"나는 어나니머스 코리아 일원이다"

우리나라에서 이제 '어나니머스'는 모르는 사람이 없을 정도로 유명인사가 됐다. IT분야에 특별한 관심이 없는 사람들도 어나니머스라고 하면 해커들이라는 정도는 알 수 있게 된 것이다. 얼마 전 북한 사이트를 공격한 것으로 알려진 어나니머스 코리아 일원과 인터뷰를 진행했다. 그는 자신들이 확보한 북한 무기 체계 등 기밀 정보를 공개할 지 고민 중이라고 했다. 그러나 보안업계 일각에서는 이들의 주장에 신뢰성이 부족하다는 지적을 했다.

지난 12일 어나니머스 코리아 일원이라고 주장한 'anontwitrack(트위터 아이디)'는 최근 여론이 자신들에게 집중되는 것이 부담스럽다며, 북한의 기밀정보를 공개하고 활동을 그만둘 지를 고민 중이라고 밝혔다. 그는 자신들이 북한 사이트를 공격한 것이 사실이라고 말했다.

이에 대해 국내 보안업계 전문가는 어나니머스 코리아는 기존 어나니머스와는 행동양상이 다르다며 이들의 주장을 신뢰하기에는 여러 부분에서 미심쩍다고 설명했다.

지난달 25일 이후 국내에서 발생한 해킹은 '하이 어나니머스', 북한 사이트를 공격한 것은 '어나니머스 코리아'라고 불리는 집단의 소행으로 알려졌다. 하이 어나니머스는 북한 해커들로 의심되고 있고, 어나니머스 코리아는 그 실체에 대해서 상세히 알려진 내용이 없다.

북한 사이트를 공격한 어나니머스 코리아의 실체에 대한 논쟁이 끊이지 않고 있다. 이들이 어설프게 해킹 기술을 흉내내는데 그치는 '스크립트 키디(해킹 입문자)'인지, 실제 수준급 해커들로 이뤄진 전문가 집단인지에 대해 의견이 분분하다.

■어나니머스 코리아 북한 공격 우리 맞다

anontwitrack은 인터뷰를 통해 그동안 의혹에 대해 설명해 줬다. 먼저 그는 북한 인트라넷에 접속할 수 있는 '닌자게이트웨이'라는 백도어를 실제로 구축했다고 주장했다. 백도어는 해커가 특정 네트워크에 접속할 수 있는 뒷문을 말한다.

지난달 25일 북한 사이트에 대한 공격을 시도하기에 앞서 이들은 북한 내부인터넷망을 외부망과 연결하고 북한 정부 홈페이지를 타격하는 것을 넘어 핵시설, 고위급 인사 등과 관련한 핵심정보를 빼낼 계획을 갖고 있다며 이를 위해 북한 인트라넷 '광명'에 접속할 수 있는 닌자게이트웨이를 구축했다고 밝힌 바 있다.

어나니머스코리아가 처음 모습을 드러낸 것은 지난 4월 초 트위터를 통해 북한 사이트인 '우리민족끼리'의 회원명단이 공개되면서부터다. 이들은 해당 사이트의 서버를 해킹해 두 차례에 걸쳐 총 1만5천217명의 회원정보를 입수했다고 주장했다.

지난달 25일 이들은 북한 사이트에 대한 분산서비스거부(DDoS) 공격과 함께 북한 고위 간부라고 주장하는 사진을 공개했다. 이들은 명단에 포함된 진재환, 리동원은 '우민끼' 회원이라고 밝히고 있다. 이는 국내 보수 커뮤니티 일간베스트에서 우리민족끼리를 줄여서 부르는 말이다. 더구나 '원본대조필'이라는 도장과 함께 누군가의 서명까지 포함돼 있다.

원본대조필, 우민끼 등의 용어가 북한에서 사용되지 않고 있다는 점 때문에 일각에서는 북한 DB에서 추출한 것이 맞는지 의심했다.

이에 대해 anontwitrack은 원본 내용이 암호화 돼있었기 때문에 이를 풀어서 자신이 재작성한 내용이라며 원본대조필도 그 때문에 적은 것이라고 말했다.

anontwitrack은 최근까지 여론이 집중되는 것에 대해 상당히 부담스러워하고 있다는 팀 내부 분위기를 전했다. 그는 돈 벌려고 하는 것도 아니고, 보수쪽에서는 잘했다고 하고 진보쪽에서는 못했다고 하면서 정치적으로 몰고가 욕을 산더미로 먹었다며 앞으로 확보하고 있는 북한 무기 체계 등에 대한 기밀정보를 공개하고 (팀 활동을) 접을지, 그냥 접을지를 고민 중이라는 속내를 전했다.

