추적! 北 해커 부대

<녹취> 조국평화통일위원회 서기국 보도 : "이제 도발자들은 임의의 순간에 보복의 불벼락을 면하지 못할 것이다."

예고된 보복..

그리고 한순간 멎은 방송과 금융기관 전산망.

<녹취> 강석훈(사회2부) : "거기서 지금 종합대책 마련하고 있으니까 빨리 한 번 알아봐라. 왜 그런지 "

<녹취> 은행 고객과 직원 : "(공과금 수납도 안되요?) 지금 저희 전체 시스템이 문제가 되서.."

악성코드에 남아있는 암호명 '하스타티',

<인터뷰> 조경식(방송통신위원회 대변인) : "업데이트 관리 서버를 통해 유포가 이뤄진 것으로 추정하고 있으며 부팅 영역을 파괴시킨 것으로 분석하고 있습니다."

그들은 누구이고, 무엇을 노렸을까?

<인터뷰> 임종인(고려대 정보보호대학원장) : "공격 자체가 굉장히 조직적이고 대규모 공격입니다. 우리 사회의 어떤 혼란을 가중시키고 심리적으로 타격을 가해서 자기들의 힘을 과시하려는 것인데.."

<앵커 멘트>

방송과 금융권의 전산시스템을 한순간에 마비시킨 이번 사이버 테러는 막대한 복구 비용에, 사회적인 혼란도 불러 일으켰습니다.

하지만 일부에서 북한의 소행으로 추정만 하고 있을뿐 누가, 왜 했는지는 여전히 오리무중입니다.

취재파일은 이번 사건에 북한의 해커들이 관련된 것으로 보이는 몇가지 단서를 확보하고 그 실체를 추적했습니다.

<리포트>

해커들은 어떻게 방송사와 은행의 전산망을 한순간에 무력화시켰을까?

보안전문가들은 이번 해킹 공격이 서로 다른 기관의 촘촘한 방화벽을 뚫고 동시 다발로 감행된 데 주목하고 있습니다.

<인터뷰> 박찬암(팀장/보안업체) : "방송사 내부, 금융 내부 이런 식으로 목표를 하나 지정해 두고 그 목표를 해킹에 성공하기 위해서 지속적으로 공격하는 이런 부분에 있어서는 상당히 치밀한 해킹 종류라 볼 수 있습니다."

파괴된 컴퓨터의 하드디스크에 남은 암호는 '하스타티', 고대 로마군의 전위부대를 뜻하는 이 문자열은 추가 공격을 의미할 수 있다고 분석되기도 했습니다.

이런 징후는 엿새 뒤 뉴스채널 YTN과, 북한에 비판적인 데일리 NK 등 10여개 단체의 홈페이지 접속 장애에서 감지됐습니다.

<인터뷰> 조주봉(보안업체) : "새로운 공격자에 의해 공격 당했을 가능성이 존재하는 거고 또는 기존의 공격자가 특정한 백도어(비밀통로)라든지 다시 접속할 수 있는 그런 부분들을 남겨놓고 나가서 나중에 추가 공격이 이뤄졌다거나..."

현재까지 확인된 악성코드 경유지는 미국과 일본 등 4개국, 그러나 공격의 진원지를 파악하는데는 상당한 시간과 노력이 필요하고 실패할 가능성도 높습니다.

<인터뷰> 조주봉(보안업체) : "공격자들이 본인들의 위치를 숨기기 위해서 세탁하는 경우들이 굉장히 많이 있거든요. 현재까지 밝혀진 그 IP는 그 인터넷 주소 같은 경우에는 실제 공격자다라고 단정 지을 수가 없죠."

베일에 가려진 해커들을 추적하던 취재파일팀은 지난 25일 중국의 취재원으로 부터 중요한 단서를 전해들었습니다.

최근 북중 접경지역에서 북한 사람들의 수상한 움직임이 포착됐다는 것입니다.

<녹취> 제보전화 : "그 사람들이 수상하단 말입니다. 등록을 하지 않고 조선족 이름으로 셋방을 얻어 그 사람들이 살았습니다. 컴퓨터도 완전히 쌩쌩나는 컴퓨터를 갖고 있습니다."

취재팀은 제보 내용을 확인하기 위해 북한과 중국, 그리고 러시아의 국경이 맞닿아 있는 중국의 훈춘시를 찾았습니다.

중국의 동해 진출 관문인 이곳은 북한의 나진.선봉 지역과 활발한 경제교류가 이뤄지고 있습니다.

조선족 김모씨는 지난 2월 말 이곳에 있는 자신의 아파트를 시세보다 5배를 더 주겠다는 북한의 젊은이들에게 빌려줬습니다.

