 내부에서 국내 공격 경유지에 수시 접속 및 장기간 공격 준비 △공격 경유지 49개 중 22개가 과거 사용했던 경유지와 동일한 점 △악성코드 76종 중 30종 이상 재활용 등의 근거를 제시하기도 했다.

구체적으로 알려지지는 않았지만 북한 관련 해킹그룹은 해킹을 위해 사용하는 악성코드에 고유한 양식을 반복 사용하는 것으로 파악되고 있다. 이들이 사이버 공격에 동원하기 위해 악성코드를 감염시킨, 이른바 ‘좀비PC’에도 고유의 식별번호가 부여되는 것으로 알려졌다.

또 북한 연계 해킹그룹이 해킹에 사용한 IP도 반복적으로 발견되는 것으로 알려졌다. 해커들은 통상 특정 시스템을 해킹한 후 공작을 종료할 때 침투 흔적이나 접속 IP를 삭제하지만, 미처 삭제하지 못한 IP가 중복적으로 발견된다는 것이다.

실제로 최근 한국원자력연구원과 한국항공우주산업(KAI), 서울대병원 등이 북한 소행으로 추정되는 해킹에 노출된 사건이 발생했다. 이에 국가정보원은 국회 정보위원회에 이 같은 내용을 보고했고, 정보위 소속 하태경 국민의힘 의원은 서울대병원을 해킹한 IP가 북한 연계 해커 조직인 ‘킴수키’ 공식 해킹 서버와 연결된다고 밝혔다.

북한 연계 해킹그룹뿐만 아니라 불법적인 해킹 세력들은 그 정체를 감추기 위해 타 지역을 경유하는 IP로 해킹 대상을 공격하는 것으로 알려졌다. 지난 2016년 발생한 국방망(군 인트라넷) 해킹 사건 당시에도 국방부는 북한 소행 추정 근거의 하나로 “해킹 경유지 중 북한이 사용하던 중국 선양(瀋陽)의 IP주소가 식별됐다”고 밝혔다.

나주예 기자 juye@munhwa.com