지난달 25일부터 7월 1일 사이 청와대, 국무조정실 등에서 발생한 홈페이지 변조, 정부통합전산센터 디도스 공격, 연쇄적인 사이버 공격은 북한 소행으로 밝혀졌다.
정부 민관군 합동대응팀은 16일 미래부에서 브리핑을 갖고 “피해장비 및 공격 경유지 등에서 수집한 악성코드 82종과 PC 접속기록, 공격에 사용된 인터넷 주소 및 과거 북한의 대남 해킹자료 등을 종합 분석한 결과, 3.20 사이버 테러 등을 일으킨 북한의 해킹 수법과 일치하는 등 북한의 해킹으로 추정되는 증거를 확인했다”고 발표했다.
다음은 박재문 미래창조과학부 정보화전략국장, 전길수 한국인터넷진흥원(KISA) 침해사고 대응팀장, 오승곤 미래부 정보보호정책과장과의 일문일답.
△북한의 소행이라고 추정하는 근거가 IP주소나 악성코드 문자열 등인데 모두 변조가능한 것들 아닌가.
-물론 IP변조가 가능하지만 이번에 발견된 IP와 피해경유지에서 발견된 서버는 양방향통신이라서 변조가 불가능한 것으로 파악하고 있다. 추정이라기 보다는 북한소행이라고 강하게 판단한다 정도로 이해하면 될 것 같다.
△북한 소행이 사실이라면 단정지을 수도 있는데 추정이라고 발표한 것은 무엇때문인가.
-100% 확정할 수 없어서 추정이라고 한 거다. 과거 7·7 디도스, 3·4 디도스, 농협 해킹 때도 기존 발견된 증거들로 미뤄 북한 소행이라고 말한 것이다.
△3.20 전부터 준비한 것으로 확인됐다고 하는데 그렇다면 당시에는 잠재된 공격가능성을 파악하지 못한 이유와 유사한 사건이 재발할 가능성도 있나.
-3.20은 공격방법이 특정한 6개기관을 대상으로 해서 지능형지속위협(APT)를 통해 시스템 파괴했다. 이번에 3.20과 유사하다는 것은 시스템 파괴한 악성코드의 공격방법들이 유사한다는 것이다. 그리고 공격자체가 탐지가 되면 공격이 계속 지능화되기에 사전탐지가 어렵다. 그런 공격을 당할때까지 속수무책으로 있냐라고 볼수 있지만 그건 아니다. 기술적으로 그 부분을 어떻게 탐지 할 수 있을 것인가에 대해서 노력하고 있다.
△청와대 홈페이지 변조가 없었으면 개인정보 유출이 된지 파악이 어렵다는 것인가
-실제 점검 과정에서 별도로 점검해도 분석하다보면 그부분 파악할 수 있다.가시적인 상황이 벌어졌기 때문에 점검에 들어간 것이다. 사실 전체 시스템을 매일 점검할 수 없는 것이긴 하다. 사고 발생 이후 보안조치를 강화하고 있다. 청와대뿐 아니라 다른 홈피 다른 서버에 대해서도 유출 가능성이 있기 때문에 점검하는 계기로 삼을려고 추진중이다.
△6·25 공격 관련 수사에 영향을 주는 것인가.수사결과에 따라서 경찰이 다른 브리핑을 하는지 브리핑 결과로 수사가 중단되는건지
- 수사는 계속 진행된다.이번 공격에서 발생된 증거자체는 국내에서 확인할 수 있는 정보나 경유지 정보들 거기에 대한 시스템 분석이 이루어진 것이고 국제 공조를 통해서 경유지가되는 해외 서버들도 확보해서 추가적으로 계속 조사할 예정이다.
△이번 공격이 방어한 상태에서 이루어진 공격인가. 수법이 그렇게 엄청나게 진화된 건인가.
- 처음에 발견된게 웹 변조다. 3.20때는 시스템 침투인데 공격 대상 자체도 다르고 사실 어떤 사이트나 어떤 시스템이 공격 시스템이 대상인지 파악하기 어려웠다. 이번 공격에서 국가기관이 주요 이슈가 됐지만 나머지 피해 기관이나 업체들은 잘 알려지지 않은 소규모가 많다. 이런 곳은 보안조치가 미흡한 것은 명백한 사실이다. 국가기관과 마찬가지로 민간기업 및 기관의 보안조치를 강화해야 할 것이다.