풀리지 않는 7.7 DDoS 공격 3가지 의혹(2010.07.05)

풀리지 않는 7.7 DDoS 공격 3가지 의혹(2010.07.05)

정부기관과 언론사, 은행 등이 공격을 받는 7.7 DDoS 공격이 발생한 후 1년이 지났다. 이후 DDoS 공격을 막기 위한 대응 방안이 발표되고 있지만 아직도 그 실체는 잘 알려지지 않고 있다.

당시 보안 담당 기자로 7.7 DDoS 사건을 취재하고 이후 많은 사람들을 만나면서 수많은 이야기를 들었다. 그 중에는 근거가 없는 뜬소문들도 많았지만 근거가 있음에도 밝혀지지 않은 이야기도 있었다.
그 중 몇 가지를 말하고 싶다.

1. 7.7 DDoS에 국내 보안 전문가가 관여됐다?
7.7 DDoS 사건 후 이를 분석한 전문가들과 보안 업체들은 공격의 전반적인 형태를 볼 때 국내 보안을 잘 알고 있는 사람이 공격에 참여하고 있는 것으로 분석했다. 실제 국내 한 보안업체 임원은 기자간담회에서 한국 상황을 잘 알고 있는 사람들의 소행이라고 단정했다.

그 이유는 타이머 방식으로 1차, 2차, 3차 공격이 발생한 내용을 보면 초반에 정부 기관, 언론을 공격해 자신들의 소행을 알렸다. 이후 2차 공격부터는 바로 그 공격에 대응하는 기관들인 특정 보안업체들과 정부 기관을 겨냥했다. 그리고 최종적으로는 사람들이 DDoS 대응에 주력하고 있을 때 데이터 삭제라는 또 다른 카드를 꺼내 상황을 주도했다.

즉 범인은 사이버공격이 발생하면 우리나라가 어떤 방식으로 대응을 하게 될 것이라는 대응 프로세스를 알고 있었다는 것이다.

또 다른 증거들도 있다. 경찰청이 수사 중 공개한 데이터 삭제 대상 파일들 중에는 국내 IT에서만 주로 사용되는 파일 포맷이 포함했다. 특히 과거에 파일들 10년전 사용됐던 금성(현 LG)에서 만든 문서 포맷 파일도 포함돼 있어 범인이 우리 IT에 대해 상당한 지식이 있는 것으로 추정되고 있다.

더 심각한 문제는 범인들은 단순히 우리의 IT와 보안 문화와 체계를 아는 수준을 넘었다는 것이다. 한 보안업체 대표에 따르면 7.7 DDoS 공격은 우리 보안 제품 기술적인 특성을 잘 아는 사람의 소행이었다.

보안업체 대표는 “대한민국에서 사용되는 네트워크 보안 장비에 잘 걸리지 않는 수준의 공격이 이어져 공격 초반 유해 트래픽을 탐지하지 못해서 애를 먹었다. 분명 한국에서 사용되는 보안 장비를 잘 아는 사람이 공격에 참여한 것으로 보인다. 만약 국내 보안 업계 관계자가 이 사건에 관여한 것이 나중에 밝혀지면 이는 북한이 공격을 한 것보다 파장이 더 클 것이다. 국민들이 보안업체를 불신하지 않을까 두렵다”고 말했다. 보안 장비에서 이상 트래픽으로 감지하지 못하는 수준의 트래픽을 파악해 공격을 감행한 것이다.

이를 토대로 볼 때 공격 주체가 북한이 아닌 국내 세력일 가능성도 있으며 또는 북한이 공격의 주체인데 국내 보안 전문가가 간첩활동을 하며 북한에 협조한 것일 수 있다.
만약 실제로 국내 보안 전문가가 정부를 공격했거나 또는 간첩행위를 한 것이라면 이는 국가 안보에 중대한 문제가 될 수 있다. 문을 지키는 사람이 문을 공격한 것이기 때문이다. 하지만 이와 관련된 내용은 전혀 알려지지 않고 있어 지난 1년 동안 정부가 이에 대해 조사를 제대로 했는지는 의문이다. 정부는 사건 초기부터 북한 소행으로 추정된다는 이야기 만하고 정작 이런 이상 징후에 대해서는 1년 동안 침묵했다.

2. 7.7 DDoS의 더 큰 문제는 정보 유출이다?
7.7 DDoS 공격으로 인한 피해를 이야기 할 때 주로 홈페이지 서비스가 마비된 것, 이로 인해 사회적 혼란이 초래된 점, 3차 공격 이후 일부PC들의 데이터가 삭제된 것을 피해로 이야기하고 있다. 그렇다면 피해는 그것뿐일까?

