* 인터뷰를 인용보도할 때는
프로그램명 'CBS라디오 <변상욱의 뉴스쇼>'를
정확히 밝혀주시기 바랍니다. 저작권은 CBS에 있습니다.
======================================================


■ 방송 : FM 98.1 (07:00~09:00)
■ 진행 : 변상욱 앵커
■ 대담 : 고려대 정보보호대학원 이동훈 교수

농협전산망 마비사태, 검찰은 북한소행으로 추정된다고 최종결론을 냈습니다. 근거가 좀 부족하다는 여론이 높은데요. 전문가가 아니면 쉽게 판단하기도 어려운 문제죠. 전문가 한 분 연결해서 궁금한 점 알아보겠습니다. 고려대 정보보호대학원의 이동훈 교수 연결돼 있습니다.

◇ 변상욱> 북한소행으로 추정된다는 검찰발표, 어떻게 들으셨습니까?

◆ 이동훈> 보통 이번 같은 사이버테러 같은 경우에는 형사사건처럼 결정적인 증거를 찾는 것은 사실상 어렵긴 합니다. 그런데 이번 검찰발표의 경우 여러 가지 증거를 제시했지만 좀 미진한 부분이 있었다는 것에는 부분적으로 동의를 합니다.

◇ 변상욱> 북한소행이라는 근거를 검찰이 나름대로 정황근거로 제시를 했는데요. 특히 강조된 게 IP주소가 지난 번 북한으로 추정되는 디도스 공격 때와 같은 것들이 있다는 겁니다. 그런데 IP라고 하는 것이 조작도 가능하고, 서로 바꿔가며 돌려쓸 수도 있죠?

◆ 이동훈> 맞습니다. IP주소라는 것은 컴퓨터를 인터넷에 연결할 때 부여받는 번호가 되는데요. 보통 대형 사이트의 경우 하루에도 외부에서 수만 건의 공격징후들이 잡힙니다. 검찰의 발표는 이 수많은 IP중에 중국발 IP가 있다는 것이고요. 또 이 IP가 3.4, 7.7 디도스 때 사용된 IP와 같은 것이 있다는 겁니다. 그런데 이런 IP가 지난 디도스 공격자가 동일한 IP를 사용해서 공격했는지 사실 밝히기 어려운 점은 있습니다.

예를 들어서 A라는 공격자가 지난 7.7 디도스, 3.4 디도스 때 이 IP를 사용했는데, 이번 공격은 B라는 공격자가 그 IP를 사용할 수도 있다는 그런 소리입니다. 그런데 IP라는 것은 사실 집주소나 마찬가지입니다. 집안에 사람들이 사는데 사람은 저희들 주민번호가 있잖아요. 주민번호는 또 다른 얘기입니다. 집주소는 지역까지 대강 알지만 그 안에 사람이 사는 주민번호는 옮겨 다닐 수 있잖아요.

이번에 또 하나 제시한 것은 컴퓨터 고유번호가 있습니다. 맥어드레스라는 건데요. 맥어드레스는 사실 컴퓨터 고유번호로 우리가 생각하는데, 검찰은 북한이 201개 정도의 맥어드레스를 관리하면서, 그러니까 이 말은 201대의 컴퓨터를 고정간첩처럼 남한에 심어놓고 활용한다, 그중 하나가 이 고정간첩 중의 하나라는 소리입니다. 과연 고정간첩이 맞느냐, 아니면 201개의 맥어드레스 차트를 어떤 경로로 수집했느냐, 이런 부분은 사실 발표가 안 됐고요. 발표하기도 사실 어려운 사항이 있는 것 같습니다.

◇ 변상욱> 어떤 사람은 전 세계 해킹의 50%는 어차피 다 중국을 경유하는데 중국 거쳐서 왔다고 다 그게 북한소행이라고 어떻게 얘기하느냐고 하는데. 이 말도 근거는 있습니까?

◆ 이동훈> 네, 사실 공격들이 보통 자기 집주소를 밝히고 하진 않지 않습니까? 다 남의 집을 통해서 공격을 하는데요. 그것도 맞는 말씀이고요. 그 다음에 IP주소는 사실 공격자들은 대부분 바꿀 수도 있습니다. 그런 측면에서 보면 꼭 중국에서 온 IP라고 다 북한이라고 할 수는 없지만, 자세히 들여다보면 맥어드레스를 언급한 내용 같은 것은 조금 더 신빙성이 있는 발표라고 볼 수도 있습니다.

◇ 변상욱> 맥어드레스는 세탁이 가능한 건 아닙니까?

◆ 이동훈> 사실 바꿀 수 있죠. 윈도우 XP 이상에서 맥어드레스를 바꿀 수 있고, 그 렘카드를 바꾸면 바꿀 수 있는데요. 그런데 사실 이번에 노트북에 있는 맥어드레스는 북한이 관리하는 201개 중에 하나라고 하는 것은 바꿀 수 없는 사실입니다. 만약에 201개가 맞다면. 그리고 실제 노트북을 물리적으로 보니까 그 안에 렘카드 고유번호를 보니까 201개 중의 하나다, 이 말은 그게 사실이라면 맞는 말이지만, 의심을 받는다면 201개의 고정간첩이 진짜 간첩이냐, 신빙성이 있느냐, 이런 문제는 또 다른 문제입니다.

