집중분석 / 北 사이버테러 현주소

北이 사이버테러 위해 심은 시한폭탄 악성코드 ‘zmb.exe’

가 -가 +sns공유 더보기

고승주 기자
기사입력 2011-08-22 [14:04]

 
[시사코리아=고승주기자] 전투를 통해 캐릭터가 성장하고 아이템과 게임머니를 얻는 온라인 게임. 사용자가 캐릭터를 조종하지 않아도 자동으로 아이템과 캐릭터를 얻을 수 있게 하는 불법 프로그램을 제작·유통시켜 64억원을 챙긴 일당이 경찰의 수사로 적발됐다. 그런데 불법 프로그램을 제작한 사람들은 바로 북한 컴퓨터 전문가이며 훗날 사이버 테러에 이용할 수 있는 악성코드를 넣었다는 사실이 알려지면서 충격을 주고 있다. 그간 농협 전산망 사태 등 굵직한 사건에 북한이 지목된 바는 있지만 실제로 물증이 나온 적은 없다. 처음으로 물증이 나왔다는 점에서 정부와 업계에 사이버테러에 대한 경각심을 불러일으키고 있다.
 
 
▲     © 운영자

 
윈도우 업데이트 가장, 사용자 컴퓨터에 침투
北 디도스에서 진화한 브이디도스 개발中
 
“서버에서 업데이트되는 파일의 소스를 달라고 요구했다. 요청한 사람은 김경철이라고 릉라도 소속 단장급되는 사람이다. 김경철에게 주면 김이철이라는 개발자가 전달받는다.”

서울지방경찰청 국제범죄수사대(산업기술유출수사팀)의 수사과정에서 입을 연 피의자 정 모씨. 그는 불법 오토 프로그램의 제작과 판매하는 총책임자였다.

국내 온라인 게임의 상당수는 게임 내 캐릭터나 아이템, 게임머니를 실제 현금을 주고 구입할 수 있다. 이로 인한 시세와 시장도 형성되어 있으며 게임업체에서 직접 시장을 형성하는 경우도 많다.

오토 프로그램은 이러한 시장질서를 무너뜨린다. 컴퓨터를 켜고 이 프로그램을 실행만 시키면 사용자가 온라인 게임의 캐릭터를 조종하지 않아도 자동으로 캐릭터가 게임 내 몬스터와 전투를 하게 해 아이템과 게임머니, 성장된 캐릭터를 얻을 수 있게 하기 때문이다.

정씨 일당은 이 프로그램을 이용해 한 몫 챙길 심산으로 중국으로 건너갔다. 국내에 비해 단속이 덜하고 외국에 있기 때문에 추적이 쉽지 않다는 등의 이유도 있었지만 가장 중요한 이유는 오토 프로그램을 제작할 컴퓨터 전문가들을 손쉽게 구할 수 있었기 때문이다.

중국 헤이룽장·랴오닝성 등지에 거점을 마련한 정씨와 일당들은 2009년 6~7월경 북한의 전문가들을 소개받았다. 북한의 컴퓨터 전문가들은 단장 김문철을 중심으로 제작자 김혁 정진명 김이철 등 30명으로 구성되었다. 정씨 일당은 중국당국의 의심을 피하기 위해 송림유한회사란 법인을 차린 후 인력초청 형식의 의향서를 북측에 전달하고 한 번에 4~5명씩 수 차례에 걸쳐 전문가들을 제공받았다.
 
고난이도의 패킷정보 해킹
 
중국에 건너온 북한 컴퓨터 전문가들은 정씨 일당이 요구하는 데로 리니지 던젼앤파이터 메이플스토리 등 유명 국산 온라인 게임별로 개발팀을 구성해 오토프로그램을 제작에 착수했다.

하지만 패킷정보가 필요했다. 패킷정보란 사용자와 게임간 상호작용하는 모든 행동 데이터를 말한다. 온라인 게임은 수없는 사람과 함께 게임을 하는 것이기 때문에 게임 사용자가 캐릭터를 움직여 취하는 모든 행동, 전투나 이동과 같은 행동을 다른 사람들에게 보여줄 필요가 있다. 또 이로 인해 변화된 환경을 모든 사용자들에게 실시간으로 전달해주어야 한다. 게임업체는 이 정보를 수집하고 각 개인에게 전달한다.

하지만 오토프로그램을 작동하려면 이 패킷에 끼어들어야 한다. 실시간으로 각 사용자들에 의해 변화하는 게임 내 필드에 맞추어 행동하려면 게임의 작동원리와 상황별 행동패턴을 알아야 하기 때문이다. 하지만 패킷정보에는 게임의 작동원리 등이 포함되어 있기 때문에 최고수준으로 암호화되어 있다. 그렇다면 북한 전문가들은 패킷정보를 어떻게 얻은 것일까.
 
