'충격' 6.25 해킹, 사이버戰 전술 쓰여

국내 주요 정부기관 홈페이지를 마비시킨 6.25 사이버 테러에는 사이버전에 사용되는 여러 전술이 종합적으로 사용된 것으로 나타났다.

27일 보안전문가들에 따르면 공격자들은 어나니머스를 가장해 사용자들에게 혼란을 주는 한편 불과 10시간만에 확보한 좀비PC를 동원해 공격용 전초기지를 만들고, 소셜네트워크서비스(SNS)에 공개된 어나니머스의 악성스크립트를 역이용해 공격을 시도하기까지했다. 기습, 위장, 기만, 은폐 전술 등이 그대로 사용된 것이다.

공격자들은 지난 25일 청와대 홈페이지 메인화면을 바꾸고, 국무조정실, 국방부 등 기타 정부기관, 새누리당 시도당, 국방부, 국가정보원 등에 대한 분산서비스거부(DDoS) 공격을 감행하는 한편 이들 홈페이지를 통해 회원 신상 정보를 유출시켰다.

이들은 먼저 사회적 파장을 극대화 하기 위해 기습전술을 사용했다. 청와대는 우리나라에서 가장 상징성이 높은 웹사이트 중 하나다.

이 홈페이지가 변조되면서 오전 10시부터 약 10여분 간 통일대통령 김정은장군님 만세!...민주와 통일을 지향하는 #어나니머스코리아라는 문구와 담긴 사진이 나타났다. 여기에는 어나니머스의 표식과 함께 공개자료링크라며 유출시킨 개인정보와 함께 트위터 아이디(@Anonsj, @YourAnonnewsKR 등)가 공개됐다. 이 아이디들은 그동안 북한 사이트 공격을 예고한 어나니머스 회원들이다. 이들은 자신들의 트위터를 통해 청와대 해킹은 우리 소행이 아니다라는 내용의 글을 올리기도 했다.

어나니머스는 이날 오전 11시부터 북한 사이트들을 공격하겠다고 예고한 뒤 실제로 DDoS 공격을 감행해 조선중앙통신 등의 사이트들의 접속이 마비됐다. 이 같은 정황을 봤을 때 공격자들은 어나니머스가 공격한 것처럼 보이도록 하는 위장 전술을 썼다.

DDoS 공격에 사용된 악성파일은 웹하드 업체 두 곳의 설치프로그램을 변조해 유포된 것으로 확인됐다. 해당 사이트에 접속하면 악성파일 설치가 유도돼 좀비PC가 생성되며 공격자들이 구축한 C&C서버를 통해 공격 명령을 수행한다.

여기에 사용된 악성파일은 다량의 패킷 쿼리를 대전 정부통합전산센터 서버로 전송해 DNS서버의 리소스를 소모시켜 정부기관 홈페이지에 접속에 과부하를 일으키는 수법을 사용했다.

이 과정에서는 은폐전술이 사용됐다. 이들 악성파일을 은밀하게 숨기고, 분석과 추적을 피하기 위해 일반적인 상용 패킹 프로그램 더미다(Themida)로 실행압축하거나, 토르(tor)라는 암호화 통신하는 분산 네트워크를 통해 트래픽에 대한 추적이 어렵게 만들었다.

그 뒤 국내 사용자들을 기만하는 전술을 쓰기도 했다. 청와대 공격 이후에 이들은 추가로 공격과정을 담은 동영상을 공개하면서 재차 위기감을 조성했다. 일단 관심을 끄는데 성공했다고 판단한 뒤 반신반의하는 국내 전문가들을 상대로 실제 공격이라는 점을 믿도록 이를 공개한 것이다.

이외에 추가로 유포된 동영상에는 일간베스트나 우리민족끼리를 해킹한 해커들은 가짜 어나니머스(FakeAnons)라는 내용까지 담고 있다.