합동대응팀은 21일 농협에 중국 인터넷프로토콜 주소(IP)를 경유한 해커가 이 회사의 업데이트관리서버(PMS)에 접속한 후 악성파일을 생성했음을 확인했다. 하지만 다른 피해회사의 해킹 경로와 최초 공격지점, 공격자 등 사건의 전모는 여전히 밝혀지지 않고 있다.
합동대응팀은 피해기관의 PMS에서 ‘트로이 목마’ 방식의 악성코드가 유포돼 서버와 연결된 PC의 부팅 영역을 감염시킨 것으로 보고 있다. 트로이목마는 정상적인 프로그램으로 위장해 컴퓨터 시스템을 파괴하는 악성 코드다.
그러나 악성코드가 보안회사의 업데이트 서버를 경유한 것인지 일부 백신업체의 주장대로 해커가 지능형지속공격(APT)으로 해당 서버의 관리자 계정을 탈취했는지 등에 대해서는 명확한 결론을 내리지 못했다.
원인 규명이 쉽지 않은 것은 이번 해킹 공격이 기존과는 다른 방식으로 그것도 치밀한 계획을 통해 이뤄졌기 때문인 것으로 보인다.
일시적으로 다량의 트래픽을 유발해 네트워크를 마비시키는 디도스(분산서비스거부·DDoS) 공격의 경우 공격 방식이 알려져 있지만 이번 해킹은 이보다 훨씬 복잡한 과정을 거쳐 이뤄졌다.
합동조사팀은 현재 악성코드가 어떤 역할을 했는지 초동 조사만 마친 상황인 만큼 정확한 경위를 파악하는 데는 1∼2달 가량 시일이 소요될 전망이다.
합동조사팀 관계자는 “해커가 정식 루트를 따라가지 않고 복잡한 경로를 통해 침입한 만큼 침입 흔적을 찾아 경로를 역으로 추적하고 있다”며 “현재는 사고 당한 PC와 서버에서 사용된 샘플을 분석하고 있는 중”이라고 말했다.
그는 “기존 디도스 공격이나 농협 해킹 때도 최종 배후가 누구인지 알아내는 데에는 짧아야 한달, 길게는 몇 달 걸렸다”며 “공격 주체가 어디인지, 공격이 어떤 방식인지, 공격 패턴이 무엇인지 등을 명확히 파악하는 데 꽤 많은 시간이 필요하다”고 예상했다.
실제로 작년 6월 발생한 중앙일보 해킹 사건의 경우 발생 후 반년만인 올해 1월에야 경찰이 북한의 소행이라는 결론을 내린 바 있다.
/디지털미디어부