2019-12-14 11:25 (토)
[6.25 해킹] “북한이 사용하고 있는 사이버전 전술은…”
상태바
[6.25 해킹] “북한이 사용하고 있는 사이버전 전술은…”
  • 길민권
  • 승인 2013.06.26 14:08
이 기사를 공유합니다

기습, 위장, 기만, 인해, 정보, 심리, 은폐, 파괴 전술 등 사용
어나니머스에서는 웹기반의 DDoS 공격방식을 공개했다. 이용자들이 단순히 웹사이트 접속만으로 북한의 특정사이트를 자동으로 공격하는 방식이다.

 
잉카인터넷 관계자는 “이 공격명령 스크립트에서 TARGET 사이트만 변경되면 특정 사이트에 대한 지속적인 공격이 가능하기 때문에 악용될 우려가 있다”며 “실제 일간베스트라는 국내 사이트를 통해서 청와대, 국정원, 새누리당 등을 공격하는 코드가 삽입되었던 것으로 확인됐고, 현재는 해당 사이트 접속이 차단된 상태다”라고 설명했다.


 
일간 베스트는 6월 25일 오후 6시 30분경부터 모든 게시물이 "Hacked by anonymous_kor,anonsj, anonymous" 라는 내용으로 도배되었고, 어나니머스 코리아는 트위터를 통해서 "일베가 해킹당했다. 그러나 어나니머스는 하지 않았다" 라는 글을 올린 바 있다.

 
마치 어나니머스 소속의 트위터처럼 보여지는 hacktivist_kor라는 사람이 일베를 탱고다운 시키겠다고 글을 올렸는데, 그 트위터 계정은 기존 Hacktivist(@anonymous_kor)와는 다른 계정이므로 오해해서는 안된다.

 
대응팀 관계자는 “어나니머스가 공개한 북한의 웹 사이트 공격하는 방식으로 국내 주요 정부기관 사이트가 동시에 공격을 받았다. 겉으로 보기에는 어나니머스가 국내 웹 사이트를 공격하고 있는 것처럼 보여질 수 있다. 그러나 이것은 공개된 공격전술을 상대방이 역이용하여 정치적으로 우호적인 웹 사이트에 심리전술을 교묘하게 가미한 지능적인 사이버전이라 할 수 있다”고 밝혔다.  

 
TARGET 사이트는 계속해서 변경되고 있다. http://www.business-school-pyongyang.org -> http://pust.kr 등
http://ablemarine.com/

 
6월 25일 기점으로 어나니머스 코리아 SNS 등을 통해서 북한의 조선중앙통신(kcna.kp), 노동신문(rodong.rep.kr), 평양방송(gnu.rep.kr), 고려항공(airkoryo.com.kp), 벗(friend.com.kp), 평양상업대학(business-school-pyongyang.org), 평양대학(pust.kr), 조선체육기금(ksf.com.kp), 조선의소리(vok.rep.kp), 노소텍(nosotek.com), 여명민족화해협의회(ryomyong.com), 류경(ryugyongclip.com), 아리랑(alirang.org) 등이 마비되었다고 알려졌다.

 
또한 어나니머스는 북한내 개인정보를 포함한 기밀문서를 일부 공개했는데, 이곳에는 북한 고위직 실무자 13명의 이름, 생년월일, 전화번호, 주소, 소속 등이 표기되어 있다. 그 외의 정보들은 위키리크스를 통해서 공개한다고 한다.

 
한국의 경우 청와대와 국무조정실, 국정원 등 다수의 정부기관, 조선일보, 대구일보와 매일신문 기사송고시스템, 새누리당 지역 시도당 등의 일부 웹 사이트가 DDoS 공격을 받았다.
 
국제 해킹그룹 어나니머스는 며칠 전부터 6월 25일 12시 전후로 대대적인 북한 웹 사이트 공격을 사전예고한 바 있다. 그런 가운데 북한 웹 사이트 공격예정 시간보다 이른 06월 25일 10시 전후로 한국의 주요 정부기관 등의 웹 사이트가 선제공격을 받았다. 이처럼 예고된 북한 웹 사이트 공격은 단방향 사이버공격에서 양방향 사이버전쟁으로 촉발되고 있는 상황이다.
 
계속해서 수집된 악성파일과 공격 수법들에 대한 종합적인 분석이 진행되고 있는 상황이지만, 현재까지 파악된 정황으로는 어나니머스의 북한 사이트 공격과 북한내 고위직 인물들의 정보공개에 대한 보복성으로 한국내 주요 정부기관을 공격한 것으로 보이며, 이것은 사이버테러를 넘어 6.25 사이버전의 형태를 띄고 있다.
 
대응팀 관계자는 “이번 남북 웹 사이트의 침해사고는 6.25 사이버전의 신호탄이라 말할 수 있고, 다양한 사이버 군사전술 및 전략이 동원되고 있다”고 있다며 아래와 같이 다양한 사이버전 전술에 대해 설명했다.
 
ⓐ기습 전술
먼저 어나니머스가 사전예고한 2013년 06월 25일 오후12시 공격시간대 이전인 오전 10시 경 청와대 웹 사이트가 해킹되었고, 정부주요기관의 개인신상정보가 다량 노출되었다. 어나니머스 공격보다 선제공격을 감행하였다.
 
ⓑ위장 전술
해킹된 청와대 홈페이지에는 "Hacked by Anonymous" 등 마치 어나니머스가 해킹한 것처럼 위장하고 있으며, 보수성향의 웹 사이트로 알려져 있는 일간베스트(일베) 웹 사이트는 6월 25일 오후 6시 30분경부터 모든 게시물이 "Hacked by anonymous_kor,anonsj, anonymous" 라는 내용으로 도배되었다.
 
ⓒ기만 전술
해킹된 청와대 홈페이지에는 "공격은 계속될껏이다. 우리를 기다리라. 우리를 맞이하라. 통일대통령 김정은장군님 만세!" 등 위기감을 조성하는 등 위협을 노골적으로 표현하였다. 또한, YouTube 동영상 사이트에 청와대 해킹 관련 동영상을 등록하였다.
 
ⓓ인해 전술
이용자가 많은 웹하드의 설치 및 업데이트 프로그램 변조를 통해서 짧은 기간에 많은 좀비군단을 만들어서 정부기관의 웹 사이트를 공격할 수 있는 교두보 및 전초기지를 확보하였다.
 
ⓔ정보 전술
어나니머스가 SNS 등을 통해서 공개한 웹 사이트 기반의 Script DDoS 공격정보를 획득하여 동일하게 맞불작전에 활용하였고, 정부기관의 개인신상 정보를 고의적으로 공개하였다.
 
ⓕ심리 전술
일간베스트(일베)를 해킹하여 접속자로 하여금 청와대, 국정원, 새누리당 등의 웹 사이트를 공격하도록 하고, 그것이 마치 어나니머스가 사용하는 방식과 동일하다는 것을 은근슬쩍 퍼지도록 만든다.
 
ⓖ은폐 전술
DDoS 공격에 이용된 악성파일은 웹하드 설치프로그램에 은밀하게 숨겨져 있고, 분석 및 추적을 방해하기 위해서 대표적인 상용 패킹 프로그램인 Themida 로 실행압축을 하거나, Tor 통신을 통해서 안정성 및 익명성이 보장되는 분산된 프록시 네트워크를 이용한다.
 
ⓗ파괴 전술
MBR 등 하드디스크를 파괴하거나 중요한 개인 데이터를 유출, 파괴시킨다. 언론사 뉴스 송고시스템을 마비시키는 등 파괴적인 동작을 수행한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com