정보보호정책과장 이승원입니다.

지금부터 3월 20일 사이버 테러에 대한 중간 조사결과를 발표 하겠습니다.

민·관·군 합동대응팀은 사이버 테러의 접속기록, 악성코드 등에 대한 조사결과와 대북 정보 등을 종합적으로 분석한 결과, 이번 3월 20일 사이버 테러에서 농협 등 수 차례에 걸쳐 대남 해킹을 주도한 북한 정찰총국의 해킹수법과 유사한 증거들을 발견하였습니다.

자세한 사항에 대해서는 한국인터넷진흥원의 전문가께서 브리핑을 하겠습니다.


<전길수 한국인터넷진흥원 침해사고대응단장>
방금 소개받은 한국인터넷진흥원의 전길수입니다.

이번 발생한 방송·금융 관련, 그리고 전산장비 파괴 등이 발생한 사이버 테러에 관해서 전반적으로 브리핑을 하도록 하겠습니다.

먼저, 사고 개요에 대해서 말씀드리겠습니다.

실제 사고 자체는 지금 나눠드린 보도자료에서 보시는 바와 같이 총 4개의 사고로 이루어져 있습니다.

첫 번째로, 3월 20일 발생한 방송·금융사 전산장비 파괴, 4만 8,700여대의 PC와 서버 등에 대한 장애가 있었습니다.

그리고 3월 25일 국민 대상으로 해킹을 시도한 상황이 하나 있었고, 3월 26일에 YTN 계열사에 대한 홈페이지 자료서버 파괴한 58대에 대한 사고가 있었습니다.

그리고 같은 날 대북보수단체 홈페이지 자료 삭제하는, 4가지 사건이 전체적인 개요라고 말씀드릴 수가 있습니다.

이제부터 말씀드릴 부분은 이런 사건들이 어떤 연관성이 있는가, 그리고 그 사건에 대해서 어떤 식으로 분석이 이루어졌는지, 그 부분에 대해서 말씀을 드리도록 하겠습니다.

아시다시피 3월 20일 사고가 발생한 직후 민·관·군 합동대응팀이 가동되었습니다. 그래서 악성코드가 이 사고에 관련된 76종이 전체적으로 채증 되었고, 공격 관련 로드들, 인터넷 접속기록들이 추가로 채증 되었습니다.

그리고 금번 채증자료를 바탕으로 해서 과거에 북한이 시도한 해킹과 대응관계를 종합적으로 분석했습니다.

실제적으로 악성코드 유포, 진원지, 은닉형 경유지 총 49개가 현재까지 파악되었습니다.

그리고 이번 공격 자체는 2012년 6월, 그러니까 8개월 이전부터 공격 준비한 사실이 확인되었습니다.

이런 결과를 바탕으로 해서 북한의 정찰총국 소행 증거가 다수 확보되었고, 그것에 관해서 집중적으로 말씀을 드리도록 하겠습니다.

공격경로는 실제적으로 최소 8개월 전부터 치밀하게 준비한 APT 공격으로 규정을 지을 수 있습니다.

실제 공격한 과정들에 대해서 말씀을 드리겠습니다.

방송·금융사의 내부전산망에 침투하는 것이 1차적인 목적이었다면, 내부거점을 구축하기 위해서 2012년 6월부터 관련 접속 시도가 있었습니다.

많이 보도가 되었듯이 3월 20일 2시부터 악성코드가 유포되었고, 실제적으로 PC의 하드디스크가 파괴되거나 아니면 공격명령을 내려서 서버들이 파손되는 현상들이 발생하게 되었습니다.

그러면 지금까지 말씀드린 것을 바탕으로 해서 북한에 대해서 어떤 식으로 연관성이 있는지, 그 관련성에 대해서 말씀을 드리도록 하겠습니다.

실제 북한 내부에서 공격경유지, 실제로 어떤 금융사나 그 부분을 공격하기 위해서 악성코드를 유포하는 사이트가 있는데, 그런 경유지에 접속한, 장기간 공격 준비한 과정이 있었습니다.

실제 북한 내부 PC 6대에서 직접 접속하거나 또는 해외를 거쳐서 1,590회를 접속한 흔적이 있었고, 그 중에서 13번은 북한에서 직접 접속한 그런 IP가 발견되었습니다.

실제 북한 내부 PC에서 해외를 거쳐서 금융사에 유포한 악성코드 3종을 업로드 했습니다. 맨 아래 보시는 부분이 지금 *** 그렇게 나타난 부분이 악성코드이고, 그러니까 원격제어하거나 또 다른 악성코드를 유포할 목적으로 하는 드로퍼 형식의 악성코드로 확인이 되었습니다.

이 전에도, 2월 22일에도 이런 북한 IP에서 지령을 하달하기 위한 국내 경유지에 사전 시험하기 위해서 접속한 흔적도 로그 분석 결과 나타났습니다.

또한, 북한과 연관성이 있는 관련 증거들은 지금까지 파악된 국내 공격경유지, 보통 일반적으로 말하는 명령조정서버, C&C라고 말하기도 하는데, 그런 C&C, 그리고 로그 분석해서 나온 공격경유지 중 총 49개가 발견되었는데, 그 중 22개가 과거에 사용했던 경유지, 과거에 사용했다는 의미는 국정원이나 군 기무사 사이버사령부에서 대남에 관한 해킹들에 대한 정보를 수집하고 있습니다.

그 부분에 대해서는 사실 자세히 말씀드릴 수 없겠지만, 확인된 결과에 의하면, 과거에 사용되었던 경유지와 동일한 경유지가 22개나 겹친다, 여기 그림에 보이는 것은 그 중의 한 예로 보시면 되겠습니다.

그리고 이번 공격에 사용된 악성코드가 총 76종입니다.

총 76종 중에 30종 이상을 재활용했다, 이것도 마찬가지로 과거에 사용했던 악성코드들이 이번에도 똑같이 사용됐다는 의미입니다.