■보안전문가 어나니머스 코리아...스크립트 키디 수준

이 같은 주장에 대해 라온시큐어 소속 국내 보안 전문가는 어나니머스 코리아의 실체에 대해 일반적으로 전문적인 해킹 기술을 갖고 있다면 보안전문가들 혹은 화이트 해커들 사이에서 거론되기 마련인데 실제로 관련 커뮤니티에서 활동하던 사람들은 아니다라고 운을 뗐다.

그는 어나니머스 코리아의 북한 사이트 해킹 주장에서 여러가지 미심쩍은 점이 있다고 주장했다. 먼저 북한 고위 간부 명단 공개에 대해서는 암호화된 내용을 풀기는 상당히 오랜 시간이 걸리는데도 마치 손쉽게 풀어낼 수 있는 것처럼 말했다는 점이 의심스럽다고 설명했다.

북한에 닌자게이트웨이라는 백도어를 설치했다는 주장에 대해서도 이 보안 전문가는 내가 공격자로서 북한망을 공격한다고 하면 막막할 것 같다고 답했다. 실제로 내부인이 물리적으로 접근하지 않는 이상 외부접속이 차단 상황에서 북한 IP주소 조차 제대로 알 수 없는 것이 현실이라는 지적이다.

그는 최근 청와대 홈페이지를 공격한 해커들의 경우 토르라는 가상 프로토콜을 사용하고, 해외IP를 우회하는 등 여러 경로를 거쳐 들어온 탓에 추적이 거의 불가능한 실정인데 북한망을 어떤 방법으로 공격했는지 의문이라고 덧붙였다.

북한IP를 어떻게 알아내 공격을 시도했냐는 질문에 anontwitrack은 컴퓨터에 침투하면 로그파일부터 본다며 공격방법 등을 공개하면 스포일러가 되니깐 일부러 언급하지 않은 것이라고 답했다. 실제 공격 수법을 밝히지 않는 점도 미심쩍다는 것이 이 보안전문가의 견해다.

■어나니머스 코리아, 어나니머스와는 다르다

어나니머스와 어나니머스 코리아의 활동은 유사성이 떨어진다는 점은 어나니머스 코리아가 전문 해커들이라기보다는 준전문가 내지는 스크립트 키디들인 것으로 여겨진다는 것이 보안업계 전문가의 설명이다.

지난 6.25 사이버 테러 당일 오전 10시께 국내 청와대 홈페이지 메인 화면이 위변조 되는 등 공격이 이어지는 동안 어나니머스 코리아 일원들은 북한 사이트를 상대로 분산서비스거부(DDoS) 공격을 감행했다고 트위터를 통해 알렸다. 이들은 공격에 동참을 유도하기 위해 이례적으로 어떤 툴을 썼는지 공개적으로 밝혔다. 그러나 확인 결과 해당 툴과 이들이 밝힌 공격수법은 구글검색만으로도 손쉽게 찾을 수 있는 기본적인 것들이었다.

또한 실제 어나니머스는 자신들끼리도 서로 신분을 모르는 경우가 많고 대개는 온라인 공개 채팅방과 트위터 등을 통해 공격계획을 도모한다. 이와 달리 anontwitrack는 어나니머스 코리아는 8명이 팀을 이뤄 활동하고 있고, 이밖에 한국에서 어나니머스 활동하는 다른 팀들이 있다고 설명했다. 익명성을 담보로 핵티비즘을 추구한다는 본래 조직의 성격과는 여러 면에서 차이가 나는 것이다.

국내 보안 전문가는 해외에 있는 어나니머스 공개채팅방에서 어나니머스 코리아 소속이라고 밝힌 이들의 계정을 확인해 보니 anonsj(트위터 계정)는 오퍼레이터(어나니머스 공격 가담자)가 맞지만 나머지는 활동한 적이 없다고 밝혔다.

현재 북한 사이트 공격에 대한 대외창구역할을 해 온 anonsj는 자신의 트위터 계정을 삭제하고, 국내 해커들 내부에서도 신원에 대한 정보가 확인되지 않고 있는 상황이다. 더구나 어나니머스가 방송 등 언론매체와 인터뷰를 하는 것도 국내에서만 있는 일이라고 이 보안 전문가는 덧붙였다.