블로그 이미지
그레고리잠자
디지털 허리케인(Digital hurricane)을 방문해 주셔서 감사합니다. 강진규 기자의 블로그입니다. 디지털 허리케인은 북한 IT 뉴스를 제공합니다. 2007년 11월~2015년 9월 디지털타임스 기자, 2016년 6월~현재 머니투데이방송 테크M 기자, 인하대 컴퓨터공학부 졸업, 동국대 북한학과 석사과정 재학 중

calendar

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            

Notice

2014.12.29 00:35 칼럼과 취재수첩

 

(2014-12-29) <칼럼> 강진규의 북쪽이야기 '북한 사이버보복 대비해야'

 

 

해킹으로 국내외가 어수선하다. 김정은을 암살하는 내용의 영화 '더 인터뷰' 개봉에 반대하는 세력이 소니픽처스를 해킹했다. 또 한국에서는 원전 관련 자료가 해킹을 당해 비상이 걸렸다. 북한에서는 최근 인터넷이 마비되는 상황이 발생했는데 사이버 공격에 따른 것으로 보인다.

 

한국, 미국, 북한의 해킹 공격은 각기 다르면서도 복잡하게 연결돼 있다.  미국 FBI와 백악관은 소니픽처스 해킹의 배후로 북한을 지목하고 비례적 대응을 천명했다. 이후 북한 인터넷이 마비되는 상황이 발생했고 북한은 미국이 사이버공격을 하고 있다고 주장했다. 한국 원전 해킹 사건 수사과정에서도 아직 명확하지는 않지만 북한의 소행이 아니냐는 주장이 나오고 있다. 이에 대해 북한은 부인하고 있다.

 

세 나라의 사이버공격 실체는 아직 드러나지 않고 있다. 하지만 문제는 긴장감이 점차 고조되고 있다는 것이다.

 

이런 상황에서 북한은 12월 28일 로동신문을 통해 북한 소행설에 대한 보복을 경고했다. 

 

북한 로동신문은 한국 외교부 대변인이 미국 정부가 소픽처에 대한 해킹사건을 북소행이라고 발표한 것을 주목한다고 했으며 지난해 3월 한국 금융기관에 대한 사이버공격과 유사한 수법이라며 모략 여론에 적극 동조해나섰다고 비난했다.

 

또 한국 법무부 장관이 국회에서 원자력발전소 정보유출사건이 북의 소행일 가능성을 배제하지 않는다고 했으며 합동수사단도 침입자가 북에서 많이 쓰는 표현을 사용했다고 하면서 그것을 근거로 북소행설을 정당화하고 있다고 주장했다. 북한은 남한이 운운하는 북소행이란 것은 터무니없는 날조설이라며 대결소동을 합리화하고 북한을 헐뜯기 위해 꾸며낸 또 하나의 모략에 지나지 않는다고 비난했다.

 

문제는 북한이 비난만 한 것이 아니라 이를 빌미로 보복을 경고했다는 점이다. 로동신문은 사이버공격까지 모략에 악용하며 도발을 걸어오고 있는 것을 절대로 묵과할 수 없다며 천하의 못된 짓은 하늘이 알고 천벌을 내린다고 주장했다.

 

북한은 아무런 근거도 없이 비방중상하며 모략소동에 광분하는데 대해 초강경 대응전으로 무자비하게 짓뭉개버릴 것이라는 단호한 입장을 천명했다며 책임있는 자들과 그 본거지들에 대한 보복공격은 북한의 당연한 권리라고 협박했다.

 

북한이 최근 미국, 한국에 대한 해킹을 했는지는 알 수 없지만 자신들의 소행으로 몰고가는 것이 억울하다며 보복공격을 할 수 있다고 엄포를 한 것은 분명하다.

 

더구나 북한에 대한 사이버공격이 심화되면서 사이버공격이 확대될 수 있다는 우려도 나오고 있다. 중국 소식통에 따르면 최근 사이버공격으로 북한 인터넷뿐 아니라 3G 이동통신망에도 장애가 발생하고 있는 것으로 알려졌다. 통신망에 대한 공격은 인터넷망 마비와는 차원이 다른 혼란을 초래할 수 있다.

