7.7 인터넷 대란은 북한측 소행?

인기검색어 : 자유칼럼, 에세이

홈 > 칼럼 | 게스트칼럼

7.7 인터넷 대란은 북한측 소행?

정주영

2009년 07월 17일 (금) 01:03:52

7.7 인터넷 대란 이후, 유수한 국가기관의 IP(인터넷 주소) 추적 결과, 공격의 진원지로 추정되는 IP에서 북한 IP 가 나오지 않았기 때문에 북한의 소행이라고 추측하기 어렵다 라는 발표를 하고 있는데, 이것은 정확하지 않은 분석입니다

오히려 북한의 IP 가 나오지 않았기 때문에 더욱더 북한의 소행일 가능성이 높다고 생각하는 것이 정확한 분석입니다. 그 이유를 설명 하겠습니다.

일반적인 인터넷 접속은 아래 그림과 같이, 자신이 원하는 사이트에 직접 접속을 합니다. 그러므로 서버는 사용자의 IP 를 확인 할 수 있으며, 그 기록을 '로그파일' 에 저장을 합니다.

하지만, 해커는 자신의 위치를 노출 시키지 않기 위해 반드시 프록시 서버를 사용합니다. 프록시 서버란 '경유지' 라고 생각 하시면 됩니다. 해킹을 하는데, 해당 사이트나 감염 사이트, 감염 PC 에 직접 접속해서 작업하는 바보 해커는 한 명도 없습니다.

여기서부터 추적은 불가능해지기 시작합니다. 사용자의 실제 IP는 123.123.123.123 인데, 프록시 서버의 IP는 345.345.345.345 이므로, 서버는 사용자가 345.345.345.345. 라는 IP로 서버에 접속한 것으로 인식 합니다. (사실 345 로 시작되는 IP는 없습니다. 편의상 말씀 드리는 것입니다)
이 정도까지라면 그래도 추적이 양호한 편입니다. 아래의 경우라면 어떨까요?

각 프록시 서버는 여러 나라에 퍼져 있다고 생각하면, 이제 추적은 거의 불가능 하다고 봐야 됩니다. 각 나라에 수사요청을 해서, 로그(접속)기록을 받아서 그 중에서 해당 시간대를 분석해서 찾아내고, 다시 수상한 IP를 찾아내고 해야 하는데, 그 시간 동안에 관련 증거들이 인멸될 확률이 매우 높습니다. 그렇지 않아도 프록시 서버들은 로그 기록을 잘 남기지 않는데 ......

안타깝게도, 여기서 끝나지가 않습니다. 프록시A,. 프록시 B, 프록시C, 이 3대의 서버 중에, 단 한 대라도 해커가 장악을 한 서버라면, 수사는 거기서 더 이상 진행이 될 수가 없습니다. 왜냐면 해커가 장악한 서버는 완벽하게 로그 기록이 삭제 될 것이 분명하기 때문입니다.
마지막으로 이번 사건의 실제 모습은 아래와 같은 모습일 것으로 추측됩니다.

이런 가정을 해 볼 수 있습니다. 만약 이번 공격을 주도한 해커가 북한의 사이버테러 조직이라든지, 그에 준하는 어떠한 조직이라고 해봅시다. 그렇다면 이번 공격을 기획하면서, 자신들이 속한 지역의 IP가 나올 수 있는 프록시 서버를 선택할까요? 아니면 자신들의 IP가 나오지 않는 프록시 서버를 선택할까요?

답은 뻔합니다. 자신들의 거주지나 활동지역을 추적할 수 없는 곳만 골라서 프록시 서버로 선택한 뒤, 거기서 공격을 시작할 것입니다

그러니 역설적이게도, 공격 서버 혹은 숙주서버로 추정되는 IP 에서 북한 IP 가 나오지 않았다는 것이 오히려 북한이 저질렀다는 반증이 된다는 것입니다

( 정확하게 표현하자면 북한의 IP 가 아니라 북한이 사용중인 IP 라고 말해야 할것 같습니다. 방송통신 위원회의 브리핑에 따르면, 북한은 국제인터넷기구로부터 할당받은 IP 가 없으며 중국에서 전용회선을 끌어와서 사용중이라고 합니다. )

이것을 비유로 말하자면, 우리 집에 갑자기 수많은 돌들이 날아와서 유리창이 깨지고, 살림이 망가지는 일이 벌어졌다고 했을 때, 그 돌들이 우리와 전혀 이해관계가 없을 사람들의 집에 있는 돌들인데, 유독 우리 집과 원한이 있는 사람의 집에 있는 돌이 단 한 개도 안 나온 것과 같습니다.

이번 사이트 공격을 통해 여러 군데가 접속불능 상태가 되었는데 신문사 사이트 중에서는 유독 조선일보 사이트만 공격 당한 것에 주목을 해야 합니다. 하고 많은 신문 사이트 중에 '조선일보' 만 공격한다는 것은, 어떤 의미가 있는 것인지 삼척동자도 알 수 있습니다.

