政, "4건 연쇄 사이버 테러, 북한 정찰총국 주도""최소 8개월 전부터 목표기관 PC·서버 장악 정보 빼낸 뒤 악성코드 일괄 유포"
[서울 뉴스쉐어 = 김영은 기자] 지난달 20일 방송사와 금융사 6곳의 전산망의 마비를 일으킨 사이버테러 및 4건의 연쇄 사이버테러가 북한의 정찰총국 소행인 것으로 드러났다.
정부 민관군 합동조사팀은 10일 오후 2시 과천정부청사에서 중간 조사결과를 발표하며 “연쇄사이버테러를 당한 피해사 감염장비 및 국내 공격경유지 등에서 수집한 악성코드 76종과 수년간 국정원과 군에서 축적한 북한의 대남해킹 조사결과를 종합 분석한 결과 북한의 소행으로 밝혀졌다”고 말했다. 4건의 연쇄 사이버테러는 지난달 20일 방송·금융사 전산장비 파괴를 비롯해 25일 ‘날씨닷컴’ 사이트를 통한 전 국민대상 악성코드 유포, 26일 대북·보수단체 홈페이지 14개 자료삭제, YTN 계열사 홈페이지 자료서버 파괴를 말한다. 정부는 “공격자는 최소한 8개월 이전부터 목표 기관 내부의 PC 또는 서버 컴퓨터를 장학해 자료 절취, 전산망 취약점 파악 등 지속적으로 감시하다가 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포하거나 서버 저장자료 삭제 명령을 실행한 것으로 확인됐다”고 설명했다. 이어 “연쇄 사이버테러가 과거 디도스(2009년 7월, 3월)와 농협(2011년), 중앙일보(2012년) 전산망파괴 등 수차례 대남 해킹을 시도한 북한 해킹수법과 일치한다”고 밝혔다. 한국인터넷진흥원 침해대응센터 전길수 단장은 “공격자가 최소한 8개월 이전부터 목표 기관 내부의 PC 또는 서버 컴퓨터를 장악해 자료 절취, 전산망 취약점 파악 등 지속적으로 감시한 흔적을 찾았다”며 “백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포하거나 서버 저장자료 삭제 명령을 실행한 것으로 확인했다”고 말했다. 또한 “공격에 사용된 컴퓨터 인터넷주소 및 해킹수법 등을 분석한 결과, 과거 7.7디도스 등과 같이 북한 소행으로 추정되는 증거를 상당량 확보했다”고 밝혔다. 정부가 북한 해킹으로 추정하는 증거로 ▲북한 내부에서 국내 공격 경유지로 수시로 접속해 장기간 공격을 준비한 것이 밝혀진 점 ▲공격 경우지 49개 중 22개가 과거 사용했던 경유지와 동일한 점 ▲3월 발생한 사이버테러 공격의 파괴가 같은 시간대에 특정 문자열로 덮어쓰기 방식으로 수행, 악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로 일치한 점 총3가지를 제시했다. 정부는 지난달 6월 28일부터 북한 내부 PC 최소한 6대가 1590회 접속해 금융사에 악성코드를 유포하고, PC 저장자료를 절취했으며 공격 다음날인 21일 해당 공격경유지를 파괴해 흔적 제거까지 시도했다고 밝혔다. 아울러 공격경유지 49개 중 22개가 과거 사용했던 경유지와 동일하며, 발견된 악성코드 76종 중 30종 이상을 과거와 동일하게 사용한 것으로 드러났다고 했다. 또한 3월 발생한 사이버테러 공격이 대부분 파괴가 같은 시간대에 PC하드디스크를 ‘HASTATI’또는 ‘PRINCPES’등 특정 문자열로 덮어쓰기 방식으로 수행됐고, 악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로가 일치했다고 부연했다. 정부는 오는 11일 국정원장 주재로 미래부·금융위·국가안보실 등 15개 정부기관 참석하에 ‘국가사이버안전전략회의’를 개최할 예정이다. < ⓒ 뉴스쉐어 - 시대를 이끄는 새로운 정론. 무단전재 및 재배포금지. > 24 <저작권자 ⓒ 뉴스쉐어 무단전재 및 재배포 금지>
댓글
|