［헤럴드경제=윤정식 기자］정부가 지난달 20일 발생한 방송사ㆍ금융기관 해킹 사건이 북한의 소행이라는 조사결과를 발표했다. 정길수 인터넷진흥원 침해사고대응팀 단장은 브리핑에서 북한의 해킹 사실을 확인한 것은 해킹 과정에서 수분ㆍ수초 동안 노출됐던 북한 현지 인터넷IP가 결정적 단서가 됐다고 밝혔다.

정부 차원에서 북한의 해킹을 막기위해 노력하고는 있지만 수비 입장에서 어떤 쪽으로 공격을 해올 지 몰라 모든 경우의 수를 방어하는 데는 한계가 있다는 고충도 밝혔다. 다음은 정 단장과의 일문일답이다.

▶북한이 우리의 어떤 취약점을 활용한 것인가

-여러 취약점가운데 한가지만 이용하는 건 아니다. 악성코드 유포 위해 웹사이트 서버 취약점 이용했고, 관리자 피시나 사내 운영서버들의 취약점도 악용됐다. 개인피시나 서버 파괴 코드 배포하기 위해, 백신 관련 소프트웨어나 다른 소프트웨어 취약점도 이용됐기 때문에 다양한 취약점 사전 준비한 공격으로 볼 수 있다.

▶발견된 3개는 북 직접 접속. 어떻게 확인했나?

-해커가 자기를 숨기는 게 목적이기 때문에, 그걸 추적하는게 오히려 단서가 된다. 북한도 숨기려는 노력 많이 했다. 사실 금융사 쪽 분석과정에서 발견된 건데, 명령을 내리는 서버 자체에 접속을 할 때 로그를 사실 거의 지웠다. 그래서 방화벽 로그, 웹서버 로그에 남게 되는데 흔적은 남지 않았는데, 원격 터미널 접속 로그가 남아 그 부분에서 추출했다. 갑자기 왜 북한의 IP가 발견된 것은 통신상의 문제, 어떤 기술적인 때문에 수초, 또는 수분간 북한 아이피 노출된 것이고 그걸 확인한 것이다.

▶북 공격 막을 수 있나. 6개월간 못막은건 사이버 안보 구멍 아닌가

-집중 모니터링하고 있고, 합동대응팀 포함해서 민간, 인터넷진흥원도 모니터링과 추가 공격 여부, 상시적 징후는 항상 파악하고 있다. 그러나 해킹 자체를 100% 막기는 어렵다. 방어 입장에서는 모든 경우의 수를 다 확인해야한다. 뚫릴 수 있는 가능성은 언제나 있다. 침투하는 경로는 항상 있을 것이므로 징후를 빨리 파악하고 대응하느냐가 관건이다.

▶정보 유출 피해 있나.

-과거 개인정보 유출사고와는 목적 자체가 다르다. 예를들어 개인정보 유출 사건은, 이 정보 매매가 이뤄진다거나 그런 목적의 공격이라면, 이번 공격은 사회혼란 유발하는 공격이라고 볼 수 있다. 과거 디도스가 많았는데 이번에는 한 기관 아니라 여러 기관을 동시에 공격하는, 준비 자체가 길었을 것으로 판단된다.

▶정부가 북한으로 대상을 발표한 것은 이례적인데 IP를 위조할 수도 있는 것 아닌가.

-북한 아이피 나온 것은, 양방향 통신용 아이피다. 지령과 응답이 이뤄지는 아이피여서 일단 위조는 아니란게 기술적으로 확인이 됐다.

▶추가 발표 사안이 앞으로 더 있나.

-북한 연관성 부분은 충분하다고 본다. 추가적으로 분석은 더 이뤄질 것이다. 수사나 이런 건 따로 진행될 것이므로 이쪽에서 하는 공식 브리핑은 더 없을 수도 있다.

▶앞으로 대책 세워진 게 있나.

-기관 협의해서 충분한 대책 나올 것으로 기대한다. 정부가 이번 사안을 늦게 발견한건 아니고, 정부가 책임감 없게 북한 추정으로 밝히면 혼란만 가중되므로 검증 과정을 거쳐야 한다고 본다.

yjs@heraldcorp.com