특집

정부 “3.20 전산망 해킹, 북한 소행…과거수법과 일치”

이민형 기자
- 최소 8개월 간 치밀하게 준비, “후이즈·제큐어웹 관련성 없어”

[디지털데일리 이민형기자] 정부가 지난달 20일 방송사와 금융기관 전산망을 마비시킨 ‘3.20 사이버테러’를 북한 소행으로 결론내렸다. 

민·관·군 전문가로 구성된 정부 합동대응팀은 10일 미래창조과학부에서 긴급브리핑을 열고 지난 3주 동안 조사한 결과를 발표했다.

전길수 한국인터넷진흥원 침해대응단장은 “민·관·군 전문가로 구성된 정부 합동대응팀은 그동안 관련 접속기록과 악성코드의 특성을 분석한 결과 북한 정찰총국의 소행으로 결론지었다”고 밝혔다.

합동대응팀 조사에 따르면 북한은 최소 8개월 이전부터 목표 기관 내부의 PC 또는 서버 컴퓨터를 장악해 자료 절취, 전산망 취약점 파악 등을 지속적으로 감시하다가 자산관리솔루션을 통해 PC파괴용 악성코드를 내부로 유포한 것으로 나타났다.

전 단장은 이에 대한 근거로 “북한 내부 PC 최소 6대가 국내 공격경유지에 수시로(1590회) 접속한 것을 확인했다. 또 공격경유지 49개 중 22개가 과거에 북한이 사용했던 경유지와 동일했다”며 “지금까지 발견된 북한발 악성코드 76종 중 30종 이상이 이번 사건에 재활용됐음을 발견했다”고 설명했다.

이어 “합동대응팀 조사결과 북한 해커만 고유하게 사용중인 감염PC의 식별번호 및 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용된 악성코드 18종이 발견됐다”고 덧붙였다.

합동대응팀은 3.20 전산망 해킹 사고 이후 연달아 일어난 ‘3.25 날씨닷컴 사이트 해킹’, ‘3.26 대북·보수단체 홈페이지 공격’, ‘3.26 YTN 홈페이지 자료서버 파괴’ 등 역시 북한의 소행이라고 밝혔다.

전 단장은 “3.20일 해킹사건에 사용된 악성코드의 소스코드, 악성코드 개발프로그램의 경로가 동일한 것으로 조사됐다. 또한 공통되는 웹쉘 취약점과 공격경유지를 사용한 정황이 포착됐다”고 말했다.

합동대응팀은 사건 초기에 배후로 지목됐던 해커팀 ‘후이즈(Whois)’와의 관련성은 발견하지 못했으며, 일부 매체에서 보도한 소프트포럼의 ‘제큐어웹’과의 관련성 역시 없다고 전했다.

전 단장은 “조사결과 후이즈와의 관련성은 전혀 발견하지 못했다”며 “일부 언론에서 보도한 제큐어웹과 이번 해킹사건은 관련이 없다. 다만 제큐어웹의 취약점이 발견된 것은 사실이다”고 설명했다.

이번 해킹사고와 관련 ‘최초 악성코드 감염경로’는 아직까지 명확하게 밝혀지지 않았다. 공격자가 8개월 전부터 준비했고, 동시다발적으로 진행됐기 때문에 최초 감염경로를 찾기가 힘들다는 것이 합동대응팀의 설명이다. 웹이나 이메일을 통한 감염이 추정될 뿐이다.

한편, 정부는 오는 11일 국가정보원장 주재로 미래창조과학부, 금융위원회, 국가안보실 등 15개 정부기관 참석하에 ‘국가사이버안전전략회의’를 개최해 사이버안전 강화대책을 강구할 계획이다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널