국가 안보 길을 묻다
해외 화이트해커 'Saber' 단독 인터뷰
'프랙' 잡지 통해 "한국 공공망 해킹"
해킹 사실 최초 파악해 6월 한국에 알려
"한국 공격 해커, 북·중 이익 위해 활동"
해외 화이트해커 'Saber' 단독 인터뷰
'프랙' 잡지 통해 "한국 공공망 해킹"
해킹 사실 최초 파악해 6월 한국에 알려
"한국 공격 해커, 북·중 이익 위해 활동"
|
미국 해킹 전문지 '프랙 매거진(Phrack Magazine)'은 지난 8월 'APT Down-The North Korea Files'라는 보고서를 통해 해킹 사실을 최초로 공개했다. 이 보고서는 한국을 공격한 APT(Advanced Persistent Threat, 지능형 지속 위협) 해커를 역해킹한 뒤 그 안에 담겨 있던 파일을 분석한 것이다. 아시아투데이는 보고서를 작성한 화이트해커 '세이버(Saber)'와 접촉해 단독 인터뷰를 진행했다.
그는 "우리는 지난 6월 해킹 사실을 처음 한국 정부에 알렸다. 이후 (한국 정부의) 대응 조치가 이뤄졌다"고 말했다. 한국 서버에 침투한 공격자로 알려진 'KIM'에 대해선 "중국 해커로 보이지만, 북한의 이익을 위해서도 활동하고 있다"고 분석했다. 즉, 중국의 해커들이 북한과 공조·협력 관계를 맺고 한국을 무차별 공격했다는 것이다.
-당신은 누구인가.
"나는 독립적인 보안 연구원이다. 방어보다 공격을 통해 상대의 취약점을 찾아내는 '공격 보안(offensive security)'을 즐기며, 최근에는 사이버 범죄자를 추적하고 있다. 국적과 거주지 등은 밝힐 수 없다."
-지난 8월 프랙 매거진을 통해 한국 정부를 대상으로 한 해킹 흔적을 발견했다고 발표했다. 단서가 있었나.
"우리가 KIM이라는 공격자의 서버를 해킹해 획득한 파일 안에는 한국 정부를 겨냥한 사이버 공격의 명확한 흔적이 있었다. 탈취된 행정전자서명(GPKI) 인증서와 피싱 로그 외에도 LG 유플러스 서버와 온나라 등 한국 기업과 정부 시스템 관련 계정 정보가 포함돼 있었다."
-공개하기로 결정한 이유가 무엇인가.
"그 정보를 혼자만 갖고 있는 것은 무의미하다고 판단했다. 해킹 시도가 있었다는 사실을 공개하면 KIM의 접근 권한 일부가 무력화되고, 어떤 대상들이 표적이었는지 드러나기 때문이다."
-한국 정부는 이에 대해 "발표 전 이미 조치를 끝냈다"고 밝혔다.
"우리는 6월 16일 국군방첩사령부를 시작으로 한국인터넷진흥원(KISA), 통일부, 민간 기업 등에 해킹 사실을 알렸다. 한국 정부가 8월 프랙 매거진 발표 전에 해킹 사실을 알고 있었던 것은 사실이지만, 그것은 우리가 그들에게 정보를 제공했기 때문이다. 한국 정부는 우리가 누구인지, 왜 이런 일을 하는지 등을 의심스러워했다."
-KIM은 누구인가. 김수키(북한 해커 조직)가 배후에 있나.
"우리는 KIM이 중국 정부 연계 해커(Chinese nation-state hacker)라고 생각한다. 그가 중국을 기반으로 활동한다는 사실은 알고 있었지만, 처음에는 중국과 북한 어느 나라를 위해 일하는지 확신할 수 없었다. 지금은 그가 중국과 북한, 양측의 이해를 모두 대변하며 활동하고 있다고 본다. 다른 조직들과 적극적으로 협력하고 있는지는 아직 명확하지 않다."
-KIM을 "해커로 볼 수 없다"고 했다.
"해커는 새로운 것을 발견하고 실험하길 좋아하는 사람들일 뿐 정치적, 금전적 목적은 없다. 그러나 KIM은 자신의 지도자와 정부를 이롭게 하고 정치적 목적을 이루기 위해 활동한다. 일반적인 해커와 달리 도덕적으로 왜곡(perverted)돼 있는 것이다."
-한국이 사이버 안보를 강화하기 위해 시급하게 개선해야 할 문제는 무엇이라고 보나.
"기업이 스스로 해킹 피해를 신고해야만 추가적인 조사나 감사를 진행하는 방식에는 구조적 결함(flaw)이 있다. 기업의 협조 의지가 없다면 신고가 이뤄지지 않기 때문이다. 최근 한국 이동통신사들의 사례도 그런 경우로 보인다."
