국가정보원은 한·미 주요기관에 대한 사이버 테러 공격 경로를 추적하는 과정에서 북한인이 확실한 해커 윤모의 IP를 확인, 이를 근거로 이번 테러가 북한측에 의해 저질러졌다는 심증을 굳힌 것으로 10일 알려졌다.
정부 당국자에 따르면 국정원은 그동안 북한의 해커 조직을 계속 추적해왔으며, 이번 사이버 테러 공격 경로를 파악하는 과정에서도 '눈에 익숙한' 북한인 해커 조직의 IP가 동원됐다는 사실을 알아냈다. 국정원은 이에 앞서 북한이 6월 중순부터 국내 정보분야 연구기관을 들락거리며 디도스(DDoS·분산서비스 거부) 관련 자료를 열람하고 있는 사실을 파악, 계속 감시 중이었던 것으로 전해졌다.
국정원은 이 같은 감시를 통해 북한이 6월 30일 한국기계연구원 광주전산망을 첫 디도스 공격한 것을 확인했으며, 중국 선양에 있는 북한인 해커 조직이 저지른 것으로 파악했다. 정부 당국자는 "국정원은 당시 이용된 악성 프로그램의 '확장자'도 북한 해커들이 종전에 많이 썼던 MLS(*.mls)인 것을 확인했다"고 했다. 그는 "국정원은 오랫동안 북한인으로 추정되는 해커들의 IP 대역을 추적했으며 북한 해커부대의 IP 대역도 파악한 상태"라며 "국정원이 북한 소행을 자신하는 이유는 이런 IP 대역을 근거로 추적할 수 있기 때문"이라고 했다.
당국자에 따르면 국정원은 이번 공격을 북한군 총참모부 정찰국 산하 115호 연구소(평양 소재로 추정)가 주도한 것으로 보고 있다. 115호 연구소는 사이버전(戰)과 해킹을 전담하는 북한군 조직으로 알려져 있다. 당국자는 "국정원이 6월 7일 이 연구소의 전략 문건을 입수했는데, 북한 해커조직에 '남조선 괴뢰 통신망을 순식간에 파괴할 수 있는 프로그램을 개발하라'고 지시하고, '소프트웨어 개발을 통해 연구소 성격을 위장한다'는 내용 등이 있었다"고 했다.
당국자는 또 국정원이 '북측 소행'이라고 판단하는 정황 증거로, "국정원은 6월 16일 국군 기무사가 주최한 '국방정보보호 콘퍼런스'에서 국정원측 참석자가 '한국과 미국이 공조해 사이버 방어망(사이버 스톰)을 구축해야 한다'고 한 뒤 6월 27일 북한 대남기구인 조국평화통일위원회(조평통)가 한·미의 사이버 공조를 강하게 비난한 것을 민감하게 지켜보고 있었다"고 했다. 국정원은 지난달 초 북한 해커부대가 동명정보화대 컴퓨터와 한국정보진흥원에 접속해 모의 공격 연습을 실시한 사실을 알아냈으며, 중국 선양과 베이징에 있는 북한 보위부 직원이 운영하는 위장 업체를 통한 것으로 추정하고 있다고 이 당국자는 덧붙였다.
국정원은 이 같은 사실을 이날 국회에서 한나라당 지도부와 가진 비공개 간담회에서도 보고한 것으로 알려졌다.
한편 국정원은 이날 국회 정보위원회 간담회에서는 이번 디도스 공격에 대해 "한국과 중국, 일본, 미국, 과테말라 등 19개국의 92개 IP를 통해 사이버 테러가 감행된 것으로 파악한다"고 밝혔다. 또 19개국에 북한은 포함돼 있지 않지만 "북한 또는 북한 추종세력이 감행한 것으로 추정한다"고 밝혔다. 정보 관계자는 "북한 해커조직은 중국 등 제3국에서 활동하기 때문에 북한 IP가 없는 것은 당연한 것 아니냐"고 했다. ---------------------------------------------------------------------------------------------------
글쓰기