이번엔 디도스와 차원이 다른 ‘타깃지속공격’ 각종 신기술로 보안벽 해체…알고도 못막아
이번 3ㆍ20 사이버테러는 홀수해마다 초대형 해킹 사건이 발생한다는 보안업계 속설이 여지없이 맞아떨어졌다는 데서 주목되고 있다. 하지만 2009년 청와대 디도스(분산서비스거부) 사건보다 수법이 고도화됐고, 2011년 농협 전산망 마비와 달리 주요 방송사로 대상을 넓혔다는 점에서 이번 사이버테러는 기술력과 파괴력 측면에서 강도가 한층 강화됐다는 분석이다.
이른바 ‘7ㆍ7 디도스 대란’으로 알려진 2009년 해킹은 북한의 첫 사이버테러로 밝혀진 사건이다. 당시 청와대, 국방부, 금융기관 등 22개 국내 주요 인터넷 사이트가 디도스 공격을 받아 일부 사이트는 최장 72시간 동안 마비됐다. 피해액은 500억원을 넘은 것으로 추산됐다.
북한 체신성 IP대역의 PC가 전 세계 61개국 435대의 서버를 활용해 한국과 미국 주요 기관 등 총 35개 주요 사이트를 디도스 공격했다. 당시 경찰은 해외 7개국 8대의 공격명령서버(C&C) 및 악성코드 유포 서버 등을 분석해 북한 체신성 IP를 통해 공격이 이뤄졌다고 분석했다.
디도스 사건은 2년 뒤인 2011년에 재발했다. 3ㆍ4 디도스 공격으로 알려진 사건은 해커가 해외 70개국 746대 서버를 활용해 청와대와 국회, 언론사 등 국내 정부기관 총 40개 주요 사이트에 대해 디도스 공격을 감행했지만 2년 전에 비해 피해가 크지 않은 것으로 파악됐다.
그러나 채 한 달이 지난 시점에서 농협 전산망 해킹 사건이 다시 발생하면서 2011년 최대의 해킹 사고로 기록했다. 해커가 해외 13개국에서 27대의 서버를 활용해 농협 금융 전산망 시스템에 침입한 사건이다. 악성코드에 감염된 농협 PC 273대가 파괴돼 전산장애가 발생했다. 당시 사건을 수사한 검찰은 3ㆍ4 디도스 공격과 동일한 해외 경유지 서버가 활용됐고, 악성코드 암호화 방식이 같다는 점 등을 들어 북한 소행으로 결론을 내렸다.
반면 이번 3ㆍ20 사이버테러에는 APT(지능형 타깃 지속 공격ㆍAdvanced Persistent Threat) 공격이 감행된 것으로 파악되고 있다. APT는 해커들도 감지하지 못하는 기술로 기업의 보안기능을 마비시키고 주요 데이터를 탈취하고 있어 현재로선 알고도 못 막는 공격으로 알려져 있다. 해킹 인지에서 대응까지의 시간차를 이용해 보안벽을 깨는 각종 고급기술을 가하는 방식이다.
이에 비해 앞서 두 차례 가해진 디도스는 웹에서 떠돌아다니는 프로그램을 구입한 뒤 메시지대로 공격 대상 IP주소나 도메인만 입력하면 바로 실행될 정도로 수법이 단순해서 일반인도 마음만 먹으면 디도스 공격이 가능하다.
2011년 농협 해킹 사건도 APT 공격으로 알려졌지만 이번에는 방송사까지 노렸다는 점에서 차원이 다른 공격이라고 보안 전문가들은 분석했다.
정태일 기자/