[파이낸스투데이=중소기업&소상공인 전문지]
 

구창환의 소셜읽기 (23) - 트위터에서 사이버 전쟁을 읽다.

  

1950년 6월 25일은 전차와 총을 들고 싸우는 전쟁이었다면 2013년 6월 25일은 사이버 전쟁이었다. 앞으로도 사이버 테러가 많이 발생할 듯 하다.  

 

KBS 뉴스 ‏@kbsnewstweet

청와대 등 정부기관 홈페이지에 대한 디도스공격이 '일간베스트' 사이트를 통해 이뤄졌다는 분석이 나왔습니다. 보안업계는 해커가 극우 성향의 '일베'에 악성스크립트를 설치해 디도스공격을 유도한것으로 분석했습니다

 

정미홍 ‏@Naya2816

국가 핵심 기관이 해킹을 당해, 기밀이 도둑맞았습니다. 북한이 다른 건 몰라도 해킹과 보안 관련 기술은 탁월해졌나 봅니다. 그런데, 안철수씨의 보안프로그램 북괴 기증 의혹에 대해서는 아무도 말이 없군요.반드시 밝혀야 할 사안 중의 하나입니다.

 

 

유종현 ‏@consline

IT세상에 비밀은 없다. 보안 공포에 떠는 사람들에게 보안전문가들이 제시하는 가장 근본적인 해결책은 "문제가 될 일을 하지 말라"는 것.

 

 

SKTworld 트위터 ‏@SKTworld

[지식확장 T상식] 화이트해커(White Hacker)_순수하게 공부와 학업을 목적으로 해킹하는 사람으로, 악의적으로 해킹하는 ‘블랙해커(Black Hacker)’와 구분됨

 

강철환 ‏@freedomnorth

북한 사이버부대는 대한민국의 주요 전산망의 해킹은 물론 여론을 조작하기위해 주요 포털 등에까지 침투해 조직적으로 종북적 글로 도배하고 있습니다. 이런 것을 막는 것은 국정원의 고유 권한입니다. 종북세력의 제도권 진입을 막는 것도 마찬가지 입니다. 

 

 

1. 어나니머스(Anonymous)의 북한 사이버 공격

 

국제적인 해킹 그룹 어나니머스(Anonymous)가 6·25전쟁 개시일에 맞춰 북한에 대한 사이버 공격을 할 것으로 알려졌다.

 

어나니머스는 이날 언론 접촉을 통해 지난 4월 예고한 대로 25일 12시에 북한이 운영하는 조선중앙통신, 구국전선 등 46개 웹사이트에 대한 공격을 단행할 예정이다. 어나니머스는 북한이 운영하는 웹사이트의 기능을 일시적으로 마비시킨 후, 자료를 빼낼 것으로 알려졌다.

 

어나니머스는 또 최근 유튜브에 공개한 영상에서 "북한의 미사일 문서를 확보하고 있다"며 25일 이를 공개하겠다는 방침을 밝혔다. 이들은 북한 전산망 침투에 성공했다는 증거로 북한 내부에서만 쓰는 인트라넷인 광명 사이트의 화면을 공개했다. 어나니머스는 "북한 인트라넷 침투에 성공했다. 주요 미사일 문서와 주민 문서, 군 관련 문서가 모두 보인다"고 주장했다.

 

이에 대해 조선중앙통신은 지난 21일 '달을 보고 짖어대는 미친개들의 망상'이라는 논평에서 "오합지졸에 불과한 어나니머스가 저들의 그 무슨 기술력을 과시해보려고 감히 우리의 체제를 어째보겠다고 하고 있으니 앙천대소(하늘을 쳐다보고 크게 웃는다는 뜻)할 일"이라고 비난했다.

 

조선중앙통신은 또 어나니머스가 미국과 남한 정보기관의 배후 조종을 받는다면서 "그들이 침투했다고 하는 광명망은 지금 우리나라에 존재하지도 않는다"고 주장했다.

