지난 방송사와 금융사의 전산망을 마비시킨 3.20 해킹 테러가 북한의 소행으로 밝혀진 결정적인 이유에 조사 과정에서 발견된 북한의 내부 인터넷프로토콜(IP)이 있다. 이번 사건을 조사하기 위해 IP를 역추적하는 과정에서 북한 내부의 IP가 나온 것이다.
이와 관련해 유동열 치안정책연구소 선임연구원은 “북한은 악성코드를 심어놓고 어떻게 작동되는지 계속 지켜봤다. 백도어를 만들어서 작동 여부를 확인하고 로그기록을 삭제해서 매번 흔적을 지웠지만 한 3초 정도 미처 로그기록을 지우기 전 순간이 포착됐다”고 밝혔다.
19일 한반도선진화재단 금요정책세미나에서 ‘북한의 사이버테러 : 현실과 대응’을 발표한 유 선임연구원은 “이번 사건의 조사결과 발표가 20일 만에 이뤄질 정도로 속전속결로 처리될 수 있었던 이유가 북한 내부 IP가 포착된 데다 악성코드도 지난 7.7 디도스(DDoS), 3.4 디도스 공격 때와 동일했기 때문”이라고 설명했다.
앞서 정부도 민·관·군 합동대응팀의 조사결과 발표에서 “해커가 방화벽과 웹서버를 거치면서 남긴 로그를 모두 지웠지만 원격 터미널에 접속한 로그가 일부 남아있었다”면서 “통신상의 문제 때문에 수초∼수분 동안 북한의 IP가 노출됐다”고 밝힌 바 있다.
유 선임연구원은 “이번에 사용된 악성코드는 2010년 국내 사행성게임 업자가 중국에서 조선족으로 위장한 북한 해커로부터 값싼 프로그램을 제공받고 대신 해커가 준 디도스 공격 파일을 받아 국내 기업 홈페이지를 감염시켰던 것과도 동일하다”고 했다.
이번 해킹 테러는 최소한 6대 이상의 북한 내부 PC가 8개월 전인 지난해 6월 28일부터 금융사에 1590회 접속해 악성코드를 유포했으며 이중 13회에서 북한의 IP로 드러났다. IP의 위조 가능성에 대해선 이번 공격이 공격 후 답을 받아야 하는 방식인 양방향 통신이어서 아니라는 결론이 나왔다.
유 선임연구원은 “북한이 김일성 탄생 100주년이 되는 2020년까지 완성하겠다고 주장하는 강성대국은 적화통일을 의미한다”면서 “이를 위해 남한내 종북세력을 규합하고 사이버에서 영향력을 확대하는 일을 멈추지 않을 것”이라고 지적했다.
“북한은 과거 조선노동당에서 주도했던 대남공작을 2009년부터 정찰총국에서 주도하면서 군이 장악했으며, 정권 차원의 사이버테러를 전개하면서 상당히 체계화돼 있다”는 것이다.
현재 북한의 사이버테러 전사는 3000여명 정도로 김일성군사종합대학, 김일정치군사대학(미림대학), 모란봉대학 등에서 양성되고 있다. 유 선임연구원은 “1997년에 신설된 정찰총국 소속의 모란봉대학에서 1년에 30명 정도의 전문 해커가 배출되는데 이들이 핵심 인물일 수 있다”고 했다.
북한의 사이버전 실행은 총참모부, 지휘자동화국, 적공국 204소, 정찰총국 110만414소에서 담당하고 있으며 사이버 공작은 조선노동당 산하 통일전선부, 간첩교신은 225국에서 맡고 있다.
유 선임연구원은 “북한에 비해 우리는 사이버 전담인력이 약 500명 정도에 불과한 데다 국가 사이버안보 체제조차 구축되지 못해 관련법 제정이 시급하다”고 강조했다. “현재 대통령훈령뿐인 사이버안보 관련법을 만들고, 청와대에 사이버안보 비서관을 신설하는 한편, 사이버 안보수사 관련 법제 정비와 민간 차원의 사이버 안보망 구축을 위해 사이버민방위군도 양성해야 한다”고 했다.
미국의 경우 2001년 9.11 테러 이후 백악관에 사이버안보 비서관을 신설했으며, 사이버사령관은 4성장관으로 정부 예산을 가장 많이 쓰는 국가안전보장국(NSA)의 국장을 겸임하고 있다고 한다. 이에 비해 우리는 청와대 국가안보실 안에 사이버안보 보좌관이 있을 정도이다.
유 선임연구관은 “왕재산 간첩단이나 서울도심에 김정일 분향소 설치를 시도한 우리민족연방제통일추진회의(연방통추) 등도 모두 사이버상에서 시작됐다. 연봉 1억원을 받던 멀쩡한 항공사 기장이 해외에 나갈 때마다 우리민족끼리를 접속하다가 구속된 사건을 볼 때 친북사이트에 접속하는 것 자체가 위험하다”면서 "북한의 사이버테러뿐 아니라 북한과의 사이버사상전에 대한 대비가 시급하다”고 말했다.[데일리안 = 김소정 기자]