감염 PC를 식별하는 식별번호나 감염신호를 생성한 소스 프로그램 자체가 완벽하게 동일했기 때문에, 과거에 사용했던 것과, 과거에 북한에서 행한 해킹과 연관성이 있다고 말씀드릴 수가 있겠습니다.

그러면 아까 서두에 말씀드린 4가지 사건이 있었습니다. 3월 20일 사건, 25일, 26일, 총 4가지 사건이 있었는데, 그 4가지가 동일조직의 소행인지 그것부터 파악할 필요가 있습니다.

먼저, 방송·금융 5개사, 제주은행을 제외한 5개사가 공격조직이 동일하다, 이런 부분은 악성코드의 분석 결과, 그리고 특정 문자열로 덮어쓰기를 했다거나, 실제로 사전 침투할 때 침투, 그런 의미, 그러니까 원격조정하는 악성코드 등이 있는데, 그것을 개발해서 실제로 개발자가 자기 PC에 저장하기 위한 폴더들이 악성코드에 나타나는 경우가 있습니다.

그 폴더에 대한 저장경로 자체가 일치했다, 그러니까 5가지의 방송·금융사에 대해서 공격한 악성코드나 이런 징후들, 그리고 공격방법들을 봤을 때 거의 같은 조직에서 했다는 것을 확인할 수가 있습니다.

실제 이번 경우에 대해서도, 4건에 대해서 동일 조직이라는 근거 자체는 서버에 사용하는 악성 프로그램들이 있습니다. 소위 웹셸이라고 말하는 부분인데, 그 웹셸이 여러 사건에 공통적으로 사용됐다, 그러니까 3월 20일 사용한 부분과 3월 26일, 실제로 저 부분을 분석해 보니까 코드가 정확히 일치했다, 그래서 동일 조직인 것으로 판단이 된다, 그런 근거가 될 수가 있습니다.

그리고 또 한 가지에 대한 근거는, 동일한 공격경유지가 여러 사건에 공통적으로 사용됐다는 의미입니다.

신한금융, 신한은행과 아까 말씀드린 디지털YTN, 그리고 보수대북단체 홈페이지도 해킹에 대한 시도가 있었는데, 그 부분에 대해서도 동일한 공격경유지가 여러 사건에 대해서 공통적으로 사용됐다, 그 부분을 확인할 수가 있습니다.

그래서 전체적으로 이 4건에 대한 것은 동일 조직이 소행을 한 그런 결과로 판단할 수가 있습니다.

지금까지 말씀드린 부분은, 과거에 있던 북한에 대한 해킹사례와 이번에 발생한 4건이 결국은 동일 그룹에서 했다는 판단근거를 말씀드린 부분입니다.

실제 이번 3월 20일부터 발생한 4건의 사건과 과거 북에서 공격한 것으로 판단되는 국정원과 군 쪽에서 확인해 준 사항을 바탕으로 해서 동일 조직, 악성코드에 대한 분석과 접속기록들, 관련된 IP들을 종합적으로 판단했을 때 동일 조직이 소행했을 것으로 판단하고 있습니다.

후속조치로 말씀드릴 부분은, 내일 국가사이버안전전략회의가 열립니다. 그래서 15개 정부기관에서 참석하게 되고, 국가사이버안전 강화대책에 대해서 추가로 논의될 예정입니다.

여기까지 브리핑 마치겠습니다.

|||


[질문 답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 처리했으니 양해 바랍니다.

<질문> 경로를 역 추적한 부분에 대해서 어느 나라를 경유했는지, 또 프로그램 중 어떤 프로그램의 어떤 취약점을 이용했는지에 대해서 자세히 설명 부탁드립니다.

<답변> (전길수 침해사고대응단장) 공격을, 경유된 나라 자체는 굉장히 많습니다. 실제로 여기에서 나온 아까 49개라고 말씀드렸는데요. 그 부분에 대해서는 한국도 포함되어 있고, 국외 여러 10개국 정도가 포함되어 있다고 보시면 될 것 같습니다.

취약점 자체는 사실은 어떻게 보면, 전체적으로 애초에 여러 가지 취약점, 사실 한 가지 취약점만 이용한 것은 아닙니다.

악성코드를 유포하기 위해서 웹사이트의 웹서버에 대한 취약점도 이용했고, 관리자 PC나 사내에서 운영하고 있는 서버들, 그런 부분의 취약점도 역시 악용이 되었습니다.

그리고 개인 PC나 또는 서버들의 파괴 목적이 된, 하드디스크 파괴 악성코드를 배포하기 위해서 사용되었던 백신 관련 소프트웨어나, 또는 다른 소프트웨어들의 배포서버에 대한 취약점도 역시 이용되었기 때문에, 다양한 취약점을 사전적으로 치밀하게 준비한 공격으로 볼 수가 있겠습니다.

<질문> 이번에 발견된 것 중에는 13개는 북한에서 직접 접속한 IP로 발견되었다고 설명해 주셨는데요.

<답변> (전길수 침해사고대응단장) 네, 맞습니다.

<질문> 그 부분 구체적으로 어떻게 확인됐는지 궁금한 것이 첫 번째 질문이고요.

두 번째로는, 악성코드를 유포했던 명령을 내렸던 C&C 서버가 발견된 것인지, 이것이 두 번째 질문입니다.

그리고 세 번째는, 제주은행은 아까 동일 소행이 아닌 것으로 설명하셨는데...

<답변> (전길수 침해사고대응단장) 아닙니다. 그렇게 말씀드린 것은 아니고요.

<질문> 그건 아닌가요? 제주은행은 어떻게 된 것이죠?

<답변> (전길수 침해사고대응단장) 신한금융하고 그 부분에 대해서 같은 것을 사용하기 때문에 별다른, 그 부분에 대해서 분석 자체를 제외해서 말씀드린 것뿐이고, 6개 기관이 동일하다는 것은 맞습니다.

그리고 아까 C&C 관련해서 말씀드린 부분, 그리고 첫 번째 질문 다시 한 번 말씀해 주시겠어요?

