http://www.tongilnews.com/news/articleView.html?idxno=94562

검찰, 농협 전산망 장애 "북한이 관여한 초유의 사이버테러"
2011년 05월 03일 (화) 14:10:09 김치관 기자 ckkim@tongilnews.com
서울중앙지방검찰청 첨단범죄수사제2부(부장검사 김영대)는 1일 농협 전산망 장애사건 수사 결과를 ‘북한이 관여된 초유의 사이버테러’라고 발표했다.

검찰측은 이날 보도자료를 통해 “2011년 4월 12일 발생한 농협 전산망 장애사건이 새로운 형태의 사이버테러인 사실을 확인했다”며 “공격명령 발원지는 유지보수업체 직원의 노트북이었고, 이 노트북은 2010년 9월 4일경 좀비PC가 되었으며 범인들은 7개월 이상 노트북을 집중 관리하면서 필요한 정보를 획득한 뒤 원격 조종으로 공격을 한 것”이라고 밝혔다.

특히 “원격에 사용된 악성코드를 암호화하는 기법 등 공격에 사용된 81개 악성코드를 만든 독특한 제작기법이 2009년 7.7디도스, 2011년 3.4디도스 사건과 대단히 유사”한 점 등을 들어 “7.7, 3.4 디도스 공격을 한 집단과 동일집단이 장기간 치밀하게 준비하여 실행한 것으로서 북한이 관여된 초유의 사이버테러”라고 결론지었다.

검찰은 “이번 공격은 관공서 등 다수기관 홈페이지 운영을 일시적으로 방해하는 기존 디도스 공격과 달리, 자본주의 사회 기본인프라인 금융기관 시스템 자체를 파괴하는 1개 특정기관에 대한 타깃형 집중공격으로서 완전히 새로운 형태의 사이버테러행위”라고 규정하고 “관공서를 비롯한 국가 주요 전산망 관리자 PC는 전혀 외부에 노출되지 않도록 관련 규정과 지침을 정비하고, 악성코드 유포경로인 웹하드 사이트 등에 대한 제도적 대책도 마련”하겠다고 발표했다.

그러나 일부 보안 전문가들은 검찰의 수사 결과 발표에 의문을 제기하고 있다. <연합뉴스>는 한 보안 전문가가 "IP는 조작이 가능한 만큼 IP만 가지고 이번 농협 사태의 범인이 7.7, 3.4 디도스 공격을 한 인사와 동일범이라고 말하기에는 근거가 약하다"면서 "더군다나 7.7이나 3.4 디도스 공격을 북한이 감행했다는 증거도 아직 없지 않느냐"고 말한 것으로 보도했다.

<검찰 수사 결과>
 
○ 노트북은 2010. 9. 4.경 악성코드에 감염되어 좀비PC가 됨
- 범인들은 2010. 9.경 S웹하드 사이트에 위 사이트 업데이트 프로그램으로 위장된 악성코드를 유포하였는데 노트북은 2010. 9. 4.경 이에 감염
- 노트북에서 삭제된 프로그램 복구결과 이 사건 준비, 실행, 범행 은폐 등을 위해 사용된 악성코드는 발견된 것만 무려 81개임(그림 1 참조)
※ 악성코드가 기능별로 별도 파일로 나뉘어져 있었고 노트북 구석 구석에 분산 은닉되어 있어서 복구 분석이 매우 어려웠음

○ 7개월 이상 집중 모니터링으로 각종 정보 유출
- 범인들은 그 무렵 확보한 좀비PC들로부터 각종 데이터를 빼내가 검토한 후 그 중 이 사건 노트북이 은행시스템 관리자가 사용하는 것으로 판단하여 7개월 이상 이 사건 노트북을 집중적으로 관리하여 왔음(그림 2 참조)
- 범인들은 사용자에게 발각되지 않은 채 노트북에 필요한 악성코드를 삽입하고 노트북에서 정보를 빼내기 위해 해킹프로그램(일명 백도어: backdoor)을 설치한 다음, 노트북에 있는 각종자료와 노트북에 입력되는 모든 내용을 빼내가는 한편 도청 프로그램까지 사용하여 노트북 사용자의 일거수일투족을 치밀하게 감시함으로써 공격대상 IP와 최고관리자 비밀번호 등을 획득하였음(그림 3 참조)
※ 복수 공격대상에 대한 공격인 디도스 사건과 달리 이번 사건은 1개 특정 공격대상에 대한 공격이기 때문에 구체적인 정보 획득을 위해 키로깅과 도청프로그램까지 사용한 점에 특색이 있으며, 최근 1달간 키로깅으로 취득한 정보만 해도 A4용지 1,073 페이지 분량임
※ 범행에 사용된 악성코드의 종류, 설계 및 유포 기술, 범행 준비기간, 준비 방법 등 제반 정황에 비추어 상당한 규모의 인적, 물적 뒷받침이 없이 실행하기 불가능한 범죄임 

