전길수 한국인터넷진흥원 침해사고대응단장
정부는 지난달 20일 KBS, YTN 등 주요 방송사와 신한은행, 농협 등 금융권 전산망을 마비시킨 '3.20 사이버테러'는 북한 정찰총국 소행으로 중간 결론냈다.
민·관·군 정부 합동대응팀은 10일 “ 방송·금융사 공격에 사용된 악성코드 76종과 수년간 국정원과 군에 축적된 북한의 대남 해킹 조사결과를 종합 분석한 결과 이 같은 결론이 나왔다”고 밝혔다.
미래창조과학부 이승원 정보보호정책과장은 “공격자는 최소 8개월 이전부터 목표 기관 내부의 PC 또는 서버 컴퓨터를 장악해 자료 절취, 전산망 취약점 파악 등을 지속적으로 감시하다 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 유포했고, 서버 저장자료 삭제 명령을 실행한 것으로 확인했다”고 말했다.
다음은 한국인터넷진흥원 전길수 침해사고대응단장의 일문일답 내용이다.
- 경로를 역추적한 부분에 대해 어느 나라를 경유했나? 또한 프로그램중 어떤 프로그램의 어떤 취약점을 이용했는가.
△공기업을 경유된 나라 자체는 굉장히 많다. 실제로 여기에서 나온 국가가 49개다. 이 부분에 대해서는 한국도 포함돼 있고, 국외 여러가지 10개국 정도가 포함돼 있다.
취약점의 경우 한가지 취약점만 이용한 것은 아니다. 악성코드를 유포하기 위해서 웹사이트에 웹서버에 대한 취약점도 이용했고, PC나 사내에서 운영하고 있는 서버들 취약점도 악용이 됐다. 개인 PC나 서버들의 파괴의 목적이 된 하드디스크 파괴 악성코드를 배포하기 위해서 사용됐던 백신 관련 소프트웨어나 다른 소프트웨어들의 배포서버에 대한 취약점도 이용됐기 때문에 다양한 취약점을 사전적으로 치밀하게 준비한 공격으로 볼 수 있다.
- 이번에 발견된 것 중 13개는 북한이 직접 접속한 아이피로 발견됐다고 설명했는데.
△실제로 북한에서 직접 공격한 아이피 자체를 추출하는 것은 굉장히 어렵다. 해커 자체가 원래 자기를 숨기는게 목적이기 때문에 그 부분을 노출시킬 수 있다는 것 자체가 어떻게 보면 추적하는 단서가 되고 있다. 해커 입장에서도 아이피 자체를 숨기려는 노력은 굉장히 많이 했다. 실제로 악성코드를 유포하는 쪽으로 사실 금융사쪽에 대한 분석과정에서 발견된 것인데 악성코드를 유포해서 경유하는 명령을 내리는 서버 자체를 접속할때 접속하는 그런 부분에 대해서 로그들을 사실 거의 다 지웠다. 접속기록들이 남는게 방화벽 로그나 웹서버 로그 이런 부분들이 많이 남게 됐는데, 그런 로그자체는 지웠기 때문에 흔적자체는 남지 않았다. 다만 원격터미널 로그 자체가 남았기 때문에 그부분에 대해서 추출하게 됐다. 실제로 공격한 것은 외국 경유지를 통해서 접속을 했으나 통신상에서의 문제, 어떤 기술적인 문제때문에 수초간 아니면 수분간 북한 아이피가 노출된 것이고, 그 부분이 발견됐기 때문에 확인할 수 있었다.
- 악성코드를 유포했던 명령을 내렸던 CNC서버가 발견된 것인가.
△사실 과거 사례에서도 CNC자체는 굉장히 많이 발견됐다. 한 두군데만 발견되는게 아니라, 어떤 특정 사건에 대해서는 몇 백건 이상 발견되는 경우도 허다하게 있다. 그런 부분에 대해서 추적하는 부분도 사실은 중요한 하나의 조사방법이 될 수 있는 것이다.
- 계속 똑같은 공격에 노출되고 있는데, 북한의 공격을 과연 막을 수는 없는 것인가.