<질문> 13개의 IP 경우에는 북한에서 직접 접속한 것으로 확인됐다고 말씀 주셨는데요.

<답변> (전길수 침해사고대응단장) 예, 그 부분부터 일단 말씀드리면, 실제로 북한에서 직접 공격한 IP 자체를 추출한 것은 굉장히 어렵습니다.

해커 자체가 원래 자기를 숨기는 게 목적이기 때문에 그 부분을 노출시킬 수 있다는 것 자체가 어떻게 보면 추적하는 단서가 되고 있습니다.

해커 입장에서도 IP 자체를 숨기려는 노력은 굉장히 많이 했습니다.

실제로 악성코드를 유포하는 쪽으로, 사실 금융사 쪽에 대한 분석과정에서 발견된 것인데, 악성코드를 유포해서 경유하는 명령을 내리는 서버 자체 접속할 때 접속하는 그런 부분에 대해서 로그들도 사실 거의 다 지웠습니다.

보통 접속기록들이 남는 게 방화벽 로그나 웹서버 로그 이런 부분들이 많이 남게 되는데, 그런 로그 자체는 다 지웠기 때문에 흔적 자체는 남지 않았는데, 원격터미널 로그 자체가 남았기 때문에 그 부분에 대해서 추출하게 되었습니다.

그런데 왜 갑자기 그런 북한 IP가 발견되었느냐, 실제로 공격한 것은 외국의 경유지를 통해서, 직접 접속을 한 게 아니라, 경유해서 접속했습니다.

그런데 통신상에서의 문제, 어떤 기술적인 문제 때문에 수 초간 아니면 수 분간 북한 IP가 노출된 것이고, 그 부분이 발견되었기 때문에 확인할 수 있었던 것입니다.

<질문> ***

<답변> (전길수 침해사고대응단장) C&C 서버 자체가 발견된 것은 사실 과거 사례에서도 C&C 자체는 굉장히 많이 발견됩니다. 한두 군데만 발견되는 게 아니라, 어떤 특정 사건에 대해서는 몇 백건 이상 발견되는 경우도 허다하게 있습니다.

그런 부분에 대해서 추적하는 부분도 사실은 중요한 하나의 조사를 하는 방법이 될 수 있는 것이고요.

이번 경우에서도 해외에 관한 명령을 내렸던 흔적들은 많이 발견되었고, 그 부분을 추적하다 보니까 결국은 북한 IP라는 그런 부분이 나왔기 때문에 그 부분에 연결이 되게 된 것입니다.

<질문> 몇 가지 질문 드리겠습니다. 같은 코드, 같은 방식의 공격이었다고 아까 말씀하셨는데요.

<답변> (전길수 침해사고대응단장) 네. 맞습니다.

<질문> 기존의 사례들도 있었는데요. 그리고 굉장히 오랫동안 공격했었는데, 똑같은 공격이 계속 되풀이 되고 있음에도 불구하고 계속 똑같은 공격에 노출되고 있는데, 북한의 공격을 과연 막을 수는 있는 것인지.

그리고 이렇게 6개월 동안 몰랐다는 것이 어떻게 보면, 사이버 안보에 구멍이 뚫린 것 아닌가라는 생각도 드는데요. 여기에 대해서 어떻게 생각하시는지 말씀해 주시고요.

그리고 만약에 사이버 테러라고 한다면 북한이 추가공격을 할 가능성은 어느 정도로 보고 계신지 알고 싶습니다.

<답변> (전길수 침해사고대응단장) 공격 자체가, 아시겠지만 사실은 방어 자체를 안 하고 있는 것은 아닙니다. 우리도 항상 그 부분에 대해서 집중적으로 모니터링 하고 있고, 합동대응팀을 포함해서 정부, 민간 보안업체도 마찬가지로, 우리 한국인터넷진흥원도 그 부분에 대한 모니터링과 추가적인 공격 여부, 그리고 항상 상시적으로 어떤 부분에 대해서 징후가 있는지 파악은 항상 파악하고 있습니다.

그러나 해킹공격 자체를 100% 막을 수 있으면 굉장히 좋겠는데, 그 부분에 대해서, 사실 방어하는 입장에서는 모든 경우의 수를 다 확인해야 되는 것이고, 공격하는 입장에서는 어떤 특정한 취약점 하나에 대해서 집중적으로 공격할 수 있기 때문에 공격할 수 있고, 공격에 뚫릴 수 있는 가능성은 항상 있습니다.

그리고 취약한 부분에 대해서 어떤 식으로 항상 보완을 해야 되는 그런 부분이 선결이 되어야 하는 것은 맞고요.

우리 입장에서도 항상 봤을 때는 그러면 어떤 식으로 공격 자체에 대해서 침투하는 경로나 그런 부분은 항상 있을 것이고, 얼마나 그런 징후 자체를 빨리 파악하고, 빨리 대응하는가, 그런 부분이 항상 관건이 되고 있습니다.

그런 부분에 대해서 집중적으로, 추가적으로 관련 기술개발이 될 수 있고 대응체계 개선 등을 통해서 그 부분을 해소하려고 노력하고 있습니다.

추가 말씀드리면, 향후 공격이나 이런 발생 부분은 항상 가능성이 있기 때문에 그런 가능성을 열어두고 항상 대비를 해야 된다는 말씀으로 갈음하고 싶습니다.

<질문> 어떤 언론 보도에서 보니까 이번 공격으로 인해서 정보가 유출되거나 이런 피해가 발생했다고 보도가 됐더라고요. 이 부분에 대해서 어떻게 된 것인지, 정보가 유출됐다면 어떤 정보들이 유출된 것인지, 피해 규모가 얼마나 되는지요.

<답변> (전길수 침해사고대응단장) 과거의 개인정보 유출사고와 비교를 한다면, 이 목적 자체가 조금 다릅니다.