인터넷망에 이어 통신망 마비 사태를 당하면서 독이 오른 북한이 사이버보복에 나설 가능성이 있다. 비례적 대응 원칙에 따라 북한이 미국과 한국의 통신망, 인터넷망은 물론 인프라에 대한 공격을 할 수도 있다.

  

상황이 이렇다보니 당장 중요한 것은 사이버보복에 대비하는 것이라고 생각한다. 만에 하나라도 한국의 금융이나 통신 분야에서 마비가 온다면 연말 한국 사회는 큰 혼란에 빠질 수 있다. 단 1% 가능성도 현실화하지 않도록 한국 내 전반적인 사이버보안 경계를 높여야 할 것이다.

 

또 더 이상 사이버전이 확대되지 않도록 미국, 중국 등과 국제 공조를 통해 이번 사안을 풀어가는 방법도 필요하다.

 

그동안 한국 정부는 각종 해킹의 배후로 북한을 지목해 왔다. 그런데 이번에는 북한이 드러내놓고 보복을 경고했다. 만약 공격을 하겠다고 했는데도 못막는다면 한국 정부에 대한 국민들의 신뢰는 회복하기 어려울 정도로 추락할 것이다. 그런일이 발생하지 않기를 바랄 뿐이다.

 

강진규 기자 wingofwolf@gmail.com

 

  

저작자 표시 비영리 동일 조건 변경 허락
신고
posted by 강진규 그레고리잠자
2014.12.29 00:00 북한 기사/북한IT

 

(2014-12-29) 통합경영정보시스템 도입을 위해 북한이 제안하는 업무재설계

 

 

최근 북한에서는 정보화 사업이 각광을 받고 있다고 합니다. 정보화를 실현해 산업의 경쟁력을 높이겠다는 것입니다.

 

최근 북한은 통합경영정보시스템에 대한 연구를 통해 기업, 공장에서 업무공정개선 방향을 제시했다고 합니다.

 

 

<사진1>

 

사진1은 김일성종합대학이 진행한 '통합경영정보체계 도입을 위한 업무공정 개선문제' 연구 과제 결과입니다.

 

북한은 현대정보 과학기술분야에서 이룩된 성과들을 경영활동에 적극 이용하는 것이 기업 관리일군들이 지식경제시대의 요구에 맞게 일하게 하는데서 중요하면서도 선차적인 문제가 되고 있다고 소개했습니다.

 

북한은 인민경제 여러 부문 공장, 기업소들의 구체적인 경영활동실천에 맞게 이미 개발된 북한식의 통합경영정보체계를 적극 도입하는 것이 경영활동의 정보화실현에서 기본문제의 하나로 제기되고 있다고 주장했습니다.

 

통합경영정보시스템은 기업자원계획화라는 개념의 본질적 특성에 대한 표현으로서 경영활동에 이용되는 모든 인적, 물적, 정보적자원을 유기적 연관속에서 통합관리해 그 이용 효과를 최대한으로 높이기 위한 새로운 형태의 정보체계라고 설명했습니다.

 

북한은 통합경영정보체계의 도입에서 선차적인 문제가 기업소의 현행업무처리 공정을 통합경영정보체계의 요구에 맞게 근본적으로 개선하는 것이라고 지적했습니다.

북한은 기업의 모든 업무공정의 현재 상태를 분석하고 업무공정를 재설계함으로써 업무처리의 효율성과 업무통합성을 종합적으로 개선해야한다고 주장했습니다. 특히 조직이나 부서단위로 업무를 분석할 것이 아니라 부서나
단위의 범위를 벗어나 공정이라는 관점에서 업무를 분석해보고 업무공정을 이해해 현재의 업무흐름이 합리적인가를 판단할 필요가 있다고 설명했습니다.

 

업무공정재설계의 특징은 첫째로 변화되여야 할 내용이 사람중심에서 공정중심으로 옮겨진다는 것이며 둘째로, 분업화 된 개별부서의 업무효과로부터 기업전체의 효과로 중심이 변화된다는 것이고 셋째로, 문제의 대상이 담당부서가 아니라 업무처리 공정이라는 것이라고 주장했습니다.

 

북한은 업무공정재설계 추진 사례를 보면 약 4분의 1정도가 실패했는데 공정혁신과 정보기술의 효과적인 결합이 부족해 실패하는 경우가 많았다고 주장했습니다.

 

이에 북한은 통합경영정보시스템 도입을 위한 업무공정재설계 방안을 제시했습니다.

