소니 해킹 사태가 일파만파다. 미국이 소니 해킹의 주범으로 북한을 지목하면서 사이버전 양상으로 치닫는 형국이다. 오바마 미국 대통령이 이에 상응하는 대응을 할 것이라고 밝힌 뒤 12월23일 북한의 모든 웹사이트는 차단됐다. 확인되지 않았지만 미국 쪽이 사이버 공격을 가한 것이라는 의견이 설득력을 얻고 있다. 미국은 시인도 부인도 하지 않고 있다.

북한의 사이버 전력은 이미 악명이 높다. 그러나 여전히 설왕설래한다. 일각에선 세계 3위 수준이라고 하기도 하고 다른 한켠에서는 “그 정도는 과장”이라고 평가하기도 한다. 북한에 대한 정보가 부족한 이상 모든 정보를 곧이곧대로 믿기란 어렵다.
 

그나마 외신 등에 의해 가장 자주 인용되는 통계는 전 미국 대통령 고문이었던 리차드 클라크가 쓴 ‘Cyber War: The Next Threat to National Security and What to Do about It‘(사이버 전쟁, 국가 안보의 차기 위협과 대응책)에 기술된 전세계 사이버 전력 평가표다. 이 통계에 따르면 북한은 미국, 러시아, 중국, 이란에 이어 5위에 등재돼 있다. 공격력 면에선 미국이 압도적으로 높지만 방어력 측면에선 북한이 상대적으로 앞선 것으로 나타나 있다. 외부 인터넷과의 연결고리가 사실상 없는 북한으로선 당연한 결과다.

리차드 클라크의 책에 등장하는 사이버전력 분석 비교표.(출처 : 버즈피드 재인용)

북한의 공격형 해킹은 국내에선 낯설지 않다. 정부는 수시로 터져나오는 해킹 사고를 대부분 북한 소행으로 추정하고 있다. 2011년 농협 해킹 사태에서부터 최근의 한수원 원전 해킹에 이르기까지 광범위한 사이버 해킹이 북한이 저질렀다고 결론 내리고 있다.
 

하지만 적지 않은 시민들이 고개를 갸웃거린다. 해킹 사태가 터질 때마다 북한을 지목하고 있기에 그렇다. 정확히는 구체적 근거가 부족한 채로 언론에 공개되는 탓이 더 크다고 할 수 있다. 과연 전문가들은 사이버 해킹의 주범으로 북한을 지목할 때 어떤 근거를 활용할까.

북한 해킹 추정하는 2가지 근거

이상진 고려대 사이버국방학과 교수는 사이버 해킹 주범을 파악할 때 주로 2가지 방법이 활용된다고 설명했다. 악성코드 분석·대조 방식과 IP 주소 추적 방식이다. 해킹을 벌인 주체를 식별하는 데 동원하는 보편적인 방식이다. 북한의 암호 코드를 해독한 경우가 현재까지 3차례 있었는데, 이 가운데 2번을 이상진 교수가 풀어냈다.

▲ 악성코드 분석 : 네이버 CISO 출신으로 현재 고려대 사이버국방학과 교수로 재작 중인 이경호 교수는 악성코드 분석으로 북한 해킹 여부를 추정한다고 밝혔다. 그는 최근 한 포럼에서 “현재 개인적으로 보유하고 있는 악성코드만 6만건 이상”이라며 “분석하는 로직이 있어야만 밝힐 수 있으며 통계적 분석으로는 확인하기 어렵다”고 설명했다.
 

북한 해커의 소행으로 추정되는 방대한 악성코드 DB를 구축하고 신규 악성코드가 이전 코드와 어떤 유사점이 있는지 확인하면서 해킹 공격자를 밝혀내는 방식이다. 이를 일반적으로 디지털 포렌식이라고 부른다.
 

국내에선 사이버 지놈 프로젝트라는 이름으로 북한발 악성코드의 패턴을 분석하는 작업이 진행 중이다. 북한 해커가 작성한 코드의 형식과 스타일, 위장 여부 등을 과거 악성코드와 비교하면서 주범을 찾아내는 작업을 진행하고 있다.
 

이 같은 암호코드, 악성코드 문자열의 분석으로 북한을 추정하는 경우가 많다.
 

FBI도 소니 해킹 사태의 배후에 북한이 존재한다는 사실을 확인하면서 “악성코드의 배열, 암호화 알고리즘, 데이터 삭제 방식 등이 2013년 한국 해킹 사건과 유사하다”고 밝혔다.

스타조인트벤처가 관리하고 있는 인터넷 주소 대역.

▲ IP 분석 및 역추적 : 이상진 교수 등의 논문 ‘북한의 대남 사이버테러 전략 분석 및 대응 방안에 관한 고찰’을 보면 북한의 해킹 공격은 IP를 여러 경유지를 거쳐 우회하는 기법을 주로 활용하고 있다. 사이버 전쟁을 연구하는 대다수 보고서도 프록시 서버를 통한 IP 우회는 일반적인 기법이라고 서술하고 있다.
 

그럼에도 IP 역추적 방식은 유효하다. 역추적 기법도 고도화하고 있는 덕이다. 역추적 기술은 크게 2가지로 분류할 수 있다. DDoS 공격 지점 확인을 위한 IP 패킷 역추적 기술과 우회 공격에 따른 표적 확인에 동원되는 TCP 연결 역추적 방식이 있다. 최근 들어서는 애플리케이션 기반 역추적 기술도 소개되고 있다. 각 기술마다 한계가 명확하긴 하지만 역

추적 기술도 날로 개선되고 있어 IP 분석은 해킹 주체를 밝혀내는 데 여전히 중요한 방식이라고 할 수 있다.