사실 과거, 예를 들어 개인정보 유출사건은 어떻게 보면 개인정보 유출한 개인정보에 대해서 매매가 이루어진다거나 그런 부분에 대한 공격이었다면, 이번 공격 자체는 사회혼란을 유발하는 형태의 공격이라고 볼 수가 있습니다.

APT 공격 자체도 과거에는 이런 공격 자체가 디도스 공격으로 많이 이루어졌었는데, 이번 공격 자체는 한 기관에 대한 APT 공격이 아니라 다양한 기관, 여러 기관을 동시에 공격을 하는, 준비 자체도 상당히 길었을 것으로 판단이 되고요.

정보유출 자체는 APT 공격 자체가 사전에 정보 수집을 하는 부분은 반드시 있습니다.

왜냐하면, 실제로 어떤 공격거점을 먼저 확보해야 하기 때문에 공격거점이 개인 PC가 될 수 있고 서버가 될 수 있습니다.

서버에 대해 처음에 1차적으로 내부망에 침투하기 위해서 어떤 망 구성도를 가지고 있는지, 예를 들자면 아이디나 패스워드가 관리자에 대한 계정이 될 수 있고, 어떤 부분이 내부적으로 취약한지 이런 부분을 스캔 하는 과정도 거치게 됩니다.

APT 공격이라면, 기본적으로 그런 정보들은 유출되었을 것으로 판단하고, 그 외에 추가적인 개인정보 유출이나 기업에 대한 정보유출, 이런 부분은 현재까지 파악된 부분은 아직 없습니다.

<질문> 아까 설명 하시던 부분 중에 최초 감염경로를 말씀 안 해주신 것 같고요. 그리고 일부 민간업체들 얘기를 들어보면, 농협을 비롯해서 6개 기관의 감염경로가 다 다르다고 얘기가 나오는데 혹시 그것이 사실인지 여부와 처음에 ´후이즈´라는 그룹이 많이 거론이 됐었는데, 후이즈라는 그룹과 북한과의 연관성은 밝혀진 바가 있는지요?

<답변> (전길수 침해사고대응단장) 후이즈 관련된 부분은 직접적으로 이 부분에 대해서 확인된 바는 없습니다.

다만, 아까 말씀하신 6개 기관에 대해서 공격방법이 조금씩 차이가 있는 것은 맞습니다.

환경 자체가 6개 기관이다 보니까 서버에 대한 취약한 부분, 그리고 그 부분이 다 다릅니다. 어떤 기관에 대해서는 1차 거점을 PC로 삼은 부분도 있고, 어떤 다른 기관 같은 경우는 외부에서 접속하는 서버를 1차 거점으로 삼은 부분에서 다르다고 볼 수 있습니다.

<질문> 최초 감염경로는 아직 밝히지 못한 것입니까?

<답변> (전길수 침해사고대응단장) 감염경로 말씀하시는 것이, 예를 들어 이메일을 통해서 감염됐다거나 아니면 그런 부분을 말씀하시는 것 같은데, 밝혀진 부분 자체는 웹셸 같은 것이 올라와서 그래서 실제로 서버에 대해서 공격이 들어왔다, 이런 부분도 있고, 그리고 PC 같은 것 감염됐을 때는 추정으로 웹사이트에 방문했을 때 악성코드를 다운로드 받았을 것이다, 아니면, 이메일을 받았을 것이다 정도로 추정하는 것 정도이고요.

그것 외에, 오늘 발표에서의 포인트 자체는 과거의 북과 해킹수법이 굉장히 유사하고 동일한 부분이 많다, 이 부분으로 맞춰주시면 감사하겠습니다.

<질문> 일단 합동대응팀과 경찰 사이버테러대응센터에서도 수사 중인 것으로 알고 있는데, 두 기관 사이에 업무가 어떻게 분담이 되어 있는지요.

이 질문을 하는 이유는 무엇이냐 하면, 일상적으로 보면 범인을 찾는 것은 경찰의 몫이거든요. 수사권도 경찰에 있고요. 합동대응팀은 수사권이 있습니까? 없는 것으로 알고 있고, 그런데 이번 발표에 경찰은 참여하지 않은 것으로 알고 있습니다.

경찰은 자기들은 더 수사를 해야 된다는 입장이어서 이것이 왜 이렇게 혼선이 있는지, 두 기관 사이에 어떻게 업무가 나뉘는지 우선 이것을 답변 부탁드리겠습니다.

<답변> (전길수 침해사고대응단장) 사실 저는 그 부분에 대해서는, 분석하고 그런 부분의 입장이기 때문에 지금 말씀하신 부분에 대해서 사실 정확한 답변을 드리기는 좀 어려울 것 같습니다.

<질문> 아니, 지금 북한 정찰총국의 소행이라고 얘기를 했는데, 범인을 잡는 수사는 따로 하고 있고, 수사를 하는 기관은 따로 있고, 정찰총국이라고 범인을 지명하는 곳은 따로 있다는 것이 상식적으로 이해가 안 되는데...

<답변> (전길수 침해사고대응단장) 정찰총국, 어떻게 보면, 지금 정보를 담당하는 그런 기관에서 사실은 대답해야 될 부분이라고 생각합니다.

제가 사실 답변드릴 수 있는 부분은, 어떻게 보면 수사에 관련된 부분하고 이 합동대응팀에 대한 업무 자체가 명확한 구분이 안 되어 있다, 이런 말씀을 하시는 부분하고, 실제로 수사하는 부분하고, 그리고 이쪽에서 발표한 부분하고 어떤 관계성이 있는지, 그 부분에 대해서 말씀을 하시는 것 같은데요.

사실 제가 그 부분에 대해서 명확하게 말씀을 드릴 수 있으면 좋겠는데, 저도 어떻게 보면 이 부분에서 분석업무를 담당하는 그런 입장이어서 역학관계나 그런 부분은 사실 별도 나중에 답변을 드릴 수 있도록 하겠습니다.

<질문> 공격 주체를 북한으로 정부에서 공식적으로 발표하는 것이 상당히 이례적인 것처럼 보이는데, 이번에 북한의 소행이라고 드신 근거 자체가 PC 6대가 접속을 했다고 말씀을 하셨습니다.