업무공정재설계의 주요절차는 목표수립,개선공정선정, 업무공정재설계에 대한 인식, 구체적인 추진일정계획작성, 실현집단조직, 교육실시, 공정개선대상선정, 공정개선목표설정, 공정개선안작성, 업무공정재설계에 의한 효과평가, 업무공정재설계의 실행계획으로 구성 된다고 합니다.

 

다음은 북한이 주장한 10가지 방안입니다.


① 업무공정재설계의 목표를 설정한다.
통합경영정보체계 활용수준 제고를 위한 업무공정재설계 그 자체를 실제적인 업무공정재설계활동의 목표로 정할수 있다. 업무분야별 공정합리화가 아니라 전기업소적 범위에서의 관리효과를 위한 경영개선활동인 업무공정재설계에서는 경영전략에 맞춰 기업소의 총적목표를 세우고 목표를 달성하기 위해 현행공정을 분석한 다음 문제가 되는 개선공정을 선정하고 그것을 효과적으로 재설계해 업무처리 시간단축과 업무처리의 연속성을 실현해야 한다.


② 업무공정재설계에 대한 인식을 바로 세워주어야 한다.
일부 현장일군들은 통합경영정보체계에자료를 입력하는 것을 종전의 방식에 비해 부담으로 된다고 인식할수도 있다. 그러므로 이전 업무방식에 대한 유지를 주장하는 견해를 바로 잡아주는 것이 업무공정재설계를 실현하기 위한 가장 중요한 과제로 된다. 이 문제를 해결하자면 새로운 업무방식을 받아들일 필요성을 체계 이용자들에게 인식시켜 업무공정재설계 작업을 현재의 업무처리공정에서 제기되는 문제점들을 풀기 위한 문제로 받아들이도록해야 한다.

 

③ 구체적인 추진일정계획을 작성한다.
업무공정개선과제를 세분해 날자별일정계획을 작성해야 한다. 여기에 들어가는 지표들을 보면 업무공정개선 계획단계에서 개선과제정의, 실현집단구성 등이며 경영정전략수립단계에서 기업소내외부요구분석, 경영환경분석, 경영전략파악 등이며 공정개선대상선정단계에서 경영전략선택, 기본업무공정파악, 문제점분석 등이며공정개선방안적용단계에서 공정평가기준,공정개선추진, 개선결과평가 등이다.


④ 업무공정재설계의 실현집단을 조직한다.
업무공정재설계를 위한 집단구성은 통합경영정보체계개발을 담당했던 성원을 주축으로 구성할 수 있다. 업무공정재설계활동을 시작하기 전에 담당자에게 업무공정 재설계 활동의 필요성과 업무공정재설계 활동을 통해 통합경영정보체계도입을 위한 기업소의 역량이 강화된다는 것을 인식시켜야 한다.


⑤ 교육을 실시한다.
업무공정재설계활동에 대한 교육을 직급별로 전체 종업원들을 대상으로 실시해 기업소적인 지지를 받아야 한다. 기업소책임일군들에게는 업무공정재설계활동에 대한 협력이 성공의 가장 큰 요인라는 것을 인식시켜야 하며 기능중심의 경영방식으로 해 업무공정에서 나타나는 책임한계의 불명확성, 제한된 결심채택, 전통적인 업무공정에 의한 업무처리 속도지연, 업무처리의 유연성 부족과 불연속성과 같은 문제점들이 발생한다는 것을 설명하고 업무중심의 관리구조에서 공정중심의 관리구조에로의 변화 방향을 제시해야 한다.


⑥ 공정개선대상을 선정한다.
공정개선대상을 선정하기 위해서는 먼저 제기된 개선사항들을 정리하며 기능 중심에서 공정중심으로 생각을 바꾼데 기초해 업무흐름도를 작성하고 분석해 문제가 있는 공정을 선정해야 한다. 선정된 대상공정중에서 개선효과가 크고 경영목표에 대한 기여정도와 수요가 큰 공정을 선정한다. 개선대상공정을 선정하는 작업은 현재 진행되고 있는 업무에서 문제점이 있는 경우에만 한다.

