방통위 “북한은 IP주소 없다” 배후설 근거 부인 2009년 7월 13일자 경향신문
임현주기자 korearu@kyunghyang.com
ㆍ“일부 언론보도는 소설”… 美업체도 “증거없다”
ㆍ기계硏 광주전산망 없고 디도스 공격도 안받아
지난 7일 시작된 분산서비스거부(디도스·DDoS) 공격에 대해 ‘북한 배후설’을 제기한 국가정보원이 나름의 근거를 계속 내놓고 있다. 하지만 방송통신위원회와 국내·외 보안업체 등 민간 전문가들은 여전히 “기술적 근거가 없다”며 부정적인 입장이다.
국정원은 지난 10일 한나라당 지도부와의 비공개 간담회 등에서 북한을 배후로 판단한 이유를 설명했다.
여권 관계자에 따르면 국정원은 지난달 30일 중국 선양의 북한인 해커 조직이 한국기계연구원 광주전산망에 대해 디도스 공격을 감행했다고 이날 전했다. 이때 사용된 악성 코드 확장자 역시 NLS였고, 따라서 북한이 이번 공격을 위해 사전훈련까지 했다는 것이 국정원의 얘기였다. 그러나 한국기계연구원에는 광주전산망이 없는 것으로 밝혀져, 국정원의 설명은 근거 없는 주장이 됐다. 한국기계연구원 관계자는 “연구원은 대전에 있으며 광주에는 아무것도 없다”면서 “최근에 전산망 공격을 받은 사실도 없다”고 말했다.
국정원이 꼽은 또다른 근거 가운데 하나는 디도스 공격에 사용된 악성 코드 안의 NLS(*nls) 확장자다. NLS는 북한 해커들이 주로 사용하는 확장자이기 때문에 이번 공격의 배후 역시 북한일 가능성이 높다는 것이다. 이에 대해 보안업체 관계자는 “NLS는 마이크로소프트(MS) 윈도의 확장자 중 하나일 뿐”이라며 “만약 해커가 완전범죄를 하려 했다면 확장자를 반복해 사용할 가능성은 낮다”고 말했다.
국정원이 북한 해커 조직의 IP가 동원된 사실을 확인했다고 밝힌 것에 대해서도 반응은 부정적이다. 방통위 황철증 네트워크정책국장은 “국제인터넷기구(ICANN)에서 도메인과 메인 IP 주소를 설정해주는데, 북한은 IP 주소 할당이 안돼 있다”면서 “북한 IP 주소는 존재하지 않기 때문에 북한 IP 주소 확인은 불가능하다”고 말했다. 그는 “국정원이란 정보기관의 자료가 십수년에 걸쳐 만들어진 부분은 인정한다”면서도 “북한을 디도스 공격의 배후로 지목할 만한 기술적 증거는 없다”고 말했다. 또 일부 언론의 ‘북한 해커 조직 IP 확인’이란 보도에 대해서도 “권위 있는 사람의 소설밖에 안된다”고 말했다.
그는 “북한에서 인터넷을 사용하려면 중국에서 IP를 끌어와 쓰거나 해외 IP를 이용한다”며 “북한 도메인(.kp) 자체 소유권도 독일 사람인 얀 홀트만이 갖고 있다”고 말했다.
미국 플로리다에 위치한 보안업체 선벨트 소프트웨어사는 공식 블로그를 통해 “한국이 디도스 배후로 북한을 의심하고 있지만 명확한 증거는 전혀 없다”면서 “전쟁을 정당화하기 위한 방편으로 이용될까 우려된다”는 입장을 밝혔다. 이 회사는 “악성 코드 최초 진원지로 확인된 미국 플로리다와 독일의 IP를 대상으로 한국이 철저히 분석할 것”이라고 말했다.
국내 보안업체들은 이번 사건의 배후를 확인하는 일이 기술적으로 불가능할 것으로 내다보고 있어 사건 자체가 미궁에 빠질 가능성이 큰 것으로 보인다. 업계 관계자는 “1·2차 공격 때 IP 역추적을 예상하고 흔적을 남기지 않고, 3차 공격 후엔 자신이 심어진 컴퓨터 부팅 영역을 파괴하면서 끝나는 시나리오였다”면서 “악성 코드 샘플도 공격 유발, 스팸메일 발송, 다운로드 파일 등 역할분담이 이뤄져 종합적으로 샘플을 분석하는 게 힘들다”고 말했다.
방통위 황 국장은 “시나리오가 3차 공격에 이어 자진 삭제, 자신이 담겼던 컴퓨터도 삭제하고 끝나는 것”이었다며 “상당히 용의주도하다”고 말했다. 그는 “물리적인 공간에서 범죄를 저지르는 데 ‘장갑끼고 마스크 쓰고 흔적을 지우는 것’과 똑같다”고 덧붙였다.