◇ 변상욱> 밝혀내야 될 것들이 사실 아직은 많이 남았군요. 그런데 문제는 내부와 외부의 전산망 자체가 분리시키기로 되어있어서 농협은 분리시켜놨는데 무슨 소리냐고 하는데. 검찰은 농협이 분리시키지 않아 가지고 외부에서 얼마든지 조작해서 쳐들어갈 수 있었다, 이렇게 됩니다. 망분리라고 하는 것은 어떤 의미를 갖습니까?

◆ 이동훈> 망분리는 어떤 회사 안에서 쓰는 컴퓨터끼리 연결된 네트워크가 밖에서는 접근 못 하도록 되어있는 거죠. 보통 안에서 자신의 컴퓨터로 인터넷에 접속하고 이런 경우는 망분리가 아닙니다. 자신의 회사 컴퓨터로는 회사에 있는 컴퓨터끼리만 연결된, 외부와는 단절된 그런 경우죠. 이걸 망분리라고 하는데. 외부망이랑 내부망이랑 연결이 안 되는 거죠. 그런데 농협 같은 경우는 망이 분리되어있다고 그래도 그 노트북 자체는 외부반출입이 자유롭게 된 걸로 알고 있습니다.

◇ 변상욱> 그러니까 가지고 들어가면 그만이네요?

◆ 이동훈> 그래서 밖에서 인터넷을 사용하다가 악성코드가 감염이 된 후에 이 노트북을 갖고 안에 내부망에 접속하면 그 망이 분리가 되어도 아무 소용이 없는 거죠.

◇ 변상욱> 그래도 최고관리자가 가질 수 있는 비밀번호 등 무슨 방식들을 다 익혀서 침입을 했다고 그러면 내부에서 누군가가 동조하지 않으면 아무리 생각해도 좀 어려울 것 같은데, 그게 가능했다니까 참 신기합니다.

◆ 이동훈> 사실 노트북에 만약 감염된다면 그 노트북에서 입력하는 모든 글자를 볼 수는 있습니다. 감염시켜서요. 그래서 최고권한을 갖는 아이디나 패스워드는 그런 방법으로 빼냈을 것 같은데, 문제는 정확하게 공격하기 위한 서버들의 IP어드레스들을 알아야 되거든요. 그런 것들은 상당한 노력이 있어야 될 것 같은데... 그런 부분이 과연 내부사정을 전혀 모르고도, 외부에서만 할 수 있었는지, 그 부분은 이제 좀 더 밝혀져야 될 부분 같기도 합니다.

◇ 변상욱> 북한이 이런 정도의 IT 실력은 있습니까?

◆ 이동훈> 이번에 검찰 결론에 대한 동의여부를 떠나서 사실 북한의 사이버공격 능력은 전문가들 사이엔 상당한 수준에 올라있다고 생각합니다. 사이버공격기술은 북한이 갖고 있다고 알려진 핵과 함께 대표적인 북한의 비대칭 전력이라고, 비대칭 전력이 뭐냐면, 상대가 우위에 있는 전력은 피하고, 상대의 취약점을 공격해 타격을 입힐 수 있는 전력을 말하는데요. 북한 입장에서 경제적으로 부담이 적게 드는 사이버전술능력을 향상시키는 것은 매력적일 수밖에 없습니다.

그래서 북한은 이미 한 20 몇 년 전에 조선콤퓨터센터를 시작으로 미림 자동화대학, 기관 등을 통해서 사이버전 엘리트들을 양성하고 있다고 지금 알려져 있고요. 지금 한 700-1000명 정도의 전문인력이 있는 것으로 알고 있습니다. 실제로 2010년도 국방백서에는 북은 정규전보다는 앞서 말씀드린 비대칭전력에 주력하는 것으로 보고가 되고 있습니다.

◇ 변상욱> 그러면 어디든 뚫릴 수 있는 것 아니냐. 간첩과 마찬가지의 어떤 컴퓨터망에 숨어들어있는 것들이 있다면. 예방조치를 아무리 해도 안 되는 겁니까?

◆ 이동훈> 사실 완벽한 보안은 없습니다. 그런데 이번 농협사태에서 얻을 수 있는 교훈은, 아주 기초적인 것부터 철저해야 된다는 것입니다. 사실 어느 회사든지 내부에서 쓰던 컴퓨터장비를 밖으로 갖고 나가는 것은 여러 가지 회사기밀이나 지금 나타난 최고접근자 패스워드나 이런 것들의 노출 때문에 철저하게 금지되어있습니다. USB접촉도 안 되고요. 이런 아주 기초적인 내부통제, 이런 것들이 이루어지지 않았기 때문에 발생하는 겁니다. 아주 중요한 통제는 자기 자신이 해야 됩니다. 자기 집을 지어놓고선 키를 외부사람한테 맡길 수는 없는 일이지 않습니까.

◇ 변상욱> 네, 오늘 말씀 고맙습니다.