특집

[방송 금융 전산마비] 방송·금융 전산망 마비, ‘북한 소행’ 가능성에 무게

이유지 기자
- 중국 IP 발견, LG유플러스 그룹웨어 ‘후이즈’ 해킹 연관성도 제기  

[디지털데일리 이유지기자] 20일 발생한 방송사·금융사 전산망 마비 사태는 북한에 의한 사이버공격일 가능성에 무게가 실리고 있다.

피해 은행의 악성코드 전파에 악용된 시스템에서 중국에서 접속한 흔적이 발견됐다. 남북간 긴장 국면이 고조된 와중에 발생한 사고라는 점도 있지만,
중국 인터넷을 이용하는 북한의 해킹 수법 등을 감안한 분석이다.

더욱이 같은 시점에 발생한 LG유플러스 그룹웨어 화면 변조 해킹에 사용된 것과 같은 악성파일이 발견되면서 연관성있다는 관측도 제기됐다. 이 화면 변조 해킹은
지난해 6월 북한 소행으로 발표했던 중앙일보 웹사이트 해킹공격에서도 비슷하게 나타났다.

방송통신위원회는 21일 “피해 은행인 농협 시스템에 대한 분석 결과, 중국 IP(101.106.25.105)가 업데이트 관리 서버에 접속해 악성파일을 생성했음을 확인했다”고 밝혔다.

민관군 합동대응팀 주관으로 악성코드를 분석한 결과 KBS, MBC, YTN, 신한은행, 농협, 제주은행 6개사 모두 동일 조직에 의해 공격이 자행된 것으로 판단하고 있다.

공격 및 악성코드 침투 경로는 피해기업들이 사용 중인 백신 업데이트 관리서버(PMS) 해킹으로 악성코드가 내부 PC로 전파돼 대량 감염된 것으로 분석했다.

이에 대해 안랩은 “서버의 관리자 계정을 탈취한 것으로 추정되며, 관리서버의 취약점 때문은 아니다”고 주장했다.

한편, 이번 사고와 비슷한 시간에 발생한 LG유플러스의 ‘후이즈(Whois)’ 그룹웨어 해킹과의 연관성도 다시 제기되고 있다.

잉카인터넷의 악성코드 분석 결과, 이번 공격에 악용된 악성코드 가운데 해킹으로 LG유플러스 그룹웨어 접속시 발생했던 ‘디페이스(deface)’
웹페이지 변조 현상과 관련된 악성파일이 확인됐다.

이 디페이스 화면에는 해골그림과 ‘Who is Whois?’ 문구와 함께 영문으로 “우리는 해킹에 관심있다. 이것은 우리 행동의 시작이다. 사용자 계정과 데이터는 우리 손에 있다. 우리는 데이터를 삭제했다. 우리는 곧 다시 돌아온다”고 표현돼 있다.

문종현 잉카인터넷 보안대응팀장은 “LG유플러스 디페이스 화면에 사용된 코드를 보유하고 있는 악성코드 파일을 발견해 이번 공격과의 연관성을 염두에 두고 분석을 진행 중이다”며, “시점이 같을 뿐만 아니라 관련 악성파일이 발견된 이상 무시할 일은 아니다”고 말했다.

문 팀장은 “지난해 중앙일보 뉴스 사이트 해킹때 발생한 디페이스 형식과도 유사하다”고 덧붙였다.
 
일보 해킹 사건은 경찰청 사이버테러데응센터의 수사 결과 북한 체신성 산하 조선체신회사(KPTC)가 사용하는 IP주소로 접속한 사실을 발견해 북한 소행으로 최종 결론내린 바 있다.

방통위와 한국인터넷진흥원(KISA)은 “공격 주체를 지속 추적 중”이라며 “현 단계에서 여러 가능성을 열어놓고 해커의 실체를 규명하는데 노력하고 있다”고 말했다.  

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널