그런데 통상적으로 보안전문가들은 해커들이 IP를 보통 노출을 안 시킨다고 하거든요. 그리고 우리가 어디 밖으로 나갈 때 여권을 위조할 수도 있고, 아우터 상에서 IP를 위조할 수도 있는 것이고, 그 다음에 프락시 서버를 만들어놓고 우회해서 중국으로 갔든 중동으로 갔든 돌아서 들어올 수도 있는 것이고...

<답변> (전길수 침해사고대응단장) 맞습니다.

<질문> 그런데 이번에 발표하실 때는 북한으로 특정을 하셨습니다. 여기에 대한 이 부분, 우회나 프락시, 그 부분의 가능성은 어떻게 보시나요?

<답변> (전길수 침해사고대응단장) 무슨 말씀인지 알겠습니다. 그 부분에 대해서 일단 답변 드리겠습니다.

지금 말씀하신 부분은 어떻게 그 IP가 북한 IP라고 단정을 지을 수 있느냐, 위조되는 IP도 있고, 사실 그 위조되는 부분에 대해서는 디도스 공격이나 이런 부분에 대해서 단방향일 때는 위조가 가능합니다. 그리고 실제로 위조되어 있는 IP들이 많이 탐지가 되기도 합니다. 어떤 디도스 공격 같은 경우는 수집된 IP들의 70% 이상이 위조된 IP로 들어오는 경우도 있습니다.

그런데 이 부분에 대해서 지금 여기에서 나온 북한의 대역 IP라는 것은 실제 한 방향에 대해서 명령만 내려주는 IP라면 충분히 위조될 가능성이 있지만, 양 방향에 대한 통신입니다.

그러니까 다시 말씀드리자면, 한 쪽에서 명령내리고 지령 받은 것에 다시 응답하고, 항상 통신이 이루어지는 과정이기 때문에, 양방향에 대한 것이기 때문에 일단 위조 자체는 아니라는 것이 기술적으로 확인이 됐고요.

그러면 그 IP에 대한 부분에 대해서는, 그러면 이제 과거에, 사실 2009년인가요, 그 때 북한 쪽으로 할당된 IP대역이었고요.

최근에 사실 북한 사이트에 대해서 공격이 일어난 적이 한 번 있지 않습니까? 3월 말쯤에 한번 있었던 것으로 제가 기억을 하고, 언론보도도 많이 됐던 것으로 기억이 납니다.

그 때 상황에서도 북한에 있는 그 사이트에 대한 공격 자체가 이루어졌을 때 IP대역하고 동일하다고 말씀드릴 수 있겠습니다.

<질문> 제가 질문 드리는 것은 매번 이런 사건이 나올 때마다 북한 소행이라고 이렇게 마무리가 되는 부분이 있어서, 조금 더 정부에서 많은 관심을 가지고 투자를 해서 실제적으로 IP를 추적할 수 있는 부분이 필요하지, 이것이 하나의 면죄부는 되는 것은 안 된다고 생각을 합니다.

<답변> (전길수 침해사고대응단장) 물론, 그렇게 생각하지 않습니다. 과거에도 아시다시피 3.4나 7.7, 농협사건, 최근에 중앙일보 건까지도 북한이라는 공식적인 수사발표가 있었습니다.

그 부분에 대해서도 여러 가지 증거들이 나오고, 어떤 부분에 대해서는, 경유지가 과거와 같다, 그런 부분도 있었고, 악성코드에 대한 구조나 이런 부분도 동일하다, 이런 부분에 대해서 하나의 증거로 채택이 됐던 부분이고요.

현재 이 부분에서도 그 부분을 더하는 여러 가지 사실들이 확인이 됐다고 말씀드릴 수 있겠습니다.

<질문> 한 가지 더 질문 드리겠습니다.

앞에서 질문이 많이 나왔지만, 속시원하게 밝혀지지 않은 것이 최초 감염이 어떤 식으로 이루어졌는지 6개사에 대해서, 어제는 일각에서는 제큐어 웹을 통해서 됐다, 그리고 농협 같은 경우는, 안랩 자체가 발표를 했습니다.

<답변> (전길수 침해사고대응단장) 네, 맞습니다.

<질문> 각각이 조금씩 다를 것 같은데, 그 부분에 대한...

<답변> (전길수 침해사고대응단장) 말씀드렸듯이 아까 PC에 의해서 감염된 애초에, 내부에 있는 PC를 통해서 감염될 부분이 있었고요.

그리고 방송사 같은 경우 일부는 서버를 통해서 감염된, 그러니까 외부에서 접속할 수 있는 서버들이 있습니다. 여러분들이 지금 기사를 작성하실 때 송고를 할 때 외부로 달라붙는 서버도 있을 텐데, 그런 서버들에 대해서도 취약한 부분에 대해서 공격대상이 충분히 됐었고, 그리고 아까 말씀드린 제큐어 웹에 대해서는 이번 6개 기관에 대한 공격하고는 연관성이 없습니다.

<질문> 부가적으로 질문 드리겠습니다. 양방향 통신이어서 북한 IP 6개가 위조됐을 가능성이 없다고 했는데, 해외 IP가 세탁됐을 가능성이 전문가 입장에서 봤을 때 0%라는 얘기입니까?

<답변> (전길수 침해사고대응단장) 예, 맞습니다.

그러니까 지금 말씀하시는 0% 부분이 사실 공격에서 단방향 공격했을 때 항상 위조 돼서 많이 숨깁니다.

그런데 제가 만약 기자님이랑 통신을 하려면, 제가 속인 IP로 만약에 기자님께 어떤 조정하는 명령이 전송이 된다면, 저한테 리스폰스할 때 저한테 오지 않고 다른 쪽으로 가지 않습니까? 그렇기 때문에 통신 자체가 더 이상 이루어지지 않은 것입니다.