 

⑦ 공정개선목표를 설정한다.
공정개선목표는 공정개선대상에 대해 최상의 공정이 되기 위한 구체적인 기준, 측정 가능한 지표, 달성가능한 수준, 현실적인 실현수단, 기한조건 등을 가지도록 설정한다.

 

⑧ 공정개선안을 작성하여야 한다.
공정개선안은 공정기술지도서에 문제점을 정리하고 장애발생요인에 대한 분석을 진행한 후에 해당 문제를 개선하면 어떤 목표를 달성하는 가를 밝히고 그것을 필요한 관련부서에 통지해야 한다. 공정개선안은 집행에 편리하게 작성하고 그것을 통해 효과를 나타내게 하는데 중심을 둬야 한다.


⑨ 업무공정재설계에 의한 효과를 평가한다.
첫째로, 업무중심이 공정중심으로 변화되면서 업무중심으로 인하여 발생하던 부서간 업무단절이 없어지고 업무의 련속성과 신속성이 제고되였다. 둘째로, 업무공정재설계활동이후 부서별업무정의가 재정립되면서 이전에는 없었던 체계의 기능모듈들이 확대 가동되게 된다. 셋째로, 업무공정재설계활동의 결과 새로운 수법을 받아들여 업무공정을 개선하려는 열의가 높아지고 기업환경변화에 대응하는 변화관리 능력이 제고된다.


⑩ 업무공정재설계를 실행한다.
여기서는 기업전략 및 공정모형을 실행하고 업무공정개선과 정보기술응용을 통해 경영활동을 개선해나가야 한다. 또한 업무공정재설계를 이용해 부분적인 수정이 필요한 부분, 단기개선이 가능한 부분, 전반적인 재설계작업이 필요한 부분으로 공정령역을 분류한 다음 작업계획을수립하고 개발에 착수해야 한다.

 

 

이를 통해 2가지를 확인할 수 있습니다. 우선 북한이 통합경영정보시스템을 자체 개발했다는 것입니다. 또 이를 기업, 공장에 적용하기 위한 북한이 노력하고 있다는 점도 엿볼 수 있습니다. 단순히 시스템을 도입하는 것 뿐 아니라 도입을 위한 업무재설계까지 요구하고 있는 것입니다.

 


강진규 기자 wingofwolf@gmail.com

 

 

저작자 표시 비영리 동일 조건 변경 허락
신고
posted by 강진규 그레고리잠자
2014.12.25 17:53 북한 기사/북한 과학

 

(2014-12-25) 북한 차세대 소형 원자로 연구자료 입수...러 핵잠수함 적용 기술

 

 

북한이 차세대 소형 원자로 기술을 연구하고 있는 것으로 확인됐습니다. 이 기술은 러시아가 핵잠수함에 적용한 것으로 북한이 어떤 목적으로 이런 연구를 하고 있는지 확인이 필요할 것으로 보입니다.

 

본 기자는 북한 과학자들이 연구한 '소형원자로의 합리적인 랭매선택과 구조물질들의 상태방정식에 대한 연구' 논문을 입수했습니다.

 

 

<사진1> 연구논문 모습

 

북한 과학자들은 원자로의 냉매가 원자로의 목적과 사명, 형태에 따라 여러가지로 선택되는데 소형원자로의 냉매로 어떤 물질이 이되는지 밝혀졌지만 그것이 왜 합리적인지는 아직 밝혀지지 않았다고 주장했습니다.

 

과학자들은 소형원자로에 합리적인 냉매를 선택하고 그것의 물리화학적 및 열력학적특성들을 고찰했으며 임의의 물질들에 대한 상태방정식을 생성하는 코드를 작성하고 소형원자로 구조 물질들의 상태방정식을 얻어냈다고 주장했습니다.


북한 과학자들은 원자로의 소형화를 실현하기 위해서는 액체금속을 냉매로 이용해야 한다며 액체금속으로는 세가지 물질이 주목 된다고 설명했습니다.

북한이 설명한 액체금속 물질은 나트륨(Na), 납(Pb), 납-비스무스(Pb-Bi)입니다.

 

이런 내용을 보면 원자로를 잘 모르는 분들은 무슨 소리인가 생각할 것입니다.

현재 세계 각국은 환경 오염이 적고 효율성이 높은 제 4세대 원자로를 개발하고 있습니다. 현재 널리 쓰이고 있는 것이 2세대 원자로, 상용화되고 있는 것이 3세대 원자로입니다.

