3·20 사이버 테러 조직 무엇을 엿보고 있나

지난 3월 20일 방송사와 금융사를 공격했던 사이버 테러 조직이 활동을 재개한 것으로 확인되면서 과거 행적에 관심이 집중되고 있다.

이들이 국내 처음 포착된 건 최소 6년 전으로 거슬러 올라간다. 보안 전문가인 최상명 씨(현 하우리 선행연구팀장)는 2008년 남다른 악성코드를 발견했다.

대다수의 악성코드가 게임이나 금융정보 등을 노리던 것과 달리 이 악성코드는 안보와 관련된 정보를 수집하도록 고안됐다.

최 씨는 이를 수상히 여겨 본격적인 분석에 착수했다. 그 결과 2008년뿐만 아니라 2007년에도 동일한 수법이 발견됐다.

그렇게 6년을 추적하던 중 올 3월 사건이 터졌다. 그가 쫓은 해킹 조직이 3월 20일 방송사와 금융사를 공격한 것이다.

이 같은 사실은 민·관·군 합동조사 결과와 그의 분석 내용이 일치하면서 확인됐다. 숨어 있던 존재가 처음 외부로 드러난 순간이다.

이들은 지난 6년간 어떤 활동들을 했던 것일까. “스파이 역할”을 했다는 게 최 씨의 분석이다.

악성코드에는 각종 정보를 수집해 외부로 유출하는 기능이 담겨 있었다. 기술적으로는 감염된 PC 내 파일 리스트를 모두 가져가도록 작동했다. C드라이브와 D드라이브, 심지어 USB까지 가리지 않았다.

일련의 또 다른 악성코드는 더욱 정교했다. 특정 키워드와 일치하는 파일을 골라 수집하도록 만들어졌다. 일례로 `정부`라는 단어가 포함된 파일은 몽땅 가져가는 식이었다.

그런데 목표 대상이 심상치 않았다. `키 리졸브` `독수리훈련` `이지스함` `미군` 등 안보와 관련된 단어들이 포함돼 관련 파일을 수집하려 한 것이다.

유포 대상도 민간이 아닌 정부나 공공기관에 집중돼 특정 세력이 국가의 중요 정보를 유출하려는 의도가 강하게 엿보였다.

실제 유출 여부는 확인되지 않았다. 하지만 이들이 적어도 지난 6년 동안 정부나 공공기관을 대상으로 한 점을 미뤄볼 때, 상당량의 정보를 탈취했을 가능성에 무게가 실리고 있다.

전문가들은 3·20 사이버 테러 조직의 활동 재개가 과거에서부터 이어진 해킹의 연장선이라고 지적했다.

최상명 씨는 “3·20은 물리적인 피해를 입혔기 때문에 겉으로 드러났지만 해킹 조직은 오랫동안 은밀하게 활동하고 있다”고 말했다. 인지하지 못할 뿐 공격자들은 오랫동안 틈새를 비집고 들어왔다는 설명이다.

이는 최근 본지가 만난 북한 사이버 부대 출신 귀순자도 강조한 내용이다. 그는 “북한은 지난 1986년부터 사이버 부대를 육성했다”면서 “그 때부터 남한 내부 전산망에 들어온 것으로 봐야 한다”고 주장했다.

전문가들은 지속적인 감시와 대비가 필요하다고 입을 모은다. 지난 3·20 사이버테러 때도 정찰용 악성코드가 우선 침투한 뒤 데이터 파괴 목적의 악성코드를 유포해 물리적인 피해를 입혔다. 언제, 어떻게 돌변할지 알 수 없어 지속적인 관찰과 대응이 필수라는 설명이다. 보안 업체 관계자는 “추가 공격은 전적으로 공격자의 의지에 달린 문제”라고 말했다.

윤건일기자 benyun@etnews.com