그렇기 때문에 양방향인 경우에 일단 위조 자체 가능성을 제로로 두고 있습니다.

<질문> 그 IP가 다른 기관에서 활용됐을 가능성은... 그러니까 경유지로 하듯이 그랬을 가능성은 전혀 없는 것입니까?

<답변> (전길수 침해사고대응단장) 그랬을 가능성도 사실은, 지금 말씀하신 부분에 대해서도 가능성은 열어두고 확인했는데, 그것이 사실은 0%라고 말씀드리는 힘듭니다. 그렇지만, 가능성이 매우 낮다, 검증을 해 봤을 때.

만약 북한에 할당된 IP 대역이 있는데, 거기에 대해서 이것이 위조가 됐을 경우의 가능성에 대해서 사실은 테스트를 많이 해봤습니다.

그런 가능성이 0이라고 말씀드릴 수 없지만 매우 낮다, 이 부분까지는 말씀드릴 수 있습니다.

<질문> 발표시점이 궁금한데요. 왜 오늘인지가 궁금합니다. 일단은 왜 오늘인지가 궁금하고요.

어제도 특별한 보도가 있었는데 보안업체들의 업데이트 서버에 있는 국내 보안업체들의 특정 제품들이 언급이 됐지 않습니까? 제품들의 결함에 대해서 금융감독원이 금융사들한테 경고를 보낸 것이 확실한 것인지가 궁금하고요.

그 다음에 그것에 대한 사후 조치가 완벽해졌는지, 왜냐하면 인증서 관련된 문제가 있을 수 있을 것 같은데, 그 점에 대해서 대응팀이 국민들한테 경고를 안 보낸 것은 아닌지에 대한 의문이 있습니다. 세 가지에 대해서요.

<답변> (전길수 침해사고대응단장) 그 부분은 어제 말씀하신 부분은 MBC 보도에 제큐어 웹 관련된 부분이라고 저는 판단하는데 맞습니까?

<질문> 그것도 있고 초기에 나왔던 ´하우리´ 하고 ´안랩´ 업데이트 서버에도 사실은 있죠.

<답변> (전길수 침해사고대응단장) 그 부분은 첫 번째 말씀드리면, 안랩하고 하우리 업데이트 서버에 대한 패치 자체는 이미 나와 있었는데, 어떻게 보면 패치를 했느냐 안 했느냐 그 문제로 귀결이 될 수 있습니다.

그렇기 때문에 그 제품 자체의 보안성이 결함이 있다 없다, 그 부분은 조금 더 판단을 해야 되는 부분은 맞지만, 실제 취약한 부분을 파고들었다는 부분도 사실입니다.

그래서 그 부분 자체에 대해서 해결하는 부분은 어떻게 보면 대국민에 대한 확인은 아닙니다. 그러니까 그 부분을 사용하는 기업이나, 어떻게 보면 기업에 대해서 들어가 있는 그런 부분이기 때문에, 그런 부분에 대해서는 지금 제조사도 패치 자체가 나와 있기 때문에 그 부분에 대해서 업데이트 하는 부분, 그런 부분도 사실은 지금 말씀하신 대로 고려되어야 될 부분은 당연히 맞습니다.

그 부분의 홍보가 부족했다면 그 부분은 전격적으로 더 이루어져야 된다고 생각을 합니다.

<질문> 오늘 발표한 이유가 종합적인 판단을 통해서 오늘 발표할 수밖에 없는 것인지, 아니면 다른 이유, 고려 요인이 있는 것입니까?

<답변> (전길수 침해사고대응단장) 다른 이유 보다는 사실은 지금까지 나온 결과로서도 오늘 말씀드린 결론 나오는 데에는 충분하고요.

만약에 이 결론 자체를 예를 들어 일주일 후나 한 달 후에 만약에 발표했다고 그렇더라도 악성코드 개수가 조금 더 많이 나왔다, 그리고 C&C나 그런 경유지 정보가 더 많이 나왔다, 이런 정보에 대한 보충적인 그런 것 밖에 없을 것으로 판단되고, 이 정도 자료 자체도 어떻게 보면 공격의 근원이 어디인지, 이것을 판단하기에는 무리가 없다고 판단이 됐습니다.

<질문> 아까 인증서나 금감원이 공문 보낸 것은 사실 무근이라는 말씀입니까?

<답변> (전길수 침해사고대응단장) 그 부분에 대해서는 아까도 말씀드렸듯이 6개사 공격하는 것, 그리고 어제 보도됐던 그 부분하고 연관성이 없습니다.

다만, 25일에 일어났던 악성코드, 대국민 상대라고 했지만 특정 웹 사이트에서 악성코드를 유포한 그런 사고가 있었습니다.

그 부분에서 특정 버전에서 소프트웨어에 취약점이 있었기 때문에 유포될 수 있고, 일반이용자가 감염될 수 있다, 이런 위험성에 대한 부분이 존재했기 때문에 금융위나 금감원, 금융당국에서 그런 조치를 취한 것으로 알고 있습니다.

<질문> 아침에 그래서 제가 KISA에 전화를 했었어요. 오늘 관련해서 여쭤 보려고 했는데, KISA 관계자 분은 전혀 모르고 계시더라고요. 오늘 발표하는지도 모르고 계셨는데, 왜 그 쪽에서는 모르시고, 오늘 발표가 이뤄진 것인지요?

<답변> (전길수 침해사고대응단장) 저한테 전화를 하셨으면 제가 대답해 드렸을 텐데요.

<질문> 북한 소행의 가능성이 지금 높다라면, 언론에서는 북한 정찰총국 얘기가 나오고 있는데, 오늘 말씀하신 것도 북한 내부 인터넷 주소 IP까지 나왔다고 말씀하셨습니다. 어느 정도 구체적인 공격자 신원이 파악되었는지 궁금합니다.

<답변> (전길수 침해사고대응단장) 공격자의 신원 자체를 정확히 파악하는 것은 어떻게 보면, PC 자체를 직접 가지고 와서 분석해 보는 방법 외에는 사실은 없습니다.

