국정원, DDoS공격 미연에 포착했다면, 왜 막지 못했나?

지난 7월 7일 처음으로 DDoS공격이 발생한 이번 7.7 DDoS대란이 4일이 지난, 10일 오후 6시를 기해 잠정적으로 공격이 종료됐다고 정부는 판단했다. 방송통신위원회 네트워크정책국장은 11일 브리핑에서 “10일 18시를 넘으면서 DDoS공격 트래픽이 이전과 대비해 10분 1 수준으로 급격히 감소했다”며 사실상 DDoS공격의 종료를 공식 표명하며 “정부는 일단 상황은 종결됐다고 보고 있다. 하지만 혹시 모를 추가 피해에 대비해 만전을 기할 것”이라고 말했다. 그렇듯 현재 상황이 진정되고 있는 상황에서 이제는 누구에 의해 왜 이런 공격을 했는가에 관심이 집중되고 있다.

미(美) 서치시큐리티닷컴은 지난 9일(현지시간) 이번 7.7 DDoS대란과 관련해 이번 봇넷 트래픽을 분석하고 있는 전문가들의 말을 인용 “미국과 한국 정부 웹사이트에 대한 최근의 DDoS공격이 국가가 후원하는 전문가들의 행위가 아니라 서투른 공격자의 짓”이라고 발표하고 있고 국내 전문가 및 언론 등에서도 ‘북한배후설’에 의구심이 나타내고 있다.

그럼에도 국정원은 다시금 지난 10일 보도자료를 통해 이번 DDoS 공격자를 반드시 색출하겠다는 강한 의지를 표명하는 한편 이 보도자료를 대한민국 정책포털에 제공한 국방일보(국방홍보원)는 “해킹 배후에 북한이나 종북세력이 관련돼 있다는 보도도 잇따르고 있다. AP 통신 등 미국 언론들도 미 당국이 대규모의 사이버 공격 진원지로 북한을 주시하고 있다고 보도했다”며 북한이 이번 DDoS 대란과 관련이 우회해 재차 밝히고 있다.

이와 관련 김유정 민주당 대변인은 10일 오전 현안브리핑에서 “국정원이 국민과 국가의 안위를 위해 존재하는 기관인지 국민의 불안을 조성하는 기관인지 알 수 없다”며 “검찰과 경찰은 배후를 알 수 없다고 말하는데 국정원은 무슨 근거로 북한 배후설을 호언장담하는가”라며 이번 DDoS대란과 관련 국정원의 경솔한 대응을 강하게 비판했다.

또한 김유정 대변인은 “오늘(10일) 국정원은 16개국 86개 IP를 통해 사이버테러가 이루어지고 있지만 북한은 포함돼 있지 않다고 말했다. 그러면서도 배후가 의심스럽다는 말을 또 덧붙였다. 무슨 이런 억지가 있나”며 “아무런 증거도 없는 불확실한 추정을 사실처럼 주장해 국민불안을 조성하는 것”은 옳지 않다고 말했다.

그런 가운데 11일 국내 각 언론들은 국정원이 이번 DDoS공격의 배후로 다시금 북한 인민군 총참모부 정찰국 산하 110호 연구소를 지목했다가 아니라 지목하고 있는 것으로 전해지고 있다고 보도했다. 이어 언론들은 국정원은 남한 전산망을 공격하도록 지시한 명령 문건을 입수한 것으로 발표했다가 아닌 알려졌다고 보도했다.

이에 한 보안전문가는 “북한에는 도메인은 할당돼 있으나 IP는 할당된 주소가 없다. 즉 그것은 북한발 증거가 없다는 말이기도 하다”며 “국정원이 북한 쪽에서 이를 위해 자주 사용한다고 제시한 NLS 확장자 역시 윈도우 확장자 가운데 하나인 만큼 NLS 확장자가 포착되더라도 이를 북한이 배후라는 증거라고 제시할 수는 없을 것”이라고 말했다.

또한 학계의 한 보안전문가는 “이번 DDoS 공격자의 배후가 국정원의 주장처럼 북한이라면,  그리고 언론들이 그렇게 제시한 것처럼 국정원이 그러한 정황을 사전에 포착하고 있었다고  한다면 이번 DDoS공격은 이미 알고 있었다는 점에서 그러한 공격은 사전에 막혔어야 한다”고 말하고 “정부 측면에서도 1~3차까지 이루어지는 이번 DDoS공격에서 뻔히 공격이 있을 것을 알고 있음에도 불구하고 이를 제대로 막지 못하고 개인PC 사용자에게까지 피해가 미쳤음에도 이를 생각보다 경미한 피해로 언론플레이를 한 것은 안타깝다”고 지적했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>