국정원 "해킹전담 110호 연구소
'남조선 통신망 파괴하라' 6월30일 첫 공격"

국가정보원은 한·미 주요기관에 대한 사이버 테러 공격 경로를 추적하는 과정에서 북한인이 확실한 해커 윤모의 IP를 확인, 이를 근거로 이번 테러가 북한측에 의해 저질러졌다는 심증을 굳힌 것으로 10일 알려졌다.

정부 당국자에 따르면 국정원은 그동안 북한의 해커 조직을 계속 추적해왔으며, 이번 사이버 테러 공격 경로를 파악하는 과정에서도 '눈에 익숙한' 북한인 해커 조직의 IP가 동원됐다는 사실을 알아냈다. 국정원은 이에 앞서 북한이 6월 중순부터 국내 정보분야 연구기관을 들락거리며 디도스(DDoS·분산서비스 거부) 관련 자료를 열람하고 있는 사실을 파악, 계속 감시 중이었던 것으로 전해졌다.

국정원은 이 같은 감시를 통해 북한이 6월 30일 한국기계연구원 광주전산망을 첫 디도스 공격한 것을 확인했으며, 중국 선양에 있는 북한인 해커 조직이 저지른 것으로 파악했다. 정부 당국자는 "국정원은 당시 이용된 악성 프로그램의 '확장자'도 북한 해커들이 종전에 많이 썼던 MLS(*.mls)인 것을 확인했다"고 했다. 그는 "국정원은 오랫동안 북한인으로 추정되는 해커들의 IP 대역을 추적했으며 북한 해커부대의 IP 대역도 파악한 상태"라며 "국정원이 북한 소행을 자신하는 이유는 이런 IP 대역을 근거로 추적할 수 있기 때문"이라고 했다.

당국자에 따르면 국정원은 이번 공격을 북한군 총참모부 정찰국 산하 110호 연구소(평양 소재로 추정)가 주도한 것으로 보고 있다. 110호 연구소는 사이버전(戰)과 해킹을 전담하는 북한군 조직으로 알려져 있다. 당국자는 "국정원이 6월 7일 이 연구소의 전략 문건을 입수했는데, 북한 해커조직에 '남조선 괴뢰 통신망을 순식간에 파괴할 수 있는 프로그램을 개발하라'고 지시하고, '소프트웨어 개발을 통해 연구소 성격을 위장한다'는 내용 등이 있었다"고 했다.

당국자는 또 국정원이 '북측 소행'이라고 판단하는 정황 증거로, "국정원은 6월 16일 국군 기무사가 주최한 '국방정보보호 콘퍼런스'에서 국정원측 참석자가 '한국과 미국이 공조해 사이버 방어망(사이버 스톰)을 구축해야 한다'고 한 뒤 6월 27일 북한 대남기구인 조국평화통일위원회(조평통)가 한·미의 사이버 공조를 강하게 비난한 것을 민감하게 지켜보고 있었다"고 했다. 국정원은 지난달 초 북한 해커부대가 동명정보화대 컴퓨터와 한국정보진흥원에 접속해 모의 공격 연습을 실시한 사실을 알아냈으며, 중국 선양과 베이징에 있는 북한 보위부 직원이 운영하는 위장 업체를 통한 것으로 추정하고 있다고 이 당국자는 덧붙였다.

국정원은 이 같은 사실을 이날 국회에서 한나라당 지도부와 가진 비공개 간담회에서도 보고한 것으로 알려졌다.

한편 국정원은 이날 국회 정보위원회 간담회에서는 이번 디도스 공격에 대해 "한국과 중국, 일본, 미국, 과테말라 등 19개국의 92개 IP를 통해 사이버 테러가 감행된 것으로 파악한다"고 밝혔다. 또 19개국에 북한은 포함돼 있지 않지만 "북한 또는 북한 추종세력이 감행한 것으로 추정한다"고 밝혔다. 정보 관계자는 "북한 해커조직은 중국 등 제3국에서 활동하기 때문에 북한 IP가 없는 것은 당연한 것 아니냐"고 했다.

 

2010년 10월 27일자로 KLDP에서 쓴 글을 보자 ... http://kldp.org/node/118933

____________________________________________________________________________________________

북한도 외부에서 접속가능한 공인 ip 로 웹사이트를 운영하는군요

글쓴이: nonots 작성 일시: 수, 2010/10/27 - 10:29오전 

북한도 외부에서 접속가능한 공인 ip 로 웹사이트를 운영하는군요
..
http://175.45.179.68/
..
뭔 자신감인지..
근데 웹서버는 윈도서버?? 붉은별이 아닌듯..
..

