국정원 사태발생 초기부터 북한 배후 주장 ‘근거 부족’

2009년 7월 8일과 9일 기자는 ‘Memory of…’라는 제목의 스팸 메일을 여러 통 받았다. 보낸 이는 Independence로 되어 있고, 본문은 last라는 단어만 올라있었다. 첨부파일은 memory.rar이었다. 악성코드가 들어있는 전형적인 스팸메일이다. 기자는 해당 메일을 열어보지 않고 삭제했다. 하지만 압축(rar) 파일을 실행하면 컴퓨터는 감염된다. 이른바 ‘좀비PC’가 되는 것이다. 감염된 PC는 대량으로 스팸메일을 발송할 수 있다. 보안 전문가들은 “이 메일이 이번 DDoS 사태를 일으킨 악성코드의 전파 경로 중 하나”라고 밝혔다.

“DDoS공격 초보해커도 쉽게 가능”
국내에서 이번 DDoS(분산 서비스접속거부, Distributed Denial-of Service) 공격 징후가 처음 발견된 것은 7월 7일 오후6시 경. 각 인터넷 커뮤니티에는 “네이버 메일, 옥션 등이 접속 안 되는데 다른 사람은 어떠냐”는 문의 글이 폭주했다. 접속이 안 되는 곳은 네이버 뿐 아니라 청와대, 조선닷컴, 국방부 그리고 미국 백악관 등도 포함된 것으로 알려졌다. 네이버를 운영하는 NHN은 이날 오후 7시11분 “네이버 메일·쪽지 서비스에 접속오류 서비스 장애가 발생했다”고 공지했다. IT보안 문제에 관심을 가진 누리꾼들은 이날 저녁 “디도스공격인 것 같다”는 분석을 내놓았다.

디도스공격은 사실 대단한 기술도, 새로운 기술도 아니다. ‘넷봇어태커’와 같은 툴만 있으면 해킹 초보자도 쉽게 할 수 있는 공격이다. 실제 지난 해 말, 사이버외교사절단 ‘반크’의 홈페이지는 일본유저들의 디도스공격을 받아 다운되었다. 인터넷커뮤니티 사이트 ‘DC인사이드’도 반크가 공격받은 직후 디도스공격을 받아 사이트가 마비되었다. 당시 DC인사이드 측은 공격받은 주요 사이트의 주소명을 바꾸는 편법으로 서비스를 계속했지만, 상당시간 동안 사이트가 마비되는 것은 불가피했다. 보안전문업체 인포섹의 홍진기 이사는 “실제 인터넷의 언더그라운드 사이트에 들어가면 시간당 얼마에 공격을 대행해주는 서비스까지 있을 정도”라고 말했다. 그는 “다만 과거에는 주로 금전적 목적에서 웹서비스에 타격을 가하려고 했다면, 이번 ‘테러’의 경우 상관없는 곳도 지정되어 있다는 점이 특징”이라고 밝혔다.

공격대상 목록을 보면 뭔가 석연치 않은 것은 사실이다. 1차공격 대상 26개 사이트는 청와대, 국방부, 네이버메일, 조선닷컴, 옥션, 한미연합사령부, 국회, 한나라당, 외교통상부, 외환은행, 신한은행, 농협 등이다. 여기에 백악관, 연방항공청, 국토안전부 등 미국 정부기관과 워싱턴포스트 등 14개 사이트가 들어 있다. 둘째 날에는 한국의 국가정보원 사이버안전센터와 행정안전부, 안철수 연구소, 이스트소프트 등이 공격대상에 추가되었다. 전날 공격받은 외환·신한은행은 빠지고 우리·하나·국민은행이 추가되었다. 3차공격까지 공통적으로 계속 공격을 받은 곳은 네이버메일, 조선닷컴 그리고 옥션이다. 공격자의 ‘정치성향’이 읽힐 수도 있는 대목이다. 국정원은 실제로 7월 8일 “북한이나 한국내 북한 추종세력이 개입될 수도 있다”고 브리핑했다. 7월 7일 국정원은 청와대와 국방부에 관련 전문요원을 급파하여 긴급복구 및 기술지원을 하는 한편, 이튿날에는 청와대와 총리실·방통위·국방·외교·금융위 등 12개 기관으로 구성된 ‘사이버 안전 실무회의’를 주관한 것으로 알려졌다. 하지만 보안전문가는 ‘정치성향 주장은 이르다’는 의견을 내놓고 있다. 보안전문가 ㄱ씨는 개인의견을 전제로 “조선닷컴이나 한미연합사령부·청와대가 포함된 것을 보면 정치성향이 있다고 말할 수도 있지만, 다음·파란메일, 옥션 등이 포함된 것을 보면 딱히 ‘정치적 이념’이 공격대상 선정기준이었다고 단정짓기는 어렵다”고 말했다. 이를테면 조선닷컴 등이 선정된 이유는 접속률 등 다른 기준이 존재할 수도 있다는 것. 백신프로그램을 공급하고 있는 안철수연구소나 이스트소프트 등이 선정된 것도 특징적이다. 그는 “첫날에는 없었던 국정원 사이버 안전센터나 안철수 연구소·이스트소프트 등이 공격대상에 선정된 것을 보면 ‘응전’에 대한 ‘재응전’으로 볼 수도 있다”고 덧붙였다.

