DDoS공격 '北배후 근거'에 설왕설래

국가정보원이 이번 사이버테러의 유력한 배후로 북한을 지목하며 내놓는 근거를 놓고 보안전문가들이 설왕설래하고 있다.

우선 국정원은 이번 분산서비스거부(DDoS) 공격에 사용된 악성코드 안에 NLS(*.nls) 확장자가 들어가 있는 것을 근거로 들고 있다. 이 확장자가 북한 해커들이 종전에 많이 사용했다는 이유에서다.

국정원은 지난 30일 중국 선양의 북한인 해커조직이 한국기계연구원 광주전산망에 대해 DDoS 공격을 감행했을 당시 악성코드의 확장자가 NLS인 것으로 확인한 것으로 알려졌다.

국정원은 또 공격대상 목록을 담은 파일을 악성코드에서 생성하는 것은 북한이 주로 사용하는 해킹 수법이라고 파악하고 있는 것으로 전해졌다.

더욱이 이번 사이버 테러 공격 경로를 파악하는 과정에서도 '눈에 익숙한' 북한인 해커 조직의 IP가 동원됐다는 사실을 국정원이 알아냈다는 보도도 나왔다.

이에 대해 보안전문가들은 지금까지 외부로 알려진 정보 당국의 정보가 충분치 않아 기술적으로 배후가 북한임을 추정할 수 있는 근거로 삼기는 어렵다는 시각이다.

한 보안전문가는 11일 "NLS는 윈도의 확장자 가운데 하나로 이 확장자가 별다른 기능을 가진 것은 아니다"며 "완전범죄를 꿈꾸는 해커들이라면 확장자를 반복해 사용할 가능성은 적다"고 말했다.

물론 해커가 특별한 확장자에 대해 집착한다면 반복해서 사용할 가능성도 있다는 의견도 나왔다.

북한인 해커 조직의 IP, 또는 IP대역폭이 동원됐다는 부분에 대해서는, 현재 악성코드의 실행파일을 내려받게 한 매개체가 심어진 (숙주 사이트 이전의) 원천 사이트가 발견되지 않은 상황에서 배후자의 IP를 추적하는 것은 어렵다는 게 보안전문가들의 평가다.

물론 경찰이 이번 사이버테러와 관련된 서버를 입수해 조사하고 있어서, IP추적이 이뤄진 결과에 따른 것이 아니냐는 해석도 나온다.

다른 보안전문가는 "보도된 내용만으로 봤을 때는 기술적으로 국정원이 어느 수준까지 추적했는지 알기 어렵다"면서 "보안업체들은 대체로 이번 사이버테러의 특성을 볼 때 해커가 치명적인 실수를 하지 않는 한 기술적으로 추적하기는 쉽지 않다고 여기는 분위기"라고 말했다.

/연합