사건 발생 약 한 달 후 경찰청에서 조사를 한 결과 7.7 DDoS 공격에 동원된 PC들에서 데이터 파일들이 빠져나간 정황이 발견됐었다. 7.7 DDoS 공격과 관련된 악성코드 중 자신에 감염된 PC의 문서 등 주요 데이터를 어딘 가로 보내는 기능이 있었다.

문제는 감염된 PC가 각 분야에 걸쳐 엄청났다는 것이다.(정부가 당시 확인한 것만 10만대가 넘는다.) 당시 담당 기자로 확인한 바로는 대기업, 은행, 대전에 모 대학 연구소는 물론 관공서에 7.7 DDoS 악성코드에 감염된 PC가 상당수였다. 한 지자체의 경우는 수백 대 PC가 감염됐으며 모 연구 기관도 수십대의 PC가 감염됐던 것으로 알고 있다. 때문에 전체적인 관공서 감염은 최소 수 천 대에 이를 가능성도 있다.

그렇다면 그들로부터 빠져나간 정보는 대체 어디로 간 것일까? 실제로 이렇게 정보들이 빠져나갔다면 그것이야말로 엄청난 피해라고 할 수 있다. 개인정보, 산업기밀, 국가기밀 정보가 누군가의 손에 들어갈 수 있기 때문이다.

하지만 이런 우려에 대한 명쾌한 해답은 정부 어느 부처도 하고 있지 않다.

3. 7.7 DDoS 악성코드는 모두 치료됐다?
7.7 DDoS 공격에는 다양한 악성코드들이 복합적으로 이용됐다. 군대 조직을 생각해 보면 이해하기 쉬울 것이다. 군대에 보급 부대, 정보 수집 부대, 관리 부대, 공격 부대 등 성격이 있듯이 7.7 DDoS 공격에는 수 십 종류의 역할이 각기 다른 악성코드들이 복합적으로 사용됐다.

정부는 7.7 DDoS 공격 악성코드를 90% 넘게 거의 대부분 치료했다고 주장했다. 하지만 이는 전체 악성코드들 중 일부에 불과했다. 실제로 국내 모 대학 연구소에서 연구원들이 지난해 연말 7.7 DDoS를 분석한 적이 있다.

이 때 7.7 DDoS 관련 악성코드 중 PC정보를 보내는 악성코드를 역으로 이용해 C&C 서버에 접속한 후 정보를 파악한 결과 대부분 치료됐다는 정부의 주장과 달리 그 당시 수 만 대의 PC가 그 악성코드에 감염된 상태인 것으로 나타났다.

연구원들은 정부가 치료했다고 밝힌 7.7 DDoS 악성코드는 몇몇 종류일 뿐이며 아직도 많은 PC들이 감염된 것으로 봐야 한다는 연구 결과를 내놨다. 문제는 그 감염된 PC들을 범인이 또 다시 이용할 가능성이 있다는 것이다.

이 내용에 대해 정부 기관에서는 연구원들의 연구 내용을 알고 그들에게 주의?를 당부했고 연구원들은 본 기자에게 자신들이 개인적으로 불이익을 받을 수 있다며 보도를 하지 말아줄 것으로 요청했었다.

정부에서 연구원들의 입을 막는데는 노력하면서 정작 7.7 DDoS 악성코드에 대해 어느 정도 분석했고 어떻게 대응했는지 의문이다. 이와 관련된 내용에 대해서도 정부는 아무런 말이 없다.

이밖에도 다양한 근거 있는 의문점들이 아직 많다. 지난해 국정감사 자료에 따르면 7월 사건 발생 바로 직전인 6월 비슷한 내용의 DDoS 공격 훈련을 정부가 실시했다. 악성코드가 유포돼 국내 다수의 PC가 좀비PC가 되고 이를 이용해 범죄자들이 주요 사이트를 공격한다는 것이다. 이런 훈련을 실시하고도 공격을 당한 것도 문제이지만 국정감사가 실시되기 전까지 언론이 내용을 알려달라고 할 때는 함구로 일관하다가 뒤늦게 공개한 것도 의문점이다.

또 국가정보원장이 DDoS 공격에 북한 체신청이 사용하는 IP가 사용됐다고 밝혔지만 그 이외에 증거는 공개되지 않았다. 올해 1월에는 한 탈북자 단체에서 북한이 DDoS 공격을 했고 해커들에게 포상을 했다는 내용을 공개했지만 이 역시 정부는 확인해 주지 않고 있다.

정부의 침묵은 사람들에게 감추기로 비춰질 수 있으며 이런 행동들이 각종 음모론의 단초가 된다고 생각한다. 정부에서는 지금까지 조사한 내용을 공개해 의문점들을 사라지도록 해야 할 것이다. 만약 그렇지 않으면 7.7 DDoS 사건은 또 하나의 미스테리 사건이 돼 버릴 것이다.

디지털타임스 강진규 기자