 

2. 다크서울 (DarkSeoul)의 청와대 등 정부기관 홈페이지에 대한 공격

 

청와대 등 정부기관 홈페이지에 대한 지난 25일 공격도, 지난 3월의 3.20 사이버테러도, 그리고 2009년의 7.7 디도스 사건도….

 

최근 4년여 동안 우리나라를 혼란에 빠뜨렸던 8건 이상의 사이버 테러가 동일한 공격자 집단의 소행이라는 주장이 나왔다.

 

미국 정보보안업체 시만텍은 한국에서 발생한 주요 사이버 공격의 수법이나 프로그램 암호화 기법 등에서 동일 집단의 소행으로 결론지을 수 있는 일정한 특성을 찾아냈다고 발표했다.

 

시만텍은 이 공격자 집단에 '다크서울'(DarkSeoul)이라는 이름을 붙였다.

 

3.20 사이버테러는 국내 주요 방송사와 일부 금융사의 전산망을 한꺼번에 마비시키며 혼란을 초래했고, 7.7 디도스 사건은 한국뿐 아니라 미국 주요 정부기관 웹사이트까지 동시에 공격했다는 점에서 충격을 줬다.

 

이밖에도 2011년 3월의 디도스 공격을 포함해 2010년에 1건, 2012년에 2건, 그리고 지난 5월에 발생한 1건의 사어버 테러가 이 집단에 의해 저질러진 것으로 추정된다고 시만텍은 분석했다.

 

보고서에서 거론된 공통적인 공격 수법으로는 역사적으로 의미 있는 날에 동시다발적으로 벌어지는 자료 삭제와 디도스 공격, 검증된 프로그램 갱신 기관의 침투, 정치적으로 해석될 수 있는 문자들로 기존 자료를 덮어써 못쓰게 만드는 것 등이 있다.

 

공격용 악성코드에 사용된 암호화 기법이나, 보안 체계를 혼란시키는 기법에서도 공통된 특성을 도출할 수 있었다고 시만텍은 지적했다.

 

시만텍은 '다크서울' 공격집단이 비교적 높은 수준의 정보보안 지식과 조직화 능력을 갖추고 있다고 평가했다.

 

사용자가 정상 프로그램을 다운로드받을 때 섞여들어간 뒤 2차 감염 기능을 하는 악성코드로 분리되는 기능, 분리된 악성코드가 단계별로 다른 '트로이 목마' 악성코드를 불러들이는 기능, 그림 파일을 가장한 실행 가능 악성코드 등이 공격 과정에서 복합적으로 쓰였다고 시만텍은 설명했다.

 

시만텍은 이 집단이 북한의 지령을 받고 활동하는지의 여부는 불분명하다면서도, 분명한 정치적 동기를 갖고 장기간에 걸쳐 한국에서 여러 번 공격을 행할 수 있을 정도의 자금력도 갖추고 있다고 추정했다.

에릭 치엔 시만텍 기술담당 수석연구원은 로이터통신과의 인터뷰에서 공격에 쓰인 프로그램이나 공격 방식의 정교함을 감안할 때 '다크서울' 집단이 10~50명으로 구성된 것으로 여겨진다고 말했다.

 

한국에서 최근 발생한 주요 사이버 공격이 동일 집단의 소행일 수 있다는 분석은 이전에도 제기됐다.

 

정보보안업체 맥아피는 2011년 7월 발표한 보고서에서 2009년 7.7 디도스 사건과 2011년 3월 사이버테러가 같은 범인의 소행일 수 있다고 밝혔다.

 

지난 3월의 3.20 사이버테러 때 국내외 보안업체들은 공격에 쓰인 악성코드의 이름을 '다크서울'이라고 지목했지만, 시만텍은 이 이름을 공격자 집단을 지칭하는 데 사용했다.

 

 

 

경제미디어의 새로운 패러다임, 파이낸스투데이

Fn투데이는 여러분의 후원금을 귀하게 쓰겠습니다.