공공기관보다는 취약한 민간기업 대상의 동시 다발적 공격

사용한 악성코드, 개인보다 조직적 해커집단이 제작했을 것 

[보안뉴스 김태형] 20일 발생한 언론사·금융기관 전산망 마비 사건은 기존 2009년 7.7 DDoS 대란, 2011년 3.4 DDoS 대란, 그리고 농협전산망 마비 사건과의 공통점으로 하드디스크 MBR(Master Boot Record) 정보 파괴에 있다.

당시 해커조직은 청와대를 비롯한 국내 정부기관 사이트를 마비시킨 뒤, 남아있는 좀비PC들을 일시에 없애기 위해 최종 하드디스크 파괴명령을 내린 바 있다. 이 명령어로 당시 수백여대의 PC가 먹통이 되는 사고가 발생했다.

MBR은 하드웨어나 운영체제 정보 등 MS 윈도우 운영체제를 구동시킬 때 가장 먼저 읽어들이는 영역으로 이 부분이 파괴되면 부팅이 되지 않고 슬레이브로 접속해도 사용할 수 없다.

박원형 극동대학교 교수는 “이번에 사용한 악성코드는 ‘부트킷(bootkit)’ 공격 기술로 추정되며, MBR 정보 영역을 파괴하고 스토리지에 저장된 데이터를 완전히 못쓰게 하는 기능이 있다”고 설명했다.

그는 또한 “이 ‘부트킷(bootkit)’ 악성코드를 제작하기 위해서는 MBR 구조에 대한 상당한 지식이 필요로 하는 고도의 전문해커가 제작한 것으로, 개인보다는 조직적인 해커집단이 제작한 가능성이 높다”고 지적했다. 

특히, 이번 전산망 마비에 사용한 악성코드는 국가사이버안전센터(NCSC) 등 정부당국에서 정밀분석을 하겠지만, 현재까지의 정황상 기존 북한의 사이버테러 기술과 상당히 유사하다는 것이 박 교수의 주장이다.

또한 △금일 14시부터 동시다발적으로 전산망 마비 공격을 감행한 점 △현재 한미 키리졸브 훈련 상황에서 북한의 비대칭전력인 사이버공격을 실시한 것 △대체로 보안이 잘 되어있는 국기공공기관들 보다 보안에 취약한 민간단체, 금융기관을 대상으로 APT 공격을 감행한 것 등으로 이번 공격이 북한의 소행인 것으로 추정할 수 있다는 것.

앞서 북한은 지난 13일 조선중앙통신과 노동신문 사이트가 외부로부터 해킹 공격을 당해 접속이 차단된 것과 관련, 우리나라와 미국 등을 겨냥해 ‘적대세력의 비열한 행위’라고 비난한 바 있다.

또한, 북한 조선중앙통신은 15일 논평에서 “우리 공화국에서 운영되고 있는 인터네트봉사기(인터넷 서버)들에 대한 집중적이고 집요한 비루스(바이러스) 공격이 연일 감행되고 있다. 우리는 이것을 전면대결전에 진입한 조선의 초강경 조치들에 질겁한 적대세력들의 너절하고 비열한 행위로 단정한다”고 주장하기도 했다.

정확한 것은 정부 당국과 보안 전문 기업의 면밀한 분석이 나와야 알겠지만, 여러 가지를 종합해보면 이번 사건은 북한과 무관하지 않음을 추정해 볼 수 있다는 것이 박 교수의 설명이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>