지난달 12일 발생한 토토사이트 사고 팔고의 전산망 마비 사태는 북한이 장기간 치밀하게 준비해온 ‘사이버 테러’라는 사실이 드러났다. 북한은 앞서 2009년 7월 7일과 지난 3월 4일 감행했던 두 차례의 디도스 공격과는 달리 토토사이트 사고 팔고 단 한곳만을 공격 목표로 삼아 7개월 이상 각종 정보를 빼낸 뒤 테러를 자행했다.

서울중앙지검에 따르면 서버운영시스템 삭제 명령이 내려진 서버관리업체 한국IBM 직원의 노트북은 이미 지난해 9월 4일 악성코드에 감염돼 좀비PC가 되었다. S 웹하드 사이트의 업데이트 프로그램으로 위장된 이 악성코드는 이번 테러를 준비ㆍ실행ㆍ은폐하는 등의 기능별 여러 파일로 나뉘어져 삭제 복구된 것만 81개에 달했다.

이후 ‘공격자’는 좀비PC로부터 각종 데이터를 빼내 검토한 뒤 해당 노트북이 은행시스템 관리자가 사용하는 것으로 판단해 이 노트북을 집중적으로 관리해온 것으로 드러났다. 사용자에게 발각되지 않게끔 일명 ‘백도어(backdoor)’라 불리는 해킹프로그램을 설치해 그 안의 각종 자료는 물론 입력되는 모든 내용을 감시했다. 이를 통해 공격대상 IP 정보와 최고관리자 비밀번호도 확인할 수 있었다.

공격은 지난달 12일 오전 8시20분14초 공격명령 파일을 노트북에 설치하고 오후 4시50분10초 인터넷을 이용한 원격제어를 통해 프로그램을 실행하면서 시작됐다. 한 번 공격 명령을 내리면 유기적으로 연결된 프로그램이 순차 공격을 하는 구조로 설계돼 순차적으로 2, 3차 공격이 이뤄졌고 그 사이 587대 서버 가운데 273대가 피해를 입었다.

검찰 관계자는 “공격이 서버의 모든 데이터를 완전히 삭제해 ‘0’으로 만들어버리도록 해 서버의 운행을 즉시 중단해야만 추가 피해를 막을 수 있을 정도였다”고 설명했다.

이 과정에서 북한은 심지어 노트북에 설치된 프로그램을 통해 공격 성공 여부를 원격 모니터링하며 파괴된 서버 수까지 확인하고 오후 5시20분께 공격 프로그램 등 관련 증거를 삭제해 유유히 추적을 따돌렸다.

백웅기 기자/kgungi@heraldm.com