<녹취> 집주인 : "나이는 두 분은 한 27, 8세. 밖에 있는 사람은 한 35세 이렇게.. 누가 봐도 전문가 같아요. 군인이 아니면 아마 안 그럴 거예요."

김씨가 이들의 수상한 움직임을 눈치챈 것은 지난 15일,

<녹취> 김씨 : "사람 있는지 물어보고 없으니까 (2층에)올라왔거든요. 올라왔는데 이렇게 연 거예요. 무선장치는 여기 있었고... 내가 오니까 막 덮는 거예요."

6층 꼭대기 층인 김씨의 아파트는 다락방이 있는 복층 구조였는데 이들은 넓은 1층은 비워둔 채 2층의 좁은 다락방에서 생활했습니다.

<녹취> 김씨 : "컴퓨터는 다섯 대, 최소 다섯 대. 노트북이었고 두 개는 두께가 좀 두꺼웠어요. (커텐을) 여기까지 막았어요.(실내가 껌껌했겠네요?) 그렇죠. 빛이 잘 안들어왔죠."

게다가 이들은 김씨 아파트의 전산망을 사용하지 않고 다락방에서 고성능 무선안테나를 이용해 모종의 컴퓨터 작업을 벌였다는게 집주인 김씨의 말입니다.

<녹취> 김씨 : "모뎀같은게 있는 데 여기 있었는데 이렇게 컸어요. 이렇게.. (모뎀이 컸어요?) 네. 컸고 그 옆에 안테나 같은 게 있었는데.. 선이 이렇게 높고 밑이 둥글고 같이 연결돼 있는 것 같았어요. 평소 사용하는 게 아니구나.."

무선안테나는 종류에 따라 반경 100m 내외의 Wi-Fi, 즉 대량의 무선 신호를 잡아내 접속할 수 있어서 IP 추적을 따돌리려는 해커들이 주로 사용합니다.

<인터뷰> 신동휘(보안 전문가) : "해커들이 추적을 따돌리기 위해 사용....."

보름이상 두문불출한 이들은 식사도 도시락 등으로 해결해 이웃사람들의 눈에도 띄지 않았습니다.

<녹취> 집주인 : "쓰레기가 있었거든요. 뭐 지 하고 열어봤는데 도시락 같은 그런 거 배달시키고, 음식같은 그런 거 있었고, 음료수 같은 거 있잖아요? 라면 그런 것도.."

<녹취> 이웃주민 : "아이 유치원을 데려다 주려고 매일 서너번씩, 다섯번 이상 오르내리는데 한번도 못봤어요. 사람이 있는지 진짜 몰랐어요."

북한의 컴퓨터 전문가들이 머문 이 아파트는 중국군의 사택입니다. 때문에 현지 경찰의 단속이나 일반인들의 출입이 엄격히 통제되고 있습니다.

아파트 다락방에 틀어박힌 이들은 무엇을 했을까?

북한의 해커로 추정되는 이들이 보름 정도 작업을 한 뒤 말도 없이 사라진 것은 지난 20일,

방송과 금융권 해킹 사건이 벌어진 바로 그날이었습니다.

<녹취> 집주인 : "쓰레기도 모두 다 버리고 청소도 깨끗하게 하고. 남자들 세 사람이 이 집에 있었다는 느낌을 안 줘요. 다 치우고 갔어요."

옷가방만 들고 국경을 넘어왔다는 이들은 컴퓨터 등 첨단장비들을 어디서 구했을까?

<인터뷰> 집주인 : "박스 안에 컴퓨터 같이 두는 거. 쓰레기 치우려고 보니까 선양 어디라고 택배가 온 게 있잖습니까. 거기에 적혀져 있더라고.."

북한 해커로 추정되는 이들에게 택배를 보낸 발신지인 선양, 중국 동북3성의 중심도시 선양은 북한 해커들의 주요 거점 가운데 하나로 알려져 있습니다.

취재파일팀은 이곳에서 해킹프로그램 제작을 의뢰한다는 명목으로 북한의 컴퓨터 프로그램 제작자와 접촉했습니다.

20대 후반의 장모씨는 북한의 컴퓨터 전문가들을 데리고 중국에 건너와 북중 합작 법인을 만들었다고 합니다.

북한의 컴퓨터 전문가인 해커 요원들이 중국과의 합작을 내세워 중국 땅에서 활동하는 근거를 만든 것입니다.

