수년간 공격 지속 APT 사용… 일부 기업에도 해킹 시도

정부, 해킹 수법 확인… 추가 공격 가능성 대비 돌입

사상 초유의 방송·금융사 전산 마비를 불러온 사이버테러가 수개월간 치밀하게 준비한 ‘지능형 지속 해킹(APT)’으로 알려지면서 추가 피해 우려가 커지고 있다. 6개 방송·금융사 외에도 일부 기업에서 해킹 시도가 포착됐고, 악성코드에서 추가 공격을 암시하는 단어가 발견됐기 때문이다. 정부와 전문가그룹은 조직적으로 여러 시설에 동시다발적인 공격을 감행하고, 최근 사이버공격을 암시하는 논평을 하는 등 전력으로 미뤄 북한을 유력한 ‘배후’로 지목하고 있다.

◆곳곳에 산재한 악성코드…2차 피해 우려

정부는 21일 해킹의 전모를 파악하고, 예상되는 추가 공격에 대비하느라 분주하게 움직였다. 정부 합동대응팀에 소속된 한국인터넷진흥원(KISA) 관계자는 이날 “추가적인 해킹 피해가 있을 수 있다는 분석이 잇따르고 있어 모니터링을 강화했다”고 밝혔다.

정부는 추가 피해 차단을 위해 안랩·하우리·잉카인터넷 등 백신 업체와 협조, 전용 백신을 긴급 개발해 배포하는 한편 국가·공공기관과 교통·전력 등 국가기반시설에 대해 피해 차단 요령을 긴급 전파했다.

실제 이번 해킹 유형이 지속적으로 보안 취약점을 노리는 APT로 파악돼 2차 피해가 나올 가능성이 크다. 해커들이 숨겨놓은 악성코드는 곳곳에 도사리고 있다. 전날 국민은행과 우리은행도 해킹 공격을 받은 것으로 뒤늦게 확인됐다. 해커가 목표로 하는 서버를 장악하면 숨겨놓은 악성코드는 언제든 공격 명령을 내릴 수 있다. 2009년 다국적 석유회사를 대상으로 한 일명 ‘나이트 드래곤’ APT는 무려 4년 동안 공격이 이뤄졌다. 6개월간 200개 이상의 회사를 대상으로 해킹한 해외 사례도 있다.

KBS와 MBC의 악성코드 감염 PC 분석결과 해커들이 숨긴 것으로 추정되는 ‘하스타티’(HASTATI)라는 문자열은 추가 공격 가능성을 시사하고 있다. 하스타티는 로마제국 시절 1열에 서는 선봉부대를 뜻하고, 로마 군대는 하스타티가 무너지면 2열과 3열의 부대가 이어서 공격하는 전법을 썼다.

◆‘북한=배후’ 추정 근거는

이번 해킹은 업종이 다른 방송과 금융기관을 동시에 공격한 점에서 ‘개인정보’보다는 ‘전산망 마비’가 목적으로 보인다. 사익과는 동떨어져 있다는 점에서 ‘북한=배후’라는 분석에 갈수록 무게가 실리고 있다.

먼저 이번 해킹은 2011년 4월 농협 전산망 해킹 때와 마찬가지로 중국 IP(인터넷 프로토콜)가 사용됐고 공격자가 메시지를 남긴 것도 그간 북한의 공격 사례와 비슷하다. 2008년부터 지난해까지 국가 공공기관을 대상으로 한 사이버테러는 총 7만3030건. 국가정보원은 이 중 규모가 큰 6건이 북한의 소행이라고 판단하고 있다. 2009년·2011년 디도스 공격, 2009년 국립환경과학원과 한미연합사 해킹, 2011년 농협전산망 해킹, 2012년 중앙일보 해킹 등이 그것이다.

특히 북한 조선중앙통신은 지난 15일 “우리 공화국에서 운영되는 인터네트봉사기들에 대한 집중적이고 집요한 비루스 공격이 연일 감행되고 있다. 적들의 사이버 공격에 결코 수수방관하지 않을 것”이라고 논평한 바 있다. 김정일 전 국방위원장도 2009년 중순 북한군 강연회에서 “현대 전쟁은 기름전쟁, 알(탄약)전쟁으로부터 정보전쟁으로 바뀌었다고 했는데 단 한 명도 다치지 않고 제국주의를 한 방에 궁지에 몰아넣었다”며 “정보전부대는 핵무기와 함께 나의 배짱이고 예비대”라고 말한 바 있다. 북한은 정찰총국 산하에 3000여명 규모의 ‘사이버전 지도국’을 둔 것으로 알려졌다.

물론 북한을 배후로 지목하기에는 아직 섣부르다는 의견도 나온다. 은행의 고객정보를 노리는 해커가 혼란을 극대화하기 위해 방송사를 해킹 대상에 넣었거나, 자신의 실력을 과시하기 위해 범행을 저질렀을 개연성도 남아 있다.

엄형준·조현일 기자 ting@segye.com

세계일보

스포츠

수년간 공격 지속 APT 사용… 일부 기업에도 해킹 시도

오피니언

HOT뉴스

포토