사법당국, 트위터 IP주소 확인·검거엔 '실패'
"초보수준 해커 아냐... 위치추적 어려울 것" 진단도
  • ▲ ⓒ뉴데일리경제DB.
    ▲ ⓒ뉴데일리경제DB.


    사법당국과 '한수원 해커'와의 숨바꼭질이 시작된 가운데, 관련업계 안팎에서는 초보적인 수준의 해커가 아니어서 잡아내기 쉽지 않을 것이라는 분석이 쏟아지고 있다.

    22일 복수의 보안업계 전문가들에 따르면 지난 15일부터 지금까지 트위터 계정 등으로 원전 도면을 비롯한 한수원 내부 자료들이 연달아 올라오고 있지만, 사법당국은 여전히 해커의 그림자조차 밝혀내지 못하고 있다.

    다만 검찰은 현재까지 드러난 정황을 바탕으로 해커가 좀비PC를 이용해 공격한 것으로 보고 있다.

    하지만 좀비PC를 통해 공격을 감행했다면 해커의 정체를 알내기가 사실상 불가능하다는 게 관련업계의 중론이다. 이유는 간단하다. 좀비PC의 원리를 이해하면 된다.

    해커는 우선 한수원 등에 악성코드를 보내 잠복시킨다. 악성코드는 이메일이나 배너광고 등을 타고 한수원 내부로 몰래 잠입한다. 백신프로그램 속에 숨었다 정상적인 경로로 회사 내 진입하는 것도 가능한 시나리오다.

    그런 다음 해커는 제3자의 노트북을 빼앗아 버린다. 일반인 누구라도 공격 대상이 될 수 있다. 해커는 이 노트북에 원격조정 프로그램을 깔아 통제를 시작한다. 노트북이 바로 좀비PC 역할을 하는 것이다.

    노트북은 주인도 모르게 해커 손에 끌려 한수원 컴퓨터에 미리 숨어있던 악성코드를 깨운다. 이후 함께 공격을 퍼붓는다.

    공격이 마무리되면 해커는 곧바로 노트북과의 원격 기능을 중단하거나 노트북 전원 자체를 아예 꺼버린다. 노트북이 무선(Access Point)으로 연결돼 있다면 '완전 범죄'가 될 수 있다.

    커피숍이나 공공시설에 쓰는 무선망과 연결된 노트북은 사용 종료 시 모든 정보가 사라지기 때문이다. 설령 좀비PC를 잡아냈다고 하라도 해커의 컴퓨터는 찾을 길이 없다.

    실제 정부 합동수사단이 문제의 트위터 계정 아이피(IP) 주소를 분석해 위치가 부산인 것으로 확인하고 수사관을 내려 보냈지만 해커를 검거하는 데는 실패했다.

    관련업계 한 관계자는 "해커를 잡기엔 이미 늦은 감이 있다"며 "이번 사고에 대한 실상을 낱낱이 국민에 알려 우리사회가 풀어야 할 '보안 숙제'가 무엇인지 되짚어봐야 한다"고 주문했다.

    보안전문가 권석철 큐브피아 대표는 "해커의 움직임을 실시간으로 추적할 수 있는 프로그램이 없는 이상 보안문제는 항상 일어날 수밖에 없다"며 "현재의 방어적 보안시스템을 전면 개선하는 작업이 서둘러 이뤄져야 한다"고 강조했다.