네이버·조선일보·옥션 집중 공격받아
기자는 한 보안전문가가 7월 9일 작성한 이번 사태에 사용된 악성코드에 대한 분석보고서를 입수했다. 보고서에 따르면 misexec2.exe와 perfvwr.dll이라는 두개의 실행파일에 구체적인 공격대상과 명령, 시간 등이 숨겨져 있다. 악성코드에 감염되면 perfvwr.dll이 시스템에 서비스로 등록되어 시스템폴더에 unregvs.nls 파일을 생성한다. 분석 작업은 보통 바이너리 파일을 hex에디터로 열어 각 해당바이너리의 역할을 분석하는 방식으로 이뤄진다. 공격대상 리스트는 unregvs.nls에 들어있다. misexec2.exe는 실행파일에 내장되어 있는 공격대상 리스트를 파일로 추출하는 역할을 한다. perfvwr.dll은 공격과 관련 첫 8바이트와 이후 4바이트를 따로 저장하는 데 4바이트는 대상사이트의 개수를 의미한다. 안철수 연구소가 7월 9일 3차 공격을 앞두고 “네이버 메일 등 7개 사이트가 오후 6시부터 공격을 받을 것”이라는 ‘예보’를 내보낸 것도 감염된 PC들의 악성코드에 관련 명령이 들어 있었기 때문이다. 안철수 연구소의 백신 V3는 이 악성코드를 ‘Win-Trojan/Agent.33841’이라는 이름으로 진단하도록 되어 있다.

물론 구체적인 감염경로는 좀 더 자료를 모아 추적하는 것이 필요하다. 보고서는 “제한된 샘플만으로 분석한 것”이라는 조건을 달고 있다. 이들 파일 이외에도 현재 Wniconf.dll, msiexec1,3,7,5 등의 파일이 감염 및 공격수행을 하는 것으로 알려져 있다. 국정원은 “특정집단이나 그룹이 조직적으로 개입되어 있을 것”이라고 예측했다. 그러나 보안전문가들의 말에 따르면 이와 같은 작업은 이론적으로 한 개인이 혼자 수행하는 것도 가능하다.

3차 공격을 끝으로 사태는 당분간 소강상태로 접어들 것으로 보인다. 현재까지의 분석으론 4차공격 리스트나 일시가 잡히지 않고 있기 때문이다. 홍진기 이사는 “누가 공격의 주체이든 간에 이번 공격은 사전 테스트라는 생각이 든다”며 “본 공격이 언제가 될 지는 아직 알 수 없지만 관련시스템의 구축 필요성을 알렸다는 데 의미가 있다”고 말했다. 결국 문제는 돈이다. 업계에 따르면 DDoS예방시스템은 한대에 4억원 이상인 고가 장비다. 네이버메일을 운영하는 NHN은 1차 공격을 받은 후 긴급히 디도스예방장비를마련해 설치한 것으로 알려졌다.

보안전문가들 일각에서는 ‘북한배후설’이 성급했다는 지적이 나오고 있다. 실제 미국언론들은 이번 사태 직후 미국정부 관리들의 말을 빌려 “IP추적 결과 북한이 소재지로 밝혀졌다”는 보도를 내보냈다. 북한은 IP나 도메인을 관리하는 국제기구인 ICANN으로부터 kp라는 국가도메인을 할당받았다. 하지만 북한 지역 국가도메인이나 IP를 사용하는 웹사이트는 아직까지 발견되지 않았다. 보안전문가 ㄴ씨는 “실제 북한의 경우 아직 IP가 없어 중국IP를 사용하는 것으로 알려졌다”며 “북한소재 IP라는 미국발 보도는 확인없이 나온 오보일 가능성이 높다”고 지적했다.