 

지난 2004년 제4세대 원자력 시스템 국제포럼(GIF)은 4세대 원자로로 가스냉각원자로(GFR), 납냉각원자로(LFR), 소듐냉각 원자로(SFR), 응용염로 원자로(MSR), 초고온가스원자로(VHTR), 초임계수냉각원자로(SCWR)등 6개를 선정한 바 있습니다.

 

나트륨(Na), 납(Pb), 납-비스무스(Pb-Bi) 냉매는 4세대 원자로 중 일부에 적용되기 위해 연구되고 있습니다.

특히 나트륨(Na), 납(Pb), 납-비스무스(Pb-Bi) 냉매는 북한이 말한 바와 같이 소형 원자로에 개발쓰이고 있습니다.

 

 

<사진2>

 

 

<사진3>

 

사진2, 3을 보면 북한이 단순한 설명이 아니라 실제로 소형 원자로 냉매에 대해 연구하고 있다는 것을 알 수 있습니다.

 

<사진4>

 

북한은 사진4에서 처럼 결론을 내고 있습니다.

북한 과학자들은 소형원자로의 냉매로서 소형화와 운반의 간단화에 편리한 PbBi를 선택하는 것이 편리하다는 것을 다른 액체금속냉매의 물리화학적 및 열수력학적성질들과의 비교속에서 그리고 소형원자로의 목적과 사명의 견지에서 논증했다고 밝혔습니다.

또 소형원자로의 열수력학적과정에 대한 모의에서 제기되는 구조물질들의 상태방정식을 얻기 위한 상태방정식생성코드를 작성하고 그 결과를 밝혔다고 설명했습니다.

 

즉 소형 원자로 개발을 위해 납-비스무스(Pb-Bi) 냉각 방식을 적용해야 한다고 결론을 내렸으며 그렇게 하기 위한 연구 데이터도 축적했다는 것입니다. 이는 북한이 소형 원자로 개발을 추진하고 있다고 볼 수 있습니다. 북한 당국에 의지에 따라 움직이는 과학자들이 단순히 연구목적으로 이런 연구를 하지는 않을 것입니다. 실제로 소형 원자로를 개발하기 위한 선행 연구로 볼 수 있습니다.

 

한국에서도 서울대가 납-비스무스(Pb-Bi) 냉매 원자로에 대한 연구를 벨기에 과학자들과 진행하는 것으로 알려져 있습니다. 북한이 단순히 연구목적으로 또는 연구용 소형 원자로를 위해 이런 연구를 할 수도 잇습니다.

 

하지만 납-비스무스(Pb-Bi) 냉매를 적용한 소형 원자로 연구, 개발은 민감한 사안입니다. 납-비스무스(Pb-Bi) 냉매를 적용한 원자로는 나트륨 냉매에 비해 화재 위험이 적기 때문에 러시아가 핵잠수함 소형 원자로에 적용했다고 합니다.

 

북한이 연구를 진척시켜 납-비스무스(Pb-Bi) 냉각 소형 원자로를 개발하게 되면 이는 핵잠수함 건조를 위한 핵심 기술을 보유하게 된 것으로 해석될 수 있습니다.

북한군은 전통적으로 잠수함 전력을 강화하는데 총력을 기울이고 있습니다. 최근에는 잠수함에서 미사일을 발사하는 기술을 개발하고 있는 것으로 알려졌습니다. 여기에 핵잠수함 소형 원자로 기술까지 보유하게 된다면 북한은 미사일 발사가 가능한 핵잠수함을 건조할 수 있게 됩니다.

 

북한이 핵잠수함을 개발하면 동해, 서해 바다에서 갑자기 미사일을 발사할 수 있어 사전에 이를 탐지하는 것이 어려워질 것입니다.

 

국방부, 국가정보원 등에서는 북한의 이런 연구, 개발 현황을 면밀히 파악해야 할 것입니다.

 

강진규 기자 wingofwolf@gmail.com

 

 

 

저작자 표시 비영리 동일 조건 변경 허락
신고
posted by 강진규 그레고리잠자
2014.12.25 17:02 북한 기사/북한 일반

 

(2014-12-25) 북한 산림 복원 위한 'DMZ 미래준비의 숲' 사업 추진

 

북한의 황폐한 산림복원을 위한 DMZ 미래준비의 숲 사업이 추진됩니다.

