北, ‘눈엣가시’ 데일리NK 지속적으로 해킹 시도

북한 해킹 조직이 데일리NK 사이트와 서버에 대한 해킹을 지속적으로 하고 있으며, 특정 기사에 악성코드를 심고 있는 것으로 알려졌다. 김정은을 비롯한 북한 내부 문제에 대한 데일리NK의 보도에 악의를 품고 이를 약화시키기 위한 해킹이라는 지적이 나온다.          


한국인터넷진흥원(KISA)가 11일 본지에 발송한 분석결과에 따르면 지난 4월 22일 발생한 데일리NK 홈페이지 해킹 관련, 공격자 IP(Internet Protocol) 중 ‘북한’이 있는 것으로 확인됐다. 데일리NK 서버(server)에서 웹셸이 발견됐고 해당 웹셸에 접근한 공격자 IP 중 ‘175.45.178.19 (북한)’이 들어가 있었던 것.


웹셸은 웹서버에 명령을 실행해 관리자 권한을 획득하는 방식의 공격방법으로 공격자가 원격에서 대상 웹서버에 웹 스크립트파일을 전송, 관리자 권한을 획득한 후 웹 페이지 소스코드 열람, 악성스크립트 삽입, 서버 내 자료 유출 등의 공격을 하는 것을 말한다.


이에 대해 KISA의 한 관계자는 “데일리NK 서버를 해커가 완전히 장악한 것으로 파악된다”면서 “서버 중 하나는 시스템 권한이 완전히 탈취당한 상황으로 새로 빌드업(Buildup)을 해야 할 것으로 보인다”고 말했다.


공격자 IP에 ‘북한’이 명시된 것에 대해 이 관계자는 “해커가 직접 국가정보를 달고 공격하는 경우도 있지만, 보통 다른 국가로 경유를 하는 게 일반적”이라면서 “공격자 중 ‘북한’이 있다고 하더라도 북한이 공격했다고 단정지을 수는 없다”고 설명했다.   


이는 북한이 그동안 해킹을 할 때 동유럽이나 중국 선양(沈陽) 등지의 IP를 이용했다는 점에서 이번 해킹의 공격자가 북한이라고 단정 짓기 어렵다는 것이다. 하지만 최근 북한이 과거와 달리 대담하게 북한 IP로 공격하는 경우가 있기 때문에, 북한에 의한 해킹일 가능성이 높다는 분석이 나온다.


임채호 카이스트 정보보호대학원 교수는 12일 데일리NK와의 통화에서 “최근에 해킹 사례를 보면 80%가 중국, 나머지 20%가 북한 해커들 소행이다”면서 “북한의 경우 돈벌이로 게임사를 해킹하기도 하지만 대부분 정보 확보 차원에서 해킹을 한다는 점에서 이번 해킹도 북한 소행일 가능성이 높다고 할 수 있다”고 말했다.


이어 임 교수는 “최근 북한은 북한민주화위원회 등 탈북자 관련 사이트에 접근해 관련 정보를 파악하기 위해 노력하고 있다”면서 “데일리NK도 북한 관련 일을 하고 있으니 어떤 인물들이 활동하고 있는지, 접근하는 상대가 누군지에 대한 정보를 캐내려고 했을 것”이라고 분석했다.


공격자 IP 중 북한이 있다는 점에 대해서는 “북한은 최근 발생한 소니사 해킹 사건 관련해서도 발뺌했지만 북한이 저질렀다는 점이 드러났다”면서 “최근 어차피 이렇게 밝혀지니 IP를 바꾸려고 하지 않고 있다”고 전했다.


익명을 요구한 국책연구기관 한 연구위원은 “북한의 해킹 실력은 전 세계적으로 몇 번째 들 정도로 뛰어나다”면서 “김정은을 비롯한 북한 내부 문제를 정확히 짚어내는 한국 매체를 눈엣가시처럼 생각하고 지속적으로 해킹을 시도하고 있는 것”이라고 설명했다. 이어 그는 “특히 데일리NK는 북한 간부들의 부패나 만행, 내부 문제를 많이 보도하는 만큼 해킹 대상 1순위 일 것”이라고 덧붙였다.  
 
한편 지난 4월 22일 악성코드를 갖고 있는 여러 공격자가 데일리NK에 댓글을 다는 방식으로 해킹을 시도하기도 했다. 이는 불특정 다수가 악의적으로 본지 사이트에 악성코드를 심으려는 의도로 접근했다는 것이다.


소셜공유
이상용 기자
sylee@uni-media.net