<인터뷰> 장모씨(북한 프로그램 제작자) : "어떤 덴 20명, 30명 되는 데도 있고. 기술자들이 같이 숙식을 하고 사무실에 컴퓨터 놓고 있는 거니까. 국가에서 파견하는 회사니까..."

온라인 게임에서 상대편을 자동으로 공격해 아이템을 모으는 불법 '오토 프로그램'을 제작해왔다는 장씨는 개인정보를 빼내는 해킹도 얼마든지 가능하다고 자랑했습니다.

<인터뷰> 장씨 : "홈쇼핑 운영하는데 회원이 없으니까 채워달라. 회원을 이렇게 빼내면 저쪽에서 다 안단 말입니다. 일이 커지면 복잡하니까 하루에 꺼낼 수 있는 양이 있단 말입니다."

특히 장씨는 최근 북한에서 해커들이 직접 파견돼 중요한 해킹작업을 함께 했다고 밝혀 이번 사건과의 관련성을 암시했습니다.

<녹취> 장모씨 : "(넘어오신 분은 몇명입니까?) 다섯명. 그런 사람들은 계속 (중국에)나와있지 않는단 말입니다. 밤새껏 코딩만 짜는 사람이 있고 다섯 명이 다 똑같은 일을 하는 게 아니란 말입니다."

이들 북한 해커들의 규모와 실력은 어느 정도일까?

북한에서 전자전 부대원들을 교육시키다 지난 2005년 탈북한 북한군 출신 박모씨, 박씨는 중등과정에서 선발된 이른바 컴퓨터 천재들이 군과 민간 부문에서 활동하고 있으며 전산시스템을 마비시킬 정도의 해커가 수천 명에 이른다고 말합니다.

<인터뷰> 박모씨(북한군 출신 탈북자) : "처음엔 북한 내에서 하다가 체신성 IP가 나온 다음부터 대체적으로 해외에서 활동하는 것으로 알고 있습니다. 중국을 활동 무대로 많이 하고 움직이는 단위는 매번 다르겠지만 적게는 3명 최대는 12명인 것 같습니다."

박씨는 이번 해킹 사건 역시 상당기간의 준비 과정을 거친 북한 해커부대의 소행이라며 사건이 발생하기 전에 이미 북한 해커부대원으로 부터 이같은 내용을 전해들었다고 밝혔습니다.

<인터뷰> 박씨 : "주요 언론기관이나 공공기관들에 대한 해킹 준비 작업은 끝났다고 말을 하더라고요. 그 때(2012년 4월) 하려고 하다가 여러가지 원인으로 그만두고 다시 또 이번에 공격을 한 걸로 알고 있습니다."

북한은 지난해 4월 이명박 정부의 대북 발언을 여론화한다며 KBS 등 언론사들에 대한 테러를 암시했고 두달 뒤인 6월에는 실제 중앙일보의 전산망을 해킹했습니다.

박씨와 연락을 주고받았던 북한 해커들도 지금은 연락이 끊긴 상태, 지난 20일 해킹 사건이 터진 뒤 일제히 모습을 감춰 거점을 바꾼 것인지, 북한으로 돌아갔는지 모르는 상황입니다.

이 북한 해커들이 해킹을 하는 목적은 무었일까?

<인터뷰> 박씨 : "적의 정보를 알아내는 것이고, 기능 마비, 지휘체계 마비 이런 것이 가장 큰 전자전 부대의 임무라고 보고요. 외화벌이 목적으로 금융망을 턴다고 봐야 되겠죠."

갈수록 규모가 커지고 수법도 교묘해지는 사이버 테러, 이런 악의적 도발을 일삼는 '블랙 해커'를 막기 위해서는 좋은 해커, 이른바 '화이트 해커'가 필요합니다.

하지만 국내엔 이런 수준급의 화이트 해커가 민관을 통틀어 300명 정도에 불과합니다.

<인터뷰> 이순형(보안업체 대표) : "수천만 명이 살고 있는 나라에 경찰과 소방관 군인 이분들이 몇백 명 밖에 없다고 생각을 해보세요. 사회가 안정을 찾을 수 있을까요? 정보보호 전문가들에 대한 양성이야말로 가장 중요하고 가장 시급한 일이라고 생각합니다."

얼굴없는 적과 싸워야하는 사이버 전쟁,

<녹취> 조선인민군 최고사령부 특별작전행동소조 : "우리 혁명무력의 특별행동은 일단 개시되면 3-4분, 아니 그 보다 더 짧은 순간에 지금까지 있어 본 적이 없는 특이한 수단과 우리식의 방법으로..."

언제 끝날지 모를 창과 방패의 싸움은 이미 손 끝에서 시작됐습니다.