지난 2월 시험용 접속 위해 감염PC 원격 조작도 KBS·MBC·YTN 등 방송사와 농협·신한·제주은행 등 금융기관에 대한 ‘3·20’ 사이버 테러는 8개월간 치밀하게 준비해온 북한 정찰총국의 소행으로 드러났다. 미래창조과학부, 국가정보원, 국방부, 한국인터넷진흥원 등으로 구성된 민·관·군 합동대응팀은 10일 미래부 청사에서 기자회견을 열고 이 같은 조사결과를 발표했다.
대응팀은 피해 업체의 감염 장비와 국내 공격경유지 등에서 수집한 악성코드 76종을 분석하고 수년간 국정원과 군에 축적된 북한의 대남해킹 조사결과를 종합적으로 반영해 이런 결론을 내렸다.
북한 소행으로 본 결정적인 증거로 정부는 북한 내부에서 국내 공격 경유지에 수시 접속한 흔적을 내세웠다. 지난해 6월28일부터 북한 내부 PC 최소한 6대가 1590회 접속해 금융사에 악성코드를 유포하고, PC 저장자료를 절취했다. 지난 2월22일 북한 내부 인터넷주소(175.45.178.×××)에서 감염PC를 원격으로 조작하는 등 명령 하달을 위해 국내 경유지에 시험 목적으로 처음 접속한 흔적도 발견됐다.
여기에다 현장에서 발견된 악성코드 76종 중 북한 해커가 고유하게 사용 중인 감염PC의 식별번호(8자리 숫자) 및 감염신호 생성코드의 소스 프로그램 중 과거와 동일하게 사용한 악성코드가 무려 18종에 달했다. 대응팀은 최소한 8개월 이전부터 목표 기관 내부의 PC 또는 서버 컴퓨터를 장악해 자료 절취, 전산망 취약점 파악 등 지속적으로 감시하다가 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포하거나 서버 저장자료 삭제 명령을 실행했다고 설명했다.
2009년 7·7 디도스(DDoS·분산서비스거부), 2011년 3·4 디도스와 같은 해 농협 악성코드 침투, 2012년 중앙일보 전산망 파괴 등 북한 정찰총국이 수차례 대남 해킹을 시도한 북한의 해킹수법과 일치한다는 게 대응팀의 판단이다.
대응팀은 ‘3·20’ 테러에 이어 닷새 뒤 일어난 ‘날씨닷컴’ 사이트를 통한 무차별 악성코드 유포, 지난달 26일의 14개 대북·보수단체 홈페이지 자료 삭제와 YTN 계열사 홈페이지 자료서버 파괴 등도 악성코드 소스프로그램이 일치하거나 공격경유지가 재사용된 것으로 볼 때 동일 주체의 소행으로 추정했다.
한편 정부는 11일 남재준 국정원장 주재로 미래부, 금융위원회, 국가안보실 등 15개 정부기관이 참석하는 ‘국가사이버 안전전략회의’를 열어 재발 방지 대책을 논의한다.
엄형준 기자
[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]
![[설왕설래] 방산전시회](http://img.segye.com/content/image/2024/09/26/128/20240926520117.jpg
)
![[기자가만난세상] 베트남 유학생의 코리안 드림](http://img.segye.com/content/image/2021/04/02/128/20210402513285.jpg
)
![[세계와우리] ‘삐삐 폭탄’과 북핵](http://img.segye.com/content/image/2024/01/18/128/20240118517950.jpg
)
![[교육의미래] 교육개혁의 성공 조건](http://img.segye.com/content/image/2024/02/08/128/20240208515074.jpg
)
