북한의 사이버 공격이 갈수록 치밀해지고 지능화되고 있다. 정부가 파악한 3ㆍ20 사이버 테러에서 북한은 국내외 10개국을 공격 경유지로 사용했고 프로그램 중앙배포를 위해 보안업체의 신뢰도를 역이용한 것으로 드러났다. 추가 공격 가능성이 상존하는 가운데 보안 우려가 커지고 있다.

11일 민ㆍ관ㆍ군 합동대응팀에 따르면 북한의 이번 공격 경유지는 49곳으로 국가별로는 한국을 포함해 10개국에 달했다. 과거 주로 중국의 인터넷프로토콜(IP)을 거쳐 단순하게 공격을 가했던 것과 다른 수법이었다. 실제 합동대응팀은 사건 발생 초기 북한의 지능화된 전략에 휘말려 중국을 공격 경유지로 지목했다가 번복하기도 했다.

특히 49곳 중 해외는 24곳으로 이 가운데 과거 해킹에 사용됐던 IP는 4곳뿐이었다. 나머지 20개 해외 IP는 모두 과거 해킹과는 다른 곳이었다. 정부가 전날 공개한 32건의 예시 가운데 중국 IP는 없는 대신, 미국 IP 4종과 홍콩 1종이 명시됐다.

즉, 과거 중국에 집중됐던 공격 경유지를 다각화하기 위해서는 더욱 치밀한 준비가 필요하다는 측면에서 미래의 추가 공격이 이번 사건보다 지능화될 것이란 예측을 낳고 있다.

보안업계 관계자는 “역추적을 막기 위해 공격 경유지를 복잡하게 해둔 점, 8개월여 전부터 미리 잠입해 감시활동을 펼친 점 등을 감안하면 과거와 달리 더 지능화된 공격 방식을 취했다고 볼 수 있다”고 경계했다.

피해 기관의 다양한 취약점을 공략한 점도 특징적이었다. 북한은 ▷악성코드를 유포하기 위한 웹사이트의 취약점 ▷네트워크 관리자 PC의 취약점 ▷사내에서 운영하는 서버의 취약점 ▷보안 소프트웨어 등 배포 서버의 취약점 등을 노렸다.

이중 특히 보안 소프트웨어 배포의 취약점을 노린 북한은 발각되는 것을 막기 위해 안랩으로 위장해 업계 신뢰도를 역이용했다. 업계 관계자는 “깊은 주의를 기울이지 않으면 다소 수상한 활동을 하더라도 보안 활동으로 오인하고 쉽게 넘겨버릴 수 있다”고 말했다.

최소한 8개월 이전부터 미리 잠입해 있었다는 점에서 이미 북한에 장악된 시설은 없는지에 대한 우려도 커지고 있다. 전길수 한국인터넷진흥원(KISA) 침해사고대응단장도 “공격 침투 경로는 항상 있다. 징후를 파악해 빨리 대응하기 위해 노력하고 있다”고 경계했다.

류정일 기자/ryus@heraldcorp.com