북한이 장기간 국내 네트워크에 자유롭게 드나든 것으로 나타나면서 또 다른 해킹 사건과의 연관성 여부에 관심이 쏠리고 있다.
10일 정부 민관군 합동 대응팀에 따르면 북한은 3월 20일 방송사와 금융사를 공격하기 위해 최소 8개월 전부터 준비해왔다.
지난해 6월 28일 북한 내부에서 국내 공격 경유지에 접속, 사건 발생까지 1590회나 접속한 사실이 드러났다. 또 금융사에 악성코드를 유포하고 공격 다음날 자신들의 흔적을 제거하는 시도까지 벌인 것으로 조사됐다.
국내 전산망을 마음껏 휘젓고 다닌 셈이지만 그들의 존재는 어디서도 노출되거나 발각되지 않았다.
북한의 흔적은 대형 사고가 터진 후에야 겨우 꼬리 일부가 확인되는 식이었다. 지난 2009년 발생한 7·7 디도스 사건, 2011년 3·4 디도스, 2011년 농협은행 해킹, 2012년 중앙일보 해킹 사건이 그 예다.
하지만 전문가들은 북한이 그동안 주도면밀한 준비를 해왔다는 데 주목하고 있다. 오랜 기간에 걸쳐 한국을 상대로 해킹 테스트를 해왔을 것이란 관측이다.
실제로 북한의 이번 방송사와 금융사 공격에는 국내 보안 산업을 대표하는 기업들의 제품이 속절없이 이용당했다.
익명을 요구한 한 보안 전문가는 “2011년 SK커뮤니케이션즈 해킹 사건도 수법이 (북한과) 굉장히 유사했던 경우”라고 말했다.
SK컴즈 해킹은 3500만명의 회원 정보가 유출된 최악의 개인정보유출로 기록된 사건이다. 이때도 유명 압축 프로그램이 해킹에 이용당해 피해가 컸다.
지난 2011년 9월 발생한 정전도 북한 해킹과 연관돼 있다는 주장이 제기된 바 있다.
권석철 큐브피아 대표는 당시 “정부는 정전 사태 원인이 이상고온에 따른 예비전력 부족에 있다고 설명하지만, 정전 직전 고창 전력시험센터에 해킹 공격이 진행된 정황을 포착했다”며 기자간담회를 열고 배후의 북한 해킹 가능성을 제기했다.
전문가들은 북한의 해킹 공격이 상대의 대응 능력을 확인하려는 의도로 분석하고 있다. 진 캐서디 파이어아이 CSA는 “이 정도의 공격이 기업에, 또는 한국 사회에 얼마나 영향을 끼쳤는지, 또 얼마나 빨리 공격에 대응할 수 있는지, 가늠해 보려는 시도들”이라고 풀이했다.
윤건일기자 benyun@etnews.com
