[강호성기자] 지난 3월20일 방송사와 금융사 4만8천700여 대의 전산장비를 파괴한 사이버테러는 북한 소행으로 결론지어졌다. 정부는 북한의 정찰총국이 8개월 이상 치밀한 준비 끝에 '3.20사이버테러'를 감행했다고 분석했다.
미래창조과학부는 10일 정부를 대표해 이같은 내용을 담은 '3.20 사이버테러 중간 조사결과'를 발표했다.
지난 3월20일 방송·금융사(6개) 전산장비 파괴, 3월25일 날씨닷컴 사이트를 통한 전 국민대상 악성코드 유포, 3월26일 대북·보수단체 홈페이지(14개) 자료삭제, YTN 계열사 홈페이지 자료서버 파괴 등 연쇄적인 사이버테러가 발생한 바 있다.
일련의 공격이 7.7 디도스(2009년), 3.4 디도스(2011년), 농협(2011년)·중앙일보(2012년) 전산망 파괴 등 수차례 대남 해킹을 시도한 북한의 해킹수법과 일치한다는 것이다.
이번 조사결과는 미래부·국방부·금융위·국정원·한국인터넷진흥원(KISA)과 안랩·하우리·이글루시큐리티·윈스테크넷·KT 국내 보안업체로 구성된 민관군 합동대응팀이 내놓은 것으로, 사실상 정부의 최종 결론이다.
정부는 피해를 입은 회사의 감염장비 및 국내 공격경유지 등에서 수집한 악성코드 76종(파괴용 9, 사전 침투·감시용 67)과 수년간 국정원과 군에 축적된 북한의 대남해킹 조사결과를 토대로 분석했다고 설명했다.
한국인터넷진흥원 침해대응센터 전길수 단장은 "공격자가 최소한 8개월 이전부터 목표 기관 내부의 PC 또는 서버 컴퓨터를 장악해 자료 절취, 전산망 취약점 파악 등 지속적으로 감시한 흔적을 찾았다"며 "백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포하거나 서버 저장자료 삭제 명령을 실행한 것으로 확인했다"고 말했다.
또한 "공격에 사용된 컴퓨터 인터넷주소 및 해킹수법 등을 분석한 결과, 과거 7.7디도스 등과 같이 북한 소행으로 추정되는 증거를 상당량 확보했다"고 밝혔다.
◆최소 8개월전, 치밀한 준비
발표에 따르면 지난 2012년 6월28일부터 북한 내부 PC 최소 6대가 1천590회 접속해 금융사에 악성코드를 유포하고 PC 저장자료를 절취했다. 공격 다음날(3월21일)에는 해당 공격 경유지를 파괴, 흔적을 제거하는 시도를 했다.
아울러 올해 2월22일에는 북한 내부 인터넷주소(175.45.178.xx)에서 감염PC 원격조작 등 명령 하달을 위한 국내 경유지에 시험 목적으로 처음 접속했다.
전길수 단장은 "북한 내부에서 국내 공격 경유지에 수시 접속, 장기간 공격 준비를 해온 것으로 보인다"며 "해당 북한 IP를 통해 양방향으로 명령을 주고받는 것이 확인됐으며, 이는 위조 가능성이 '제로'에 가까운 것을 말한다"고 설명했다.
뿐만 아니라 지금까지 파악된 국내외 공격 경유지 49개(국내 25, 해외 24) 중 22개(국내 18, 해외 4)가 2009년 이후 북한이 대남 해킹에 사용한 것으로 확인된 인터넷주소와 동일했다.
정부는 북한 해커만 고유하게 사용중인 감염PC의 식별 번호(8자리 숫자) 및 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용한 악성코드도 18종이라고 확인했다.
정부는 3월20일 방송 및 금융사 공격의 경우, 대부분 파괴가 같은 시간대에 PC 하드디스크 'HASTATI' 또는 'PRINCPES' 등 특정 문자열로 덮어쓰기 방식으로 수행됐다는 점도 주목했다. 악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로가 일치한 것 등에 따라 일련의 사이버테러 4건이 동일조직 소행이라고 결론내렸다.
아울러 정부는 3월25일 및 26일 발생한 3건도 악성코드 소스프로그램이 방송·금융사 공격용과 완전히 일치하거나 공격 경유지도 재사용됐다고 부연했다.
정부는 오는 11일 국정원장 주재로 미래부·금융위·국가안보실 등 15개 정부기관 참석하에 '국가사이버안전전략회의'를 개최할 예정이다.
강호성기자 chaosing@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기