 ○ 공격은 원격에서 인터넷을 통해 노트북에 내려졌음
- 범인들은 2011. 4. 12. 08:20:14 공격명령 파일을 노트북에 설치하고, 16:50:10 인터넷을 이용한 원격제어로 위 공격명령 프로그램을 실행, 이후 순차적으로 2차, 3차 공격이 이행됨으로써 총 587대 서버 중 273대 서버가 피해를 입었음(그림 4, 5, 6 참조)
- 공격 성공 여부를 노트북에 설치된 모니터링 프로그램을 통해 원격에서 실시간으로 지켜보다가 성공사실 및 파괴된 서버수까지 확인하고 17:20경 노트북에 있는 공격 프로그램 등 관련 증거를 삭제하여 범인 추적을 곤란하게 함

 ○ 피해확산을 막기 위해 서버 운행을 중단하여야 할 정도로 강력한 테러였음
- 1회 공격명령을 내리면 공격에 사용된 각종 프로그램이 유기적으로 연결되어 공격이 순차적으로 자동실행되는 구조로 설계되어 있고, 공격의 내용도 서버의 모든 데이터를 완전히 삭제하여 0으로 만들어버리도록 되어 있어
- 서버의 운행을 중단함으로써 추가 피해를 막을 수 있었을 정도로 강력한 테러였음

○ 7․7 디도스, 3․4 디도스 사건과 동일한 집단의 소행(별도 표 참조)
▶ 7․7 디도스, 3․4 디도스와 대단히 유사한 독특한 프로그래밍 기법 사용
- 악성코드들이 발각되지 않도록 암호화하는 방식이 3․4와 거의 일치하고(그림 7 참조),
- 삭제프로그램에서 호출하도록 되어 있는 30여개 파일의 확장자(예, .hwp는 한글 파일 확장자임)의 종류뿐만 아니라 그 순서마저 3․4와 완전히 동일하고 7․7과 대단히 유사하며(그림 8 참조)
- 프로그램 분석을 곤란하게 만들기 위해 프로그램 특정 부분을 알아보기 어렵도록 일정한 규칙에 따라 다른 문자로 치환하여 표기한 방식이 7․7과 동일함(그림 9 참조)
▶ 악성코드 유포 경로, 유포 방식 및 좀비에 설치하는 방법도 동일
- 악성코드를 동영상 파일에 숨겨 배포하는 등의 방식이 아니라 웹하드 사이트의 업데이트 프로그램인 것처럼 위장하여 배포하였으며,
- 배포된 악성코드가 좀비에 구체적으로 설치되는 과정과 악성코드 명명 방식 등이 디도스 사건과 대단히 흡사하고,
※ 일부 악성코드는 이름도 3․4와 동일함
- 악성코드를 운영하기 위한 백도어 기능과 좀비에 명령을 내리는 서버목록이 1개의 프로그램이 아니라 별도 파일로 제작된 점 등이 디도스 사건과 매우 유사함
▶ 좀비를 조종하는 서버 IP 1개도 동일
- 노트북에서 발견된 공격명령서버 IP 1개가 3․4디도스 사건에 이용된 것과 동일한 것임
▶ 노트북은 2010. 9.경부터 북한이 특별 관리하여 온 좀비PC임
- 노트북 복구 분석 결과 발견된 자료 및 관계기관과의 합동 조사 결과 등에 의하면, 북한은 노트북에 장착된 무선랜카드의 맥어드레스를 좀비 ID로 확보하고 이 사건 노트북을 특별 관리하여 온 것으로 확인됨
※ 7․7 디도스 사건 : 2009. 7. 7.~9. 61개국 435대 서버를 활용, 한․미 주요기관 등 총 35개 사이트를 디도스 공격, 공격근원지가 중국에 소재한 북한 체신성으로 확인
※ 3․4 디도스 사건 : 2011. 3. 3.~5. 70개국 746대 서버를 활용, 국내 주요 40개 사이트를 디도스 공격, 디도스 공격체계 및 방식이 동일하고 악성코드의 설계방식 및 통신방식이 일치하며 해외 공격명령서버 일부가 동일한 점 등에 비추어 7․7 디도스 공격자와 동일범으로 판단
※ 농협은 7․7 디도스, 3․4 디도스 사건에서도 공격대상에 포함되어 있었음