“북한 개발자들은 게임사의 보안프로그램을 무력화시키는 해킹 툴을 가지고 있다. 메신저로 대화를 해보니 ‘게임사의 패킷 정보가 암호화 되어서 이것을 푸는데 시간이 좀 걸린다’고 전했다.”

정씨 일당에 있던 유모씨의 말이다. 정씨는 이에 보충 진술을 했다. “서버(게임 업체측)에서 사용자 컴퓨터에게 정보를 전달할 때(포트가 열릴 때) 서버에 악성코드를 넣어 정보를 빼갔다.”
 
일거수일투족 감시하는 zmb.exe
 
경찰의 관심을 끈 것은 악성코드였다. 국가정보원의 첩보로 인해 북한이 정보전사를 육성하고 있다는 사실은 이미 많은 사람들에게 널리 알려진 사실이다. 그러나 이들이 국내 온라인 환경에 접속해 데이터를 열람하고 수집했다는 것 이외에 실질적인 어떤 테러나 범죄행위를 했다는 물증은 그간 수집된 바 없다.

하지만 경찰이 정씨 일당의 진술을 바탕으로 북한 컴퓨터전문가들과 정씨 일당이 함께 운영하는 서버를 확인한 결과 zmb.exe라는 이름의 악성코드를 확보할 수 있었다. 이 악성코드는 오토 프로그램을 설치한 컴퓨터들을 대상으로 윈도우업데이트를 가장해 침투하고, 감염 컴퓨터를 원격 감시를 있게끔 설계되어 있었다.

국가정보원에서 경찰에 알린 북한 컴퓨터 전문가들의 정체도 놀라웠다. 이들은 조선 릉라도 무역 총회사의 8번째 상사인 릉라도 정보쎈터와 조선콤퓨터쎈터(KCC)에서 파견된 것으로 드러났다. 조선 릉라도무역 총회사는 표면적으로는 무역회사로 가장하고 있지만 실제로는 북한 김정일의 통치 자금을 외부로부터 조성하는 39호실의 산하기관이다.

또 다른 기관인 조선콤퓨터쎈터(KCC)는 북한 내각 직속 산하기업이다. 이 기업은 1990년에 설립된 이후 북한 최고의 IT연구개발 기관으로 알려졌으며 8개의 연구개발센터와 11개의 지역정보센터, 1200여명의 전문가들을 보유한 대규모 국영기업이다.

경찰 관계자는 사건에 대해 “북한의 외화벌이 실상이 드러난 것”이라고 정리하는 한편 디도스 및 사이버테러의 위협에 대해 경고하기도 했다. “북한당국이 고도의 컴퓨터 전문가들을 동원해 해킹 등 다양한 사이버 범죄에 깊이 관여하고 있는 것으로 드러났다. 이번 사건처럼 윈도우 업데이트를 가장해 디도스 등 악성코드를 퍼트릴 수 있다는 것이 입증됨에 따라 국내 업체 및 당국의 주의가 필요하다”고 전했다. 국내 보안 전문가도 북한의 사이버 테러에 대해 대비책을 내놓아야 한다고 말하고 있다.

김현철 한국군사협력 박사는 “북한은 디도스 공격 허점을 보완하고 파괴력을 높이며 진원지 역추적 불가 및 공격코드 분석에 혼란을 초래하기 위해 변형된 브이 디도스 공격을 개발하고 있다”며 “VDDoS 공격은 명령·제어 없이 마스터PC 조종만으로 수십만 대를 일시에 공격할 수 있다”고 지적했다.

한편 정부에서도 발걸음을 빠르게 하고 있다. 방통위는 8월 9일부터 국가 사이버안보 마스터플랜을 발표·시행했다. 사이버위기 발생 시 국가정보원이 ‘콘트롤 타워’의 역할을 하고 총리실 방송통신위원회 국방부 행정안전부 등 15개 부처가 역할을 나눠 대응하는 것을 골자로 삼고 있다. 청와대 관계자는 “마스터플랜이 시행되면 기관별로 분산돼 있던 대응체계가 정비돼 사이버테러에 대한 신속하고 조직적인 대응이 가능해질 것”이라고 말했다. 

 고승주 기자  gandhi55@sisakorea.kr
 
고승주 기자의 다른기사보기

최신기사

URL 복사
x

PC버전 맨위로 갱신

Copyright 시사코리아. All rights reserved.