[이슈분석]북한 사이버 부대 귀순자, 3·20을 말하다
그동안 제기됐던 무수히 많은 사건의 결론이었던 `북한 소행설`은 우리 사회에서 많은 논란을 불러일으켰다. 하지만 이번 북한 사이버 부대 출신 귀순자의 증언은 신빙성이 매우 높다는 게 특징이다. 이 씨가 증언한 3·20 전산망 마비 사태의 전말은 이렇다. 그의 설명을 토대로 사건을 재구성해 본다.
지난 2월 중순 북한에서 중국으로 사이버 부대원들이 급파됐다. 이들은 팀 단위로 구성돼 중국 각지에 거점을 마련하고 준비에 들어갔다. 심양과 훈춘이 공격이 이뤄진 근거지였다. 이후 명령에 따라 3월 20일 일제 공격을 단행하고 북한으로 돌아갔다는 게 이건혁 씨(가명)의 설명이다.
공격에는 최소 6개팀이 투입된 것으로 전해졌다. 그는 “아무리 뛰어난 부대원이라도 단독으로 한 개 기업을 공격하는 건 불가능하다”고 말했다. 통상적으로 프록시 서버를 5개 이상 가동한다는 것이다.
3월 20일 공격 받은 곳은 KBS, MBC, YTN, 농협, 신한, 제주은행 총 6개사다. 이에 최소 6개팀, 인원으로는 12명 이상이 동원됐다는 추론이 가능하다.
이 씨는 방송사와 금융사를 공격 대상으로 삼은 건 사이버 공격 효과를 가늠하는 동시에 사회적 혼란을 야기하기 위한 의도로 풀이했다. 그는 “금융기관은 재산과 직결돼 가장 민감하고 방송사는 언론 노출 효과를 극대화할 수 있다”고 말했다.
이 씨는 정부의 민관군 합동 조사에서 북한IP가 발견된 배경에 의문을 제기했다. 북한에서의 공격은 금지돼 있는데, 어떻게 북한 내부 IP가 노출됐는지 궁금하단 것이다.
그는 “과거 사이버 공격이 추적되면서 대대적인 문책과 교전 수칙이 달라진 바 있는데, (3·20처럼) 또 다시 내부에서 직접 방송사와 금융사를 공격했다는 건 이해할 수 없는 얘기”라고 말했다.
이 씨는 북한IP가 드러난 것은 `실수`로 보인다고 덧붙였다. 악성코드를 제작하는 과정에서 IP가 잘못 `묻어나` 노출된 것으로 추정했다.
다음은 그와의 일문일답.
△민관군 합동조사단은 지난 3월 20일 사이버 공격을 북한 소행으로 지목했다. 어떻게 생각하는가?
-북한 사이버 요원들의 공격이 맞다. 북한 요원들은 지난 2월 25일 심양과 훈춘에 위치한 사무실 임대 계약을 했다. 이후 사이버 부대원들이 사건 발생 보름 전인 3월 6일 입주를 했다. 이들은 17일부터 20일 오후 2시전까지 그 곳에서 사이버 공격을 단행한 후 이날 오후 흔적도 없이 사라졌다.
△전자전 부대원들인가? 이 정도 규모의 공격은 얼마나 움직이나?
-부대원들은 본인들만이 알 수 있는 신분증서 하나를 소지하고 일을 한다. 이들은 조직적으로 수백 명이 하나의 타깃을 공격한다. (경찰보다)도둑이 더 많은 데 게임이 되겠나.
이번 3·20 공격은 정찰총국이 하는 일이다.
△북한 사이버 부대의 실상은 어떠한가.
-북한은 1986년 전자전부대를 창설했다. 남조선(대한민국)을 전자전으로 망하게 하려는 게 취지다. 남조선은 인터넷이 발전해 있고, 적국이기도 하다. 전자전 부대는 숙련된 인력이 많다. 2년은 신참이고, 10년 정도 돼야 고참에 속한다(그 만큼 인력풀이 탄탄하다).
해외 유학파들도 많이 포진돼 있다. 러시아의 컴퓨터공학과 교수들이 사이버 부대원 교육을 많이 해 줬다. 특히 개방형 운용체계(OS)인 리눅스 전문가들이 많다.
△민관군 합동대응팀은 2012년 6월 28일부터 북한 내부 PC 최소한 6대가 1590회 접속, 금융사에 악성코드를 유포하고 PC 저장자료를 절취했다고 조사결과를 발표했다. 이에 대한 생각은.
-공격을 위한 접속은 아니다. (한국 사이트)담당이 있다. 우리민족끼리 역시 프락시 서버를 돌리지 않는가.
△그럼 어떻게 북한 내부IP가 이번에 발견됐느냐가 의문인 데.
-IP가 묻은 채로 악성코드가 심어져 나왔는데, 가능성은 있다. 프락시 서버가 고장이 나면서 주인을 찾아갔기 때문에 (IP가)묻어져 나왔을 수 있다.
△왜 방송사를 공격한 건가.
-언론에 대한 일종의 경고를 한 셈이다. 또 방송사를 공격하는 게 제일 효과적이다. 방송사가 보유한 디지털 자료는 다 없어진다. KBS를 치는 게 아니고, 보안수준을 보고 외부부터 친다. 즉 제조사를 해킹하는 것이다.
△금융사는?
-기본적으로 은행은 타깃이 아니다. 금융권은 여론 몰이를 하기 위한 심리적 성격이 있다. 이번은 약한 단계의 공격이었다. 물론 충분한 공포심은 줬다. 돈은 직접적 공포심을 주기 때문이다.
△북한의 사이버전 능력에 대해 궁금해 한다.
-북한 사이버 부대원들은 대한민국처럼 정보통신법에 저촉을 받지 않는다. 국제법에도 비켜 서 있다. 국가의 승인 하에 뚫어보라고 한다. 테스트 환경이 국내와는 차원이 다르다.
△이번에 방송사와 은행이 공격 받으면서 기간망도 위험한 것 아니냐는 우려가 많다. 해킹으로 전력을 차단하거나 원자력을 고장 내는 게 가능한 이야기인가.
-그렇다.
△이미 들어와 있다는 말은 어떤 뜻인가.
-북한이 이미 들어와 있는 상태에서 남한은 방어막 치고 있는 것이다. 근본적으로 뜯어 고치지 않으면 뭐든 무용지물이다. 망분리, 기간망 이런 건 장애가 되지 않는다.
△2차 공격도 계획돼 있나.
- 말할 수 없다. 노 코멘트다.
김원석기자 stone201@etnews.com, 윤건일기자 benyun@etnews.com
작성일 : 13-05-14 12:07
조회 : 1,883
