Tor프로토콜은 익명통신을 할 수 있는 시스템으로 Tor를 이용하면 패킷의 송신자를 알 수 없다. 그래서 해커들이 사이버 공격시 자신의 추적을 피하기 위해 사용하고 있다. 이번 6.25 사이버공격에서 공격자가 Tor를 사용해 공격한 것이 밝혀졌다.
 
최상명 하우리 선행기술팀장은 “Tor는 익명 네트워크라고 한다. 주로 해커들이 해킹할 때 많이 사용한다. 이를 이용해서 자신의 신분을 숨길 수 있기 때문”이라며 “이번 6.25 사이버공격자들이 Tor를 이용해 공격한 정황을 처음 포착했다. 그래서 아마 악성코드가 16일 이전에 유포됐는데도 탐지하는데 어려움이 있었던 것으로 생각한다. 공격자들이 Tor를 사용한 것은 이번이 처음이다. TOR C&C는 네트워크 탐지가 불가능하기에 앞으로 관제는 점점 더 힘들어질 것”이라고 우려했다.   
 
한편 이번에 사용된 CNC서버는 총 10개였고 그 C&C서버와 통신한 악성코드가 21개로 드러났다. 이에 대해 최 팀장은 “이번에 DDoS 공격에 이용된 악성코드가 각각 버전이 붙어있다는 것을 발견했다”며 “총 21버전이다. 현재 확인된 버전은 9버전까지다. 9버전은 6월 16일 유포된 것이 확인됐으며 9버전 이하 버전들은 아마 그 전부터 유포됐을 것으로 추정할 수 있다. 즉 6월 16일 이전부터 6.25 사이버공격이 준비된 것으로 파악된다”고 추정했다.
 
최 팀장은 어떻게 이들을 추적할 수 있었을까. 그는 “공격자를 추적할 때 해킹대회에서 사용했던 기법들을 사용하게 된다. 이번엔 맨인더미들(MITM, Man-in-the-Middle, 중간자 공격)어택을 사용해 DDoS 공격용 악성코드와 Tor가 통신하는 것을 잡아냈다”며 “PC 외부에서 Tor로 쌓이는 것을 볼 수 없다. 분석이 안된다. 그래서 감염된 PC에서 악성코드가 Tor를 사용하기 이전에 즉 암호화되기 이전에 문 앞에서 감시하면서 그들이 통신하는 것을 분석해 악성코드에 21개의 버전이 있다는 사실과 Tor를 사용하고 있었다는 것 그리고 C&C서버로 연결되면 추가적인 악성코드를 다운받는 다는 팩트들을 알 수 있었다”고 설명했다.
 
그럼 공격자가 Tor를 사용하면 왜 탐지가 불가능한 것일까. 이 문제에 대해 그는 “Tor를 쓰기 시작하면 네트워크 장비에서 보이지 않으니 탐지가 어렵다. 악성코드도 Tor를 쓰기 시작하면 기존 네트워크 장비가 탐지하기는 어려운 상황”이라며 “관제하기가 정말 힘들 것이다. 현재 상황으로는 이런 공격은 미리 탐지해서 차단하기가 현실적으로 어렵다고 봐야 한다. Tor가 암호화되서 통신하니 어떤 것들이 오고 가는지 네트워크 탐지로는 모를 수밖에 없다. 이번에 맨인더미들어택으로 Tor로 나가는 트래픽을 확인하지 않았다면 확인이 힘들었을 것”이라고 향후 유사한 공격에 대응하기가 힘들다는 견해를 폈다.  
 
또한 그는 이번 6.25 공격에 대해 “이번 6.25 하드파괴는 6.9 중앙일보 하드파괴 악성코드 감염사실과 전송 C&C 기능 및 계정암호 특징, 7.7 3.4 DDoS, 4.12 농협의 C&C 경유지 생성의 악성코드 전파 방식에 사용한 SMB IPC의 취약한 패스워드를 이용한 유포 방법, 그리고 7.7 3.4 DDoS의 개별 파일 파괴, 7.7, 3.4, 4.12, 6.9, 3.20 사이버공격시 MBR 파괴 기능 등 지금까지 했던 모든 작업들이 복합적으로 통합된 공격으로 6.25 사이버공격이 감행됐으며 이는 북한정찰총국 합동팀의 작업 결과물”이라고 추정했다.
 
그는 “이번 6.25 사이버공격은 지금까지 사용했던 모든 공격기술이 복합적으로 통합된 형태로 합쳐진 기술로 공격한 것이다. 북한정찰총국내 A팀과 B팀이 있는데 각기 다른 악성코드들로 농협과 3.20을 진행했으며 이번에는 각팀이 연합해서 지금까지 공격했던 악성코드 기능을 복합해 이번 공격을 진행한 것으로 보인다”고 설명했다. 
 
데일리시큐 길민권 기자 mkgil@dailysecu.com