그런데 지금 확인된 것 자체는 북한 IP 자체가 나왔다는 것이고, 그리고 일련에 일어난, 3월 20일부터 일어난 공격 자체가 다 동일범의 소행이다, 그런 논리로 의해서 북한 쪽인 것으로 확인이 되었다, 이렇게 말씀드리는 것 정도라고 이해하시면 되겠습니다.

<질문> 그러면 말씀하신 것 종합해 보면 지금 중간발표인데, 앞으로 조사결과를 더 해봤자 새로 나올 것이 없다, 이렇게 이해해도 됩니까?

<답변> (전길수 침해사고대응단장) 사실 중간발표이기는 하지만 북한의 연관성에 대해서도 우리는 충분하다고 판단하고 있습니다.

<질문> 그러면 향후 조사를 더 할 예정이나 계획, 이런 것은 없으십니까?

<답변> (전길수 침해사고대응단장) 추가적으로 기관별로, 조사보다 분석 자체는 더 이뤄질 것으로 판단은 되고요. 그리고 다른 수사나 이런 부분도 계속적으로 진행될 것이기 때문에, 그 부분은 지금 말씀드리는 북한 관련된 것이나 이런 공식적인 브리핑 이런 부분은 더 이상 없을 수도 있습니다.

<질문> 그러면, 아까 북한 IP라고 하셨는데, 그리고 제가 듣기로는 정찰총국이 북한에서 가장 관련 기관이기 때문에 추정했다고 하셨는데, 사실 북한 IP만으로는 정찰총국이라는 말까지 나올 수 없다는 그런 뜻으로 받아들여도 되는 것인지요?

<답변> (전길수 침해사고대응단장) 그 부분에 대해서는 사실 우리도 어떻게 보면 과거의 사례들, 국정원이나 군의 기무사나 사이버사령부, 이쪽에서 과거 사례들에 대해서 확인한 사항이기 때문에 어떻게 보면 그 부분은 보안사항이어서 자세히 말씀드리지 못하는 것을 양해 부탁바랍니다.

<질문> 그리고 제가 민·관·군 합동대응팀에 연락해보니까 이번 발표를 주도한 쪽이 KISA보다도 국정원 쪽이라는 말씀을 하시던데, 국정원이 과연 이번 핵심 역할을 하셨는지 그것도 궁금하고요.

그리고 다른 해외 IP 경유 국가에 공조요청을 했다는데, 실제 공조도움을 받았고, 어떤 식으로 수사에 협력을 다른 나라에서 했는지도 궁금합니다.

<답변> (전길수 침해사고대응단장) 일단 두 번째 것부터 답변 드리면, 이 부분에 대해서는 해외공조보다도 국내에서 충분한 관련 증거가 확보되었기 때문에 그 증거를 바탕으로 했다는 것을 말씀드리고요.

해외에 C&C나 이런 부분들에 대해서 다른 증거들이 파악될 수 있기 때문에 필요하다면, 해외에 대해서도 해외의 기관이나 이런 부분에 대해서 협조를 받아서 해당되는 피해 시스템이나 C&C의 관련 정보를 받아서 추가적으로 정보수집이라기 보다 분석 자체가 가능하기는 합니다.

그런데 아까도 말씀드렸듯이, 국내에서도 이번 경우에는 충분한 증거가 확보되었기 때문에, 그 부분이 어떻게 보면 의미 없다는 말씀은 아니고요. 일단 현재까지 결론을 말씀드리기는 충분하다고 말씀드릴 수 있는 것이고요.

그리고 이 자체를 어떤 기관, 특정 기관에서 주도 했다기보다도 역할분담이 어느 정도 되어 있었다는 식으로 이해해 주셨으면 좋겠습니다.

<질문> 한 가지만 더 질문 드리면, 북한이 1년 이상 준비를 해서 APT를 통해서 국내 금융사에, 특히, 농협 같은 경우에는 2차례나 발생했는데요.

<답변> (전길수 침해사고대응단장) 예. 맞습니다.

<질문> 사실 피해를 따져 보니 사실 경미한 편이 있거든요. 그 이유에 대해서 생각해보신 적이 있습니까?

<답변> (전길수 침해사고대응단장) 경미하다기 보다는 어떻게 보면 파괴된 대수 4만 8,000대는 적은 대수는 아닙니다. 과거의 사례들도 봤을 때 100대 이하인 경우도 많았고, 200~300대인데, 실제 대수 자체가 지금 4만 8,000대 이상이라는 것은 피해규모 자체도 적은 것은 아닙니다. 그 부분에 대해서도 사실 경미한 피해는 아니고요.

그리고 공격하는 방법 자체도 사실 어떻게 보면 IP 노출한 것 자체는, 실수로 노출했을 수도 있겠지만, 굉장히 치밀한 준비한 흔적이 있습니다.

과거에 말씀하셨듯이 농협 사례나 이런 부분 봤을 때는, 한 기관을 대상으로 공격했기 때문에 그 기관에 대한 정보수집만 이뤄진 다음에 공격을 시도한 케이스였는데, 이번 경우는 공격 자체를 여러 기관을 동시에, 3월 20일 예를 들어서 14시에 하드디스크 파괴 명령을 내리도록 하는 과정 자체가 대상기관 자체 하나하나에 대해서 다 사전 수집이 철저했다는 그런 부분이 있습니다.

그래서 어떻게 보면 공격방법 자체도 굉장히 치밀하게 준비한 흔적은 충분히 보인다고 말할 수가 있습니다.

<질문> 그러니까 그건 맞는데, 금융기관 같은 경우에 더 치명적인 부분은 거래자료나 금융정보가 더 세지 않습니까?

<답변> (전길수 침해사고대응단장) 맞습니다.

<질문> 그걸 날릴 수 있는데, 안 날린 것인지, 아니면 못 날린 것인지요?

<답변> (전길수 침해사고대응단장) 못 날린 부분도 있습니다. 그래서 어떻게 보면 지금 말씀하신대로 DB 서버나 이런 식으로 접근해서 다 날려버릴 수도 있지 않습니까?