△방어를 안하고 있는 것은 아니다. 집중 모니터링하고 있고, 합동대응팀을 포함해 정부, 민간 보안업체도 마찬가지로 그 부분에 대한 모니터링과 추가적인 공격 여부, 항상 상시적으로 어떤 ㅂ분에 대해 징후가 있는지 항상 파악은 하고 있다. 하지만 해킹공격 자체를 100% 막을 수 있는 것은 아니다. 사실 방어하는 입장에서는 모든 경우의 수를 다 확인해야 하는 것이고, 공격하는 입장에서는 어떤 특정한 취약점 하나에 대해 집중적으로 공격하기 때문에 공격이 뚫릴 수 있는 가능성 역시 항상 있다. 이같은 부분에 대해서 집중적으로 관련기술개발과 대응체계 개선 등을 통해 해소하려고 노력하고 있다.
- 이번 공격으로 인해 정보가 유출되거나 하는 피해가 발생했다는 이야기가 있는데 피해규모는 얼마나 되는가?
△과거 개인정보유출사고와 비교를 한다면 목적 자체가 다르다. 사실 과거에 예를 들어 개인정보유출사건은 어떻게 보면 개인정보유출을 통한 개인정보에 대해서 매매가 이루어진다거나 그런 부분에 대한 공격이었다면, 이번 공격 자체는 사회혼란을 유발하는 형태의 공격이라고 볼 수 있다.
APT 공격 자체도 과거에는 이런 공격 자체가 디도스 공격으로 많이 이루어졌었는데, 이번 공격 자체는 한 기관에 대한 APT공격이 아니라 다양한 기관, 여러 기관을 동시에 공격을 하는 준비자체도 상당히 길었을 것으로 판단이 된다. 정보유출 자체는 APT공격 자체가 사전에 정보수집 하는 부분은 반드시 있다. 실제로 어떤 공격거점을 먼저 확보해야 하기 때문에 공격거점이 개인 PC가 될 수 있고 서버가 될 수 있다. 서버에 대해 처음에 1차적으로 내부망에 침투하기 위해서 어떤 망 구성도를 가지고 있는지, 예를 들면 아이디나 패스워드가 관리자에 대한 계정이 될 수 있고 어떤 부분이 내부적으로 취약한지 이런 부분을 스캔하는 과정도 거치게 된다.
APT공격이라면 기본적으로 그런 정보들은 유출됐을 것으로 판단하고, 그 외에 추가적인 개인정보유출이나 기업에 대한 정보유출, 그런 부분은 현재까지 파악된 부분은 없다.
- 최초 감염경로는 아직 밝히지 못한 것인가?
△밝혀진 부분 자체는 웹셀 같은 것이 올라와서 이를 통해 서버에 대한 공격이 감행됐다. 이런 부분도 있고 PC 같은 것이 감염됐을 때는 예를 들어 웹사이트에 방문했을 때 악성코드를 다운로드 받았을 것이다 아니면 이메일을 받았을 것이다 정도로 추정하는 것 정도다.
- 매번 이런 사건이 나올 때마다 북한 소행으로 마무리가 되는 것 같은데.
△과거 3.4 DDoS 사건이나 7.7 DDoS 사건, 농협 전산망 해킹 사건, 최근에 중앙일보 건까지도 북한이라는 공식적인 수사발표가 있었다. 이같은 부분에 대해서도 여러 가지 증거들이 나오고 어떤 부분에 대해서는 경유지가 과거와 같다 그런 부분도 있었고 악성코드에 대한 구조나 이런 부분도 동일하다 이런 부분에 대해서 하나의 증거로 채택이 됐던 부분이다.
현재 이 부분에서도 그 부분을 더하는 여러 가지 사실들이 확인이 됐다고 말할 수 있는 것이다.
- 중간발표인데 이미 어느정도 조사가 마무리 된 것 같다?
△사실 중간발표이기는 하지만 북한의 연관성에 대해서도 우리는 충분하다고 판단하고 있다.
- 조사팀 분석할때 클라이언트 PC에 제큐어소프트웨어 업데이트 설정파일에 악성코드를 유포하도록 주소가 변경된게 발견이 됐었는데, 왜 그런 것인가?
△어떻게 보면 그것은 이 사건과 관련이 없는 사실이다. 3월 25일 날씨닷컴 건에서 그런 제큐어웹(XecureWeb)에 관련된 사항이 있긴 했다. 그런데 금융사, 방송사하고, 금융사 건에서는 연관성은 없다. 다만 해당 PC에서 발견된 부분이 이번에 악성코드에서 3월 20일에 발생한 건하고는 관련이 없었다는 것이고, 그 건은 오히려 3월 25일에 발생한 건하고 연관성이 있다는 말이다.