북한의 해킹과 관련해 자주 등장하는 IP 대역은 대체로 2가지다. 중국의 인터넷을 임대해 사용하고 있는 북한 체신성 IP 대역과 스타조인트벤처가 관리하고 있는 IP 대역이다. 국가정보원도 해킹 흔적을 역추적해 북한 체신성 IP 대역으로 판명되면 북한발로 추정한다. 다음은 북한 소행을 추정할 때 지목되는 IP 대역대다.

• 스타조인트벤처 관리 IP : 175.45.176.0~175.45.179.255
• 북한의 중국 넷컴 임대 IP : 210.52.109.0~210.52.109.255

사이버공격 역추적 기술 분류표(출처 : ETRI 사이버공격 역추적 기술 동향)

앞서 언급했다시피 북한의 인터넷 주소는 대부분 스타조인트벤처에서 관리되고 있다. 스타조인트벤처는 북한 체신성과 태국 록슬리그룹이 합작해 설립한 기업이다. 북한의 공식 웹사이트는 대부분은 이곳에서 주소를 부여받아 운영된다. 실제 등록된 관리자 전화번호도 북한 지역번호인 ‘+850′으로 등록돼 있다.
 

해킹에 동원된 컴퓨터의 IP 주소가 이 대역에 포함돼 있으면 정부는 북한 소행으로 추정한다. 이경호 교수는 “북한 해킹을 IP 추적을 하면 북한 정찰총국 소속의 스타조인트벤처로 나온다”면서 “(북한 소행의) 태국 쪽 IP는 주로 여기에서 나온 것으로 보고 있다”고 말했다. 정작 북한 스타조인트벤처가 사용하고 있는 웹사이트 ‘North Korea Tech’(IP : 69.195.92.233)는 유니파이드 레이어라는 미국 호스팅 업체를 이용하고 있다.
 

여전히 확증은 어렵고 물증은 부족하고

지난 11월14일 서울대에서 개최된 한 세미나에서 북한의 사이버 전쟁을 주제로 발표하고 있는 이경호 고려대 사이버국방학과 교수.

해킹 발원지를 북한으로 단정하려면 확실한 물증이 필요하다. 하지만 사이버 전쟁의 특성상 공격자를 식별하거나 사실관계를 확인하기가 어렵다. 이경호 교수는 “공격자 역추적, 식별의 어려움으로 정당한 보복과 처벌을 통한 전쟁 억제를 힘들게 하는 문제가 있다”고 말한다.
 

공격자 식별의 어려움 때문에 ‘단정’보단 ‘추정’이라는 단어로 대체할 수밖에 없는 게 현실이다. <BBC>나 <애틀랜틱>과 같은 세계 유력 언론들도 소니 해킹에 북한 정부가 개입했다는 FBI 발표를 확증 부족으로 신뢰하지 않았다. 이상진 교수도 “IP만으로 확실하고 정확하게 북한 소행이라고 말하기는 어렵다”고 털어놓았다.

몇 가지 단서는 있다. 최근 들어 북한은 중국에 유학하는 자국 개발자를 통해 외화벌이 차원에서 소프트웨어 외주 사업을 진행한다. 지난 2013년 4월 한 국내 업체가 북한 해커들에게 소프트웨어 제작을 의뢰했다 검찰에 검거되기도 했다. 이 당시 북한 측 인사와 교신하면서 확보한 e메일 및 기타 정보는 명백한 증거로 볼 수 있다. 이 외주 프그램의 코딩 스타일, 그 안에 삽입된 악성코드 등을 분석한 뒤 대조하면 ‘북한 스타일’의 기법을 발견할 수 있게 된다.

그러나 이런 경우는 소수에 불과하다. 그간 DB화해 둔 악성코드 가운데 북한 해커가 작성했다고 확증할 수 있는 것이 몇 개인지도 정확하지 않다. 해외에서 활동하는 북한 해커를 직접 검거해 코드를 압수한 경우는 극히 드물기 때문이다. 자칫 북한발로 추정할 수 있는 핵심 악성코드가 실제 북한 해커가 아닌, 북한 해커로 위장한 제3자가 제작한 것으로 판명되면 그간의 결론이 줄줄이 기각되는 한계를 노출하게 된다. 그만큼 조심스러울 수밖에 없는 작업이다.

<와이어드>는 소니 해킹과 2013년 3.20 해킹 때 동일하게 ‘로디스크’를 사용한 흔적이 발견됐다며 북한이 해킹을 행한 흔적이라고 볼 수도 있다고 보도했다. 에러가 포함된 엉성한 코드도 비슷한 형태라고도 했다. 이처럼 시간상 뒤에 발생한 해킹 공격자를 추정하기 위해 이전 사례를 준거로 삼는 조사방식이 일반적이다. 따라서 명백하게 북한 해커가 작성한 코드를 확보하는 것이 추정의 신뢰를 확보하는 최선의 방법이라 할 수 있다.

요컨대 북한 소행임을 확인할 수 있는 물증은 여전히 부족하다. ‘추정’이 ‘확실’로 바뀌기 위해서는 명백한 북한 해커의 소스 코드를 지속적으로 확보해야 하고, 그 속에서 코딩 패턴과 메소드를 확인해야 한다. 또한 최초 발원지의 IP 대역이 북한이 호스팅하고 있는 PC라는 사실을 정확히 판별해야 한다. 역추적 기술 연구에 대한 투자가 반드시 뒤따라야 한다는 의미다. 정부의 발표를 전적으로 신뢰하기도 그렇다고 부정하기도 어려운 것이 북한이 개입된 사이버 전쟁의 특징이다.