<임현주기자 korearu@kyunghyang.com>
ㆍ기계硏 광주전산망 없고 디도스 공격도 안받아
지난 7일 시작된 분산서비스거부(디도스·DDoS) 공격에 대해 ‘북한 배후설’을 제기한 국가정보원이 나름의 근거를 계속 내놓고 있다. 하지만 방송통신위원회와 국내·외 보안업체 등 민간 전문가들은 여전히 “기술적 근거가 없다”며 부정적인 입장이다.
국정원은 지난 10일 한나라당 지도부와의 비공개 간담회 등에서 북한을 배후로 판단한 이유를 설명했다.
여권 관계자에 따르면 국정원은 지난달 30일 중국 선양의 북한인 해커 조직이 한국기계연구원 광주전산망에 대해 디도스 공격을 감행했다고 이날 전했다. 이때 사용된 악성 코드 확장자 역시 NLS였고, 따라서 북한이 이번 공격을 위해 사전훈련까지 했다는 것이 국정원의 얘기였다. 그러나 한국기계연구원에는 광주전산망이 없는 것으로 밝혀져, 국정원의 설명은 근거 없는 주장이 됐다. 한국기계연구원 관계자는 “연구원은 대전에 있으며 광주에는 아무것도 없다”면서 “최근에 전산망 공격을 받은 사실도 없다”고 말했다.
국정원이 꼽은 또다른 근거 가운데 하나는 디도스 공격에 사용된 악성 코드 안의 NLS(*nls) 확장자다. NLS는 북한 해커들이 주로 사용하는 확장자이기 때문에 이번 공격의 배후 역시 북한일 가능성이 높다는 것이다. 이에 대해 보안업체 관계자는 “NLS는 마이크로소프트(MS) 윈도의 확장자 중 하나일 뿐”이라며 “만약 해커가 완전범죄를 하려 했다면 확장자를 반복해 사용할 가능성은 낮다”고 말했다.
국정원이 북한 해커 조직의 IP가 동원된 사실을 확인했다고 밝힌 것에 대해서도 반응은 부정적이다. 방통위 황철증 네트워크정책국장은 “국제인터넷기구(ICANN)에서 도메인과 메인 IP 주소를 설정해주는데, 북한은 IP 주소 할당이 안돼 있다”면서 “북한 IP 주소는 존재하지 않기 때문에 북한 IP 주소 확인은 불가능하다”고 말했다. 그는 “국정원이란 정보기관의 자료가 십수년에 걸쳐 만들어진 부분은 인정한다”면서도 “북한을 디도스 공격의 배후로 지목할 만한 기술적 증거는 없다”고 말했다. 또 일부 언론의 ‘북한 해커 조직 IP 확인’이란 보도에 대해서도 “권위 있는 사람의 소설밖에 안된다”고 말했다.
그는 “북한에서 인터넷을 사용하려면 중국에서 IP를 끌어와 쓰거나 해외 IP를 이용한다”며 “북한 도메인(.kp) 자체 소유권도 독일 사람인 얀 홀트만이 갖고 있다”고 말했다.
미국 플로리다에 위치한 보안업체 선벨트 소프트웨어사는 공식 블로그를 통해 “한국이 디도스 배후로 북한을 의심하고 있지만 명확한 증거는 전혀 없다”면서 “전쟁을 정당화하기 위한 방편으로 이용될까 우려된다”는 입장을 밝혔다. 이 회사는 “악성 코드 최초 진원지로 확인된 미국 플로리다와 독일의 IP를 대상으로 한국이 철저히 분석할 것”이라고 말했다.
국내 보안업체들은 이번 사건의 배후를 확인하는 일이 기술적으로 불가능할 것으로 내다보고 있어 사건 자체가 미궁에 빠질 가능성이 큰 것으로 보인다. 업계 관계자는 “1·2차 공격 때 IP 역추적을 예상하고 흔적을 남기지 않고, 3차 공격 후엔 자신이 심어진 컴퓨터 부팅 영역을 파괴하면서 끝나는 시나리오였다”면서 “악성 코드 샘플도 공격 유발, 스팸메일 발송, 다운로드 파일 등 역할분담이 이뤄져 종합적으로 샘플을 분석하는 게 힘들다”고 말했다.
방통위 황 국장은 “시나리오가 3차 공격에 이어 자진 삭제, 자신이 담겼던 컴퓨터도 삭제하고 끝나는 것”이었다며 “상당히 용의주도하다”고 말했다. 그는 “물리적인 공간에서 범죄를 저지르는 데 ‘장갑끼고 마스크 쓰고 흔적을 지우는 것’과 똑같다”고 덧붙였다.
<임현주기자 korearu@kyunghyang.com>
'기사 > 경제' 카테고리의 다른 글
| DDoS 사태’로 드러난 문제점 (0) | 2009.07.17 |
|---|---|
| 북, 국제인터넷기구 미가입…해외서버 이용 (0) | 2009.07.17 |
| 북, 국제인터넷기구 미가입…해외서버 이용 (0) | 2009.07.12 |
| 사이버 공격 징후 탐지, 안일 대처 혼란 키워 (0) | 2009.07.12 |
| 개인 PC에도 치명적 손상 (0) | 2009.07.10 |