한편 보안업체 쉬프트웍스는 9일 “악성코드 샘플을 입수하여 직접 감염을 시켜 역추적을 해본 결과 네트워크 활동을 탐지하여 악성코드가 미국IP 서버로 접근하는 것을 밝혀냈다”고 7월 9일 밝혔다. 논란이 커지자 쉬프트웍스는 이날 저녁 공지를 내 “범인이나 배후세력이 누구냐는 것은 보안업체로서도 알 수 없는 부분이며, 악성코드가 접근한 IP가 미국에 위치한 윈도2000 영문서버라는 것을 확인했을 뿐이지 미국발 해킹이라는 것은 아니다”고 해명했다. 의혹이 계속되자 국정원은 7월 10일 국회 정보위원회 간담회에서 “7일부터 디도스공격이 이뤄진 IP를 추적한 결과 총 16개국 87개 IP가 이번 공격에 동원되었으며, 각각 미국(28개), 일본(22개), 중국(7개), 한국(5개) 등으로 분산되어 있는 것을 파악했다”고 밝힌 것으로 알려졌다. 국정원은 감염경로와 관련해서도 “이메일 뿐 아니라 사이트접속 만으로도 실시간 인터넷 감시 백신이 설치되어 있지 않은 경우 감염시켜 좀비PC로 만들도록 되어 있었다”고 주장했다. 이날 간담회에서 국정원은 “이번 디도스공격은 인민군 정찰국 산하 110호 연구소가 주도했으며, 지난달 방송통신위원회 산하기관과 지방의 한 대학을 디도스로 공격하는 사전 모의훈련을 실시했다”고 보고한 것으로 알려졌다. 국정원은 이밖에도 △ 김일성주석 사망 15주년인 7월 8일 전후로 사이버 테러가 진행되었으며 △ 청와대와 국회·백악관 등이 포함된 점 등의 ‘정황’을 북한배후설의 근거로 제시했다. 하지만 뚜렷한 물증은 내놓지 못했다.

“단순 해킹 사건 가능성 배제 못해”
경찰 사이버수사대 등은 공격당한 서버의 IP기록을 제출받아 분석, 공격이 시작된 곳을 역추적하는 작업을 벌이고 있다. 그러나 보안전문가들은 “최종적으로 이번 디도스공격의 주체가 누군지 밝혀내는 작업은 쉽지 않을 것”이라고 입을 모았다. 보안전문가 ㄴ씨는 “과거 디도스공격의 경우 가상서버를 통해 특정 사이트에 대한 공격을 지휘하는 방식이었지만, 이번의 경우 마치 시한폭탄처럼 공격일시와 대상을 프로그래밍 해놓고, 이른바 ‘좀비PC’를 통해 공격하는 방식을 따랐기 때문에 IP 역추적 등으로 범인을 밝혀내는 것은 쉽지 않다”고 말했다. 보안전문가 ㄱ씨는 “미국 독립기념일인 7월 4일을 기점으로 해당 악성코드가 퍼지기 시작했고, 악성코드 내에서 ‘독립기념일’을 언급한 것이 발견되는 등 미국이 발원지일 가능성도 있고, 딱히 정치적 목적이라기보다 해커 개인이나 2~3인의 단순범죄일 가능성도 배제할 수 없다”고 풀이했다.

북한배후설에 대한 비판은 정치권으로부터도 나오고 있다. 김유정 민주당 대변인은 10일 브리핑을 통해 “독재정권시절, 정권의 존속을 위한 해묵은 단골메뉴였던 북풍을 디도스공격에까지 이용하려는 것은 아닌지 의심을 지울 수 없다”면서 “사이버북풍까지 만들어내는 것이 가뜩이나 얼어붙은 남북관계 상황에서 정부가 할 일인지 기가 막힌다”고 비판했다. 진보네트워크·참여연대 등 7개 시민사회단체로 이뤄진 ‘국정원 대응모임’도 9일 논평을 내고 “근거 없는 북한배후설은 국정원에 대한 신뢰만 떨어뜨릴 뿐이며 더욱이 현재와 같은 남북경색 상황을 무시한 무책임한 행동”이라며 “특히 (국정원 등이 추진하고 있는) ‘국가사이버위기관리법’이 ‘사이버국가보안법’이라는 비판을 받고 있는 와중에 이번 사태를 계기로 밀어붙이려는 시도는 중단해야 한다”고 목소리를 높였다. 황규만 진보네트워크 활동가는 “이번 디도스 공격을 두고 보안업체의 자작극이라던가, 주가조작을 위한 작전세력이 있다는 등의 이야기가 나오고 있지만 사이버위기관리법 통과를 위한 한나라당·국정원의 자작극이라는 음모론처럼 근거 없기는 마찬가지”라면서 “그럼에도 사태가 일어나자마자 국정원이 바로 북한 문제를 들고 나온 것은 저의가 의심스럽다”고 비판했다.

<정용인 기자 inqbus@kyunghyang.com>