 

북부지방산림청, 생명의 숲 국민운동, 유한킴벌리는 지난 22일 DMZ 미래준비의 숲 사업 추진을 위한 협약을 체결했다고 합니다.

 

<사진1>

 

협약 내용은 사진1과 같습니다.

 

우선 북부청, 생명의 숲, 유한킴벌리는 북한지역의 황폐한 산림과 DMZ 주변 황폐지 복원을 위한 묘목 공급용 양묘장 운영 및 지속가능한 숲 관리 지원사업을 공동으로 추진하고 이를 위해 상호 협력하기로 했습니다.

 

이를 위해 함께 양묘장 시설, 묘목생산, 수종선정, 양묘기술 및 숲관리 기술 등을 개발하고 북한 및 DMZ 일원 황폐산림 복원용 묘목생산, 조림, 숲가꾸기 지원 활동을 합니다. 또 대북지원을 위한 민관 산림협력 준비위원회(가칭)도 운영합니다.

 

협약의 기간은 2014년 12월 22일부터 2017년 12월 21일까지 2년으로 하고 준비위원회를 운영하고 공동산림사업으로 발전되는 시기까지 필요시 상호협의 하에 협약기간을 조정하기로 했습니다.

 

북한에 산림이 황폐화돼 있다는 것은 널리 알려져 있습니다. 이로 인해 홍수, 산사태 등 자연재해도 잇따르고 있다고 합니다. 이런 문제는 통일 후 한민족 모두의 부담으로 작용할 수 있습니다. 산림을 녹지화하는 작은 노력이 결실을 맺을 수 있기를 기대해 봅니다.

 

강진규 기자 wingofwolf@gmail.com

 

 

 

 

저작자 표시 비영리 동일 조건 변경 허락
신고
posted by 강진규 그레고리잠자
2014.12.22 00:17 북한 기사/북한IT

 

(2014-12-22) 북한 웹취약점 확인도구 이용...사이트에는 공격대비 함정 구축

 

 

북한이 상용 웹 취약점 스캐너인 acunetix를 사용하고 있는 것으로 보입니다. 또 북한은 캐나다 대학, IBM 등의 연구 자료를 바탕으로 보안에 대한 기술을 습득하고 있는 것으로 나타났습니다.

 

북한은 웹 취약점 공격을 막기 위해 취약점을 확인하려고 할 경우 상대방을 인터넷주소(IP)를 확인할 수 있는 '함정'까지 만들어 놓은 것으로 알려졌습니다. 

 

본 기자는 북한의 IT 보안 실태를 확인할 수 있는 자료를 입수했습니다. 이 자료는 2014년 9월 발행된 김일성종합대학학보입니다. 여기는 IT보안을 비롯한 북한 IT와 이공계 분야 연구 자료를 수록하고 있습니다.

 

 

<사진1>

 

김일성종합대학학보 '웨브봉사기에 대한 자동화된 요청을 차단하기 위한 한 가지 방법'이라는 연구 자료가 수록됐습니다. 웹 서버 보안을 위한 연구 결과를 소개한 것입니다.

 

김일성종합대학 연구원들은 이번 연구가 김정일의 뜻을 받들기 위해 마련됐다고 주장했습니다.

 

학보는 "정보산업의 시대인 오늘날 해킹에 의한 파괴 및 공격행위는 급격히 늘어나고 있으며 모든 기업 활동이 인터넷망을 통해 진행되고 있어 그로 인한 피해는 치명적이다"라며 "이 문에서는 사이트에 설치된 함정과 modsecurity를 이용해 해커들이 공격에 앞서 웹 서버에 대한 취약점 조사로 이용하는 도구들의 기능을 막기 위한 한가지 방법에 대하여 고찰했다"고 소개했습니다.

 

북한은 대표적인 웹 공격으로 SQL Injection, Directory Traversal, Cross Site Scripting(XSS), Cross Site Request Forgery(CSRF), Distributed Denial of Service(DDoS) 등을 소개했습니다. 북한은 웹 응용프로그램의 취약점을 이용해 진행하는 공격을 막기 위해서는 modsecurity와 같은 웹응용프로그램방화벽(Web Application Firewall: WAF)을 반드시 설치해야 한다고 지적했습니다.