그러려면 관리자 계정을 탈취하거나 아니면 우회해서 관리자 권한을 획득해서 들어가는 부분이 필요한데, 특정기관 같은 경우는 그것까지는 노출이 안 되었습니다. 그래서 어떻게 보면 복구 자체도 빨랐던 경우도 있었습니다.

<질문> 조사팀 분석할 때 클라이언트 PC에 소프트웨어, 그러니까 제큐어 웹 소프트웨어 업데이트 설정파일에 악성코드를 유포하도록 주소가 변경된 것이 발견이 됐었는데, 그건 왜 그런 것입니까?

<답변> (전길수 침해사고대응단장) 지금 말씀하신 부분은, 단정적으로 말씀하시는데요. 어떻게 보면 그것은 이 사건과 관련이 없는, 사실 3월 25일 ‘날씨닷컴’ 건에서 그런 제큐어 웹에 관련된 사항이 있긴 했습니다. 그런데 방송사하고 금융사 건에서는 연관성은 없습니다.

말씀하신 부분은 PC에서 그 부분이 발견됐다고 하셨는데, 그 PC에서 발견된 부분이 이번에 악성코드에서 3월 20일에 발생한 건하고는 관련이 없었다는 것이고, 그 건은 오히려 3월 25일에 발생한 건하고 연관성이 있다는 그런 말씀입니다.

<질문> 3월 25일 YTN 건에 관련된 것입니까?

<답변> (전길수 침해사고대응단장) 아닙니다. 날씨닷컴.

<질문> 대책에 관해서 여쭙고 싶은데요. 내일 국가사이버안전전략회의를 한다고 하는데, 이게 지금 북한 소행이라는 것이 밝혀지면서 더 특별한 대책 같은 것이 세워진 게 있는지, 그 부분에 대해서 여쭙고 싶습니다.

<답변> (전길수 침해사고대응단장) 제가 거기에서 드릴 수 있는 말씀은 관계기관에서 충분히 협의해서 종합적인 대책이 나올 것으로 기대를 하고 있습니다.

사실 사이버전략회의에 대해서는 제가 아는 바가 거의 없기 때문에 그 상황 자체에 대해서는 말씀드릴 수 있는 부분이 없습니다.

<질문> 일단은, 어쨌든 치밀하게 일정 기간을 가지고 준비를 했다고 했잖아요. 그러면 그 사이에 이것을 먼저 발견할 수는 없었던 것인지, 왜 이것이 발견이 안 됐던 것인지가 궁금하고요.

보면, 국가 민·관 합동기관보다 일반 해커팀이라고 해야 되나요? 관련된 일반기관에서 이 북한 소행이라는 정보를 더 먼저 파악한 것으로 알고 있거든요. 왜 정부가 더 늦게 발견을 하셨는지요?

<답변> (전길수 침해사고대응단장) 늦게 발견한 것은 아니고, 그 부분에서 만약에 정부가 책임감 없게 중간에, 이것이 예를 들어 북한의 소행이라고 추정된다, 북한의 소행이다, 이런 식으로 밝혀드리면 오히려 더 혼란감만 올 것은 당연시 됩니다.

그래서 아시겠지만 정부가 발표할 때는 충분한 검증과정과 민간에 대해서, 그리고 정부 공공에 대한 전문가들이 다 검증과정을 거친 후에 발표를 하게 되어 있습니다.

사실 업체 입장에서도 충분히 탐지하거나, 할 수 있는 가능성은 열어두고, 어떻게 보면 그 부분에 대해서도 어디가 기술력이 뛰어나다 그런 의미보다는 그 부분에 대해서 서로 정보를 공유하는 체계 자체가 좀 더 중요하지 않을까 생각을 해봅니다.

<질문> ***

<답변> (전길수 침해사고대응단장) 중간에 사실은, 이것은 공격이 성공한 사례이고, 중간에 차단되는 사례도 사실은 있습니다. 그런데 그 부분을 우리가 ´이런 공격이 있습니다´ 하고 ´차단했다´ 이런 식으로 정부에서 발표한 사례는 없지 않습니까?

<질문> ***

<답변> (전길수 침해사고대응단장) 아까도 말씀드렸듯이, 공격 자체가 해커의 입장에서는 악성코드나 이런 부분을 할 때도 백신 같은 데에 탐지되지 않거나, 그리고 취약점 같은 것에 패치가 이루어지지 않은 취약점을 ´제로데이 취약점´이라고 얘기합니다.

그런 취약점들을 치밀하게 탐지해서 공격했기 때문에, 사전에 발견되었으면 가장 좋았던, 지금 기자님이 말씀하신 대로 방어할 수 있으면 가장 좋겠는데, 불행히도 이 부분에 대해서는 사전에 발견하지 못해서 공격 자체가 발생한 케이스로 볼 수 있고요.

이것 외에도 과거에 대해서는, 북에서의 공격일 수도 있고, 아니면 어떤 특정한 해커집단이나 이런 데에서의 공격일 수가 있는데, 그 부분에 대해서는 탐지된 사례도 있었고, 사전에 막은 사례, 공격이 시도됐을 때 그런 부분에 대해서 조치한 사례들은 있습니다. 그런 부분까지도 사실 발표할 수 있었으면 좋겠습니다.

<질문> ***

<답변> (전길수 침해사고대응단장) 동일한 공격이 나온다면 그 부분에 대해서 일단 대비가 됐기 때문에 공격을 하더라도 그런 취약점에 대한 패치가 이루어진다면 동일한 취약점으로는 들어올 수가 없습니다.

그렇기 때문에 다른 루트나 그런 부분을 파악할 것이기 때문에 어떤 부분이 취약한지, 이 부분부터 사전적으로 점검을 해서 그 부분을 보완하는 장치가 일단은 첫 번째로 필요하다고 볼 수 있습니다.

감사합니다.

<끝>

이전다음기사