[root@home ~]# whois 175.45.179.68
[Querying whois.arin.net]
[Redirected to whois.apnic.net]
[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 175.45.176.0 - 175.45.179.255
netname: STAR-KP
descr: Ryugyong-dong (류경동)
descr: Potong-gang District (보통강구역)
country: KP
admin-c: SJVC1-AP
tech-c: SJVC1-AP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-STAR-KP
mnt-routes: MAINT-STAR-KP
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20091221
source: APNIC

role: STAR JOINT VENTURE CO LTD - network administrat
address: Ryugyong-dong Potong-gang District
country: KP
phone: +66 81 208 7602
fax-no: +66 2 240 3180
e-mail: sahayod@loxley.co.th
admin-c: SJVC1-AP
tech-c: SJVC1-AP
nic-hdl: SJVC1-AP
mnt-by: MAINT-STAR-KP
changed: hm-changed@apnic.net 20091214
source: APNIC


1. IP 주소와 도매인

이 당시 북한은 kp라는 도매인을 받았고, IP Address를 175.45.176.0 - 175.45.179.255까지 확보했다. C 클래스

176 (256개), 177 (256개), 178 (256개), 179 (256개) 모두 1024개의 IP 주소를 할당받았다. 물론 그중 Name Server와 기타 이것 저것을 쓰고 나면, 실제로 쓸 수 있는 것은 약 1,000개 정도된다. 

175.45.176.0 - 255 (256개의 IP)

175.45.177.0 - 255 (256개의 IP)

* 175.45.178.0 - 255 (256개의 IP)

* 175.45.179.0 - 255 (256개의 IP)

----------------------------------

256 + 256 + 256 + 256 = 전체 1024개


보통 IP 주소의 0-10까지는 Gateway나 DNS에 할당이 된다. 따라서 1024개 중 40개 정도는 시스템에 할당되기 때문에 최대 사용할 수 있는 것은 1000개 정도다. 결국 북한은 Dynamic IP Address 조차도 제대로 쓸 수 없는 거대한 인트라넷 망이라고 볼 수 있다. 어쨌던 내부에서 쓰는 데는 지장이 없으니 말이다. 


이것은 아래의 정보를 통해 2007년 9월 4일부터 가능했음을 알 수 있다. 


노드의 관리(STAR-KP)는 보통강구역 류경동임을 알 수 있다. 관리를 맡은 회사는 스타 조인트 벤처로 스타 합작 벤처라는 곳이다. 그런데, 전화 번호와 연락처는 태국으로 되어 있다. 


2. 관리 주체

그런데 2011년 5월 2일 이 정보가 갱신되어 다음과 같이 바뀌었다. http://www.iana.org/cgi-bin/whois?q=.kp

name:         President
organisation: Star Joint Venture Company
address:      Potonggang2-dong, Potonggang District
address:      Pyongyang
address:      Democratic People's Republic of Korea
phone:        +8502 381 3180
fax-no:       +8502 381 4418
e-mail:       mptird@star-co.net.kp

contact:      technical
name:         President
organisation: Star Joint Venture Company
address:      Potonggang2-dong, Potonggang District (보통강구역 보통강2동)
address:      Pyongyang
address:      Democratic People's Republic of Korea
phone:        +8502 381 3180
fax-no:       +8502 381 4418
e-mail:       mptird@star-co.net.kp

nserver:      NS1.KPTC.KP 175.45.176.15
nserver:      NS2.KPTC.KP 175.45.176.16

remarks:      Registration information: http://www.star.co.kp

created:      2007-09-24
changed:      2011-05-02
source:       IANA


2011년 5월 2일자로 주소가 보통강구역 보통강 2동으로 변경되었으며, 전화번호도, 관리자도 모두 북한 것으로 바뀌었다. 


3. 북한의 해킹?

일단 해킹의 기본은 최대한 흔적을 지우는 것이다. 그래서 여러 곳을 필수적으로 경유하게 된다. 그럼에도 불구하고, 해킹의 흔적을 발견했을 때는 대부분 잡을 수가 있다. 실력이 높은 해커는 당연히 경유지의 log 파일조차도 삭제를 하는데, 사실상 이것은 불가능에 가깝다. 논리적으로 삭제를 하더라도 overwrite가 심하게 되지 않았을 경우 되살릴 수도 있기 때문이다. 물론 하드디스크까지 망가뜨린다면, 가능도 하다. 


아무리 어설픈 해커라도 국가급 기관을 공격하는 이상 북한에서 직접 들어오거나, 북한 명의로 된 중국의 IP를 빌리지는 않을 것이다. 이것이 보안전문가들이 북한의 소행임을 단정할 수 없는 이유다. 내가 중국이나 일본의 해커라면 일부러 그런 상황을 만들도록 유도할 수도 있기 때문이다. 

---------------------------------------

.그 뭐더라 평양 무슨 대남작전 어쩌고 저쩌고 하던것 같디만