 

북한은 acunetix와 같은 도구들이 자동화된 웹 응용프로그램 취약점 검사도구들로서 전체 웹사이트를 훑으면서 자동적으로 웹을 목표로 한 공개된 공격들을 진행하는 방식으로 보안함들을 찾아준다고 밝혔습니다. 하지만 이런 도구들을 사이트 관리자가 아닌 공격자가 이용하는 것은 허용되지 말아야 한다고 지적했습니다.

 

북한은 웹서버를 목표로 공격하는 해커들이 먼저 해당 서버의 취약점을 찾아내기 위해 acunetix와 같은 취약점 검사도구로 해당 사이트를 조사하고 찾아낸 취약점에 맞는 공격도구를 이용해 서버를 공격해 자료를 절취하거나 서버를 마비한다고 설명했습니다. 또 북한은 웹의 내용을 다운로드 하는 webzip도구도 이와 같은 방식으로 봉사기에 자동적으로 요청을 보내고 그 결과로 받는 응답자료를 이용할 수 있다고 경고했습니다.

 

이 내용으로 알 수 있는 것은 북한 IT개발자들이 acunetix 등 취약점 점검 도구를 알고 있다는 것입니다. 또 취약점을 확인해 취약점에 맞는 공격도구를 활용한다는 전략까지 이야기하고 있습니다.

 

물론 이 논문은 보안을 위해 작성됐지만 거꾸로 보면 북한이 공격자의 입장에서 보안을 챙기고 있다는 것을 알 수 있습니다. 즉 북한의 공격방식이 취약점 도구를 이용한다는 것입니다.

 

 

<사진2> 북한이 소개한 취약점 검사도구의 동작과정

 

김일성종합대학 연구원들은 취약점 점검도구로 부터 방어하기 위한 방안을 소개했습니다.

 

북한은 취약점 도구들에 치명적인 결함이 있다며 도구들이 요청할 웹페이지들을 결정할 때 HTML코드만을 분석하며 HTML코드에 포함되지 않는 CSS(Cascading Style Sheet)의 내용은 분석하지 않는다는 것이라고 주장했습니다.

 

북한은 이런 결함을 이용해 북한 홈페이지에 함정을 만들 수 있으며 오히려 격자의 IP주소를 확인할 수 있도록 했다고 설명했습니다. 연구원들은 자신들이 개발한 함정 페이지들을 웹사이트의 여러 페이지들에 설치하고 시험해본 결과 acunetix, webzip와 같은 도구들이 웹사이트에 대한 조사를 진행하지 못했다고 소개했습니다.

 

 

 

<사진3> 북한이 소개한 취약점 도구 대응방안

 

김일성종합대학은 이 연구를 올해 5월까지 마무리하고 9월 발표를 했다고 합니다. 현 시점이 12월인 것을 감안하면 북한은 이미 함정을 주요 사이트에 구축해 놨을 것입니다.  

 

그런데 북한의 연구에서 흥미로운 점이 있습니다. 북한은 이 연구를 외국 자료를 참고했다고 설명했습니다.

 

<사진4>

 

사진4가 바로 참고한 내용입니다.

김일성종합대학 연구원들은 캐나다 오타와 대학교와 캐나다 IBM이 연구한 보안 자료를 참고해 논문을 완성했다고 합니다.

 

 

<사진5> 북한이 참고한 오타와대학교, IBM 자료

 

 

 

<사진6>

 

또 사진 6처럼 OWASP(Open Web Application Security Project) 자료도 참고했다고 합니다. 북한이 해외 보안 동향과 연구 내용을 파악하고 있다는 증거입니다.

 

일반적으로 군대에서 방어를 할 때는 자신들의 공격 방식과 전략을 기반으로 적들이 그렇게 할 것이라고 방어계획을 만듭니다. 북한이 취약점 도구를 이용한 웹공격 방어 전략을 마련했다면 이는 그들이 그런 공격을 할 수 있는 능력이 있다는 뜻입니다.

 

만약의 사태를 대비해 한국 정부, 기업들도 북한의 사이버공격 능력에 대응한 방어 태세를 갖춰야할 것입니다.

 

강진규 기자 wingofwolf@gmail.com

 

 

저작자 표시 비영리 동일 조건 변경 허락
신고
posted by 강진규 그레고리잠자

티스토리 툴바