북한발 IP 13개 발견.."3.20 테러, 북한 소행" 정부 발표(상보)

[이데일리 김현아 기자]민관군합동대응팀은 10일 오후 2시 미래창조과학부에서 기자회견을 열고, 3.20 사이버 테러는 북한의 해킹으로 추정된다고 공식 발표했다.

합동대응팀은 지난 ▲3.20 방송·금융사 (6개) 전산장비 파괴 ▲3.25 ‘날씨닷컴’ 사이트를 통한 전국민대상 악성코드 유포 ▲3.26 대북·보수단체 홈페이지(14개) 자료삭제 ▲YTN 계열사 홈페이지 자료서버 파괴 등 연쇄적 사이버테러가 2009년 발생한 7.7 분산서비스거부(DDoS)공격, 2011년 3.4 DDoS 및 농협 해킹, 2012년 중앙일보 전산망 파괴 등 수차례 대남해킹을 시도한 북한의 해킹수법과 일치한다고 밝혔다.

8개월 전부터 준비..북한 IP 13개 발견

민관군 합동대응팀은 미래부·국방부·금융위·국정원, 한국인터넷진흥원(KISA), 국내보안업체(안랩(053800)·하우리·이글루시큐리티(067920)·윈스테크넷(136540)·KT(030200) 등)로 구성돼 있다.

대응팀이 피해 회사 감염장비 및 국내 공격경유지 등에서 수집한 악성코드 76종 (파괴용 9개, 사전 침투 및 감시용 67개)과 수년간 국정원과 군에 축척된 북한의 대남 해킹 조사결과를 종합 분석한 결과는 다음과 같다.

공격자는 최소한 8개월 이전부터 목표 기관 내부의 PC 또는 서버 컴퓨터를 장악해 자료 절취, 전산망 취약점 파악 등 지속적으로 감시하다 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포했다. 이 때 서버 저장자료 삭제 명령을 실행한 경우도 있었다.

공격에 사용된 컴퓨터 인터넷주소(IP) 및 해킹수법 등에서도 북한 소행으로 추정되는 증거가 확보됐다.

대응팀은 ▲북한 내부에서 국내 공격경유지에 수시 접속 및 장기간 공격 준비 정황과 함께 ▲ 2012년 6월 28일부터 북한 내부 PC 최소한 6대가 1590회 접속(북한발 IP 13개 발견)해 금융사에 악성코드를 유포하고 PC 저장자료를 절취했으며 공격 다음날(3.21) 해당 공격경유지를 파괴해 흔적 제거까지 시도한 것을 확인했다.

또 ▲금년 2월 22일 북한 내부 인터넷주소(175.45.178.xx)에서 감염PC 원격조작 등 명령 하달을 위한 국내 경유지에 시험 목적으로 처음 접속했으며, 이번에 발견된 공격경유지 49개 중 22개가 과거 북한이 사용했던 경유지와 동일하다고 설명했다.

지금까지 파악된 국내외 공격경유지 49개(국내 25, 해외 24) 중 22개(국내 18, 해외 4)가 2009년 이후 북한이 대남 해킹에 사용 확인된 인터넷주소와 일치했다는 말이다.

북한, 악성코드 76종 중 30종 이상 재활용

악성코드도 유사했다. 대응팀에 따르면 북한 해커만 고유하게 사용 중인 감염PC의 식별 번호(8자리 숫자) 및 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용한 악성코드가 무려 18종에 달했다.

이밖에도 ▲방송·금융사 공격의 경우 대부분 파괴가 같은 시간대에 PC 하드디스크를 ‘HASTATI’ 또는 ‘PRINCPES’ 등 특정 문자열로 덮어쓰기 방식으로 수행됐다는 점과 ▲악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로가 일치한 점을 증거로 제시했다.

내일 국가사이버안전전략회의 개최

정부는 내일 국가정보원장 주재로 미래부·금융위·국가안보실 등 15개 정부기관이 참석한 가운데 ‘국가사이버안전전략회의’를 열고, 사이버 안전 강화 대책을 강구할 예정이다.