국내에 상당한 해킹사고의 대부분이 중국 발 해킹인데, 그럼 그것이 중국의 짓이라고 생각 해야 할까요? 중국해커가 왜 조선일보를 이렇게 치밀하게 공격을 할까요? 아니면, 브라질 해커의 짓이라고 생각 할 수 있을까요? 브라질 해커가 조선일보가 뭐 하는 곳인 알기나 할까요?

또한, 7.7 인터넷 대란이 북한의 소행이라는 추측은 그 규모의 방대함에 있습니다. 일반적으로 DDOS(분산서비스거부) 공격은 보통 수십 대에서 수백 대의 컴퓨터가, 각자 5,000만~ 9,000만 이상의 강력한 트래픽을 발생시키는데, 이번 공격은 수만 대의 PC가 감염되었고, 각 PC 의 성능에 문제를 느끼지 못할 정도 수준의 작은 트래픽을 유발 했습니다. 이런 규모의 공격은, 이 일에 매달려서 정말 엄청난 정성과 노력을 기울이지 않으면 나올 수 없는 작품입니다. 2~3 명이 만들기에는 너무 큰 작업을 해서 일을 치른 것입니다.

일반적으로 해커들은 절대 조직적으로 움직이지 않습니다. 밤 말을 새가 듣고 낮말을 쥐가 듣는다는 것을 잘 알고 있는 사람들입니다. 어디서 누가 어떻게 수사기관에 잡혀서 그들을 심문하는 과정에서 자기 이야기를 할지 모르기 때문에 함께 움직이기를 꺼려합니다

결론적으로 보수단체의 신문을 집중 공격한 것과 북한의 흔적이 나오지 않은 것, 그리고 그 규모가 너무 방대한 점 만으로도 북한이 저지른 짓이라고 유추하기에는 충분한 증거가 됩니다만 문제는 정작 북한이 저질렀다는 확증이 나오지 않기 때문에, 공식적으로 북한의 짓이라고 발표 할 수 없는 상태인 것뿐입니다.

최근 몇 년간 중국 발 해킹은, 시스템을 장악해서 다른 숙주를 찾는 일만 해왔습니다. 좀더 구체적으로 이야기 하자면, 중국 발 해킹은 사이트 위,변조 공격이 일부 있긴 했지만, 대부분 해킹을 통해 서버를 장악하고, 서버에 어떠한 영향도 미치지 않으면서, 서버 관리자 몰래 다른 시스템을 해킹하기 위한 시도를 하는 자동화 프로그램을 실행시켜 놓고 정보를 수집하는 일들을 많이 했습니다

어찌 보면 여태까지 한국에서 벌어진 중국 발 해킹은, 7.7 인터넷 대란을 위한 사전 작업이었다고 봐도 틀리지 않습니다. 더 나아가, 우리가 알고 있던 중국발 해킹중의 상당수는, 중국의 짓이 아니라 북한의 짓이었다는 충격적인 사실이 이번 사태로 밝혀진것 입니다.

DDOS 공격은 가장 치졸하고 저급한 사이버 공격입니다. 정말로 수준 있는 해커라면 시스템을 장악하고 자료를 삭제하거나 하는 식으로 다운 시켜야 하는데 그 정도의 실력은 안되고 그저 단순 무식한 공격으로 서비스를 정지 시키는, 해킹 기술 중에 저급한 기술중의 하나입니다

그러니, 북한의 해킹 기술이 매우 놀라운 수준이라고 호들갑을 떨 이유도 없습니다. 북한이 정말로 수준이 있는 해킹 기술을 가지고 있다면 그리고 정말 사이버 전쟁을 해 볼 생각이었다면 금융권부터 마비시키거나 혼란에 빠트렸을 것입니다

어찌 되었든, 결과적으로 북한의 '뻘짓' 에 온 국민의 보안 의식이 다시 한번 업그레이드 되는 계기가 되었으며, IT 강국으로 가는 길을 그 잘난 동족 북한이 한번 짚고 넘어가게 해준 것 같아서 씁쓸하기 짝이 없습니다.

국제화 시대에 우리에게 해가 되기는 커녕 이익이 될만한 많은 나라를 가뿐히 배제하고, 오로지 같은 피라는 이유만으로 이렇게 친절하신(?) 나라와 여러가지 부작용들을 굳이 감수해가며 '조국통일'을 이루기 위해 시간과 노력을 쏟아야 하는 것이 한심한 우리의 현실인 것 같습니다.

정주영
과실연 인터넷팀장, (주)이아커뮤니케이션 대표

다음에 해당하는 게시물 댓글 등은 회원의 사전 동의 없이 임시게시 중단, 수정, 삭제, 이동 또는 등록 거부 등 관련조치를 취할 수 있습니다. [운영원칙]

욕설 및 비방, 인신공격으로 불쾌감 및 모욕을 주거나 명예를 훼손하는 내용
다른 회원 또는 제3자의 사생활 침해 및 개인정보 유출
공공질서 및 미풍양속에 위반되는 내용을 유포하거나 링크하는 경우
불법복제 또는 해킹을 조장하는 내용
영리 목적의 광고나 사이트 홍보
범죄와 결부된다고 객관적으로 인정되는 내용
지역감정이나 파벌 조성, 일방적 종교 홍보
기타 관계 법령에 위배된다고 판단되는 경우