3일 검찰은 지난 2009년과 올해 발생한 두차례의 분산서비스거부(DDoS·디도스) 공격을 감행했던 집단과 이번 농협 전상망 마비 사태를 일으킨 집단이 같은 집단이라고 밝히고, 그 배후에 북한 정책총국이 있다고 발표했다.
검찰은 한국 IBM 노트북에서 발견된 81개 악성코드의 제작기법이 앞선 두차례의 디도스 사건 때와 매우 유사한 것으로 나타났다고 덧붙였다.
그러나 검찰의 발표에도 불구하고 보안업계는 북한을 농협 사태의 배후로 보기엔 석연치 않은 대목이 많다고 입을 모은다. 우선 이번 수사과정에 참여한 국가정보원 관계자가 밝힌 맥어드레스와 관련해서다.
국정원 관계자는 “지난해 9월 국정원이 북한 것으로 추정되는 201개의 맥 어드레스를 보유해 관리했다. 이 가운데 하나가 이번 공격에도 사용됐다”고 말했다. 그러나 공격에 사용된 200여개의 맥 어드레스 가운데 하나의 맥어드레스가 같다고 해서 이번 사태의 배후를 북한으로 지목하기는 어렵다는 것이 보안업계의 설명이다.
한 보안업계 관계자는 “맥 어드레스는 맥스푸핑 방법으로 얼마든지 위·변조가 가능하다. 북한의 전문 해커가 개입했다면 비교적 초보적 수준의 추적 방지 방법인 맥스푸핑을 몰랐을 리 없다”고 지적했다. 국정원이 밝힌 맥어드레스는 정황증거일 뿐 결정적 근거는 아니라는 것이다.
검찰의 ‘인터넷주소(IP)를 확인했다’는 설명 역시 북한 배후 주장의 증거는 되지 못한다는 것이 보안체들의 공통된 지적이다. 김영대 부장검사는 “북한은 IP리스트를 만들어 관리를 해왔다. 이번 농협 사태에 쓰였던 IP가 북한이 관리하는 IP리스트에서도 확인됐다. 이는 3·4 디도스 공격때도 사용됐던 것”이라고 말했다.
그러나 통상 한번 해킹 공격에 사용됐던 IP가 재차 동일 집단에 의해 해킹 공격에 사용되는 일은 드문만큼 동일 IP를 발견한 것이 북한을 배후로 지목하는 증거는 될 수 없다는 것이 업계 관계자의 전언이다. 한 보안업계 관계자는 “IP세탁은 해킹의 기초 수준이다. 동일한 IP가 발견됐다는 것은 오히려 같은 집단의 소행이 아닐 수 있다는 증거가 될 수도 있는 것”이라고 설명했다.
또다른 보안업계 관계자는 “북한의 소행일수도, 아닐수도 있다. 지금까지는 아무것도 밝혀지지 않은 상태”라며 “디도스 대란 이후부터 사이버 공격만 발생하면 북한 소행으로 결론짓는 행태는 문제가 있다”고 밝혔다.
한편 해외 사이버 테러 사건의 경우 대부분은 그 배후가 누구인지 밝혀지지 않는다. 사이버 테러의 특성상 결정적 증거를 잡기가 거의 불가능에 가까워 그 배후를 추정만 할 수 있을 뿐이다.
지난 2007년 에스토니아 정부는 대통령궁 등을 대상으로 한 디도스 공격의 배후를 러시아로 지목했지만 실제로 러시아의 소행인지는 아직 드러나지 않고 있다. 또 2008년 그루지아를 상대로 사이버 공격과 2010년 기반시설을 노린 스턱스넷(Stuxnet)의 배후가 누구인지도 아직 확인되지 않고 있다.
/hong@fnnews.com 홍석희기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지