정부 “3·20 해킹은 북한 정찰국 소행”<종합>

아주경제 이한선 기자= 정부가 3·20 해킹 사고가 북한 소행이라고 발표했다.

이승원 미래창조과학부 정보보호정책과장은 10일 브리핑에서 “3·20 방송·금융사 전산장비 파괴 등 사이버 테러가 기존 북한의 해킹수법과 일치하는 것으로 나타났다”고 밝혔다.

이 과장은 민관군 합동대응팀이 피해사 감염장비 및 국내 공격 경유지 등에서 수집한 악성코드 76종과 수년간 국정원과 군에 축적된 북한 대남 해킹 조사결과를 종합 분석한 결과 이같이 조사됐다고 설명했다.

조사 결과 북한 내부에서 국내 공격경유지에 수시 접속하면서 장기간 공격 준비를 한 것으로 드러났다.

전길수 인터넷진흥원 침해사고대응단장은 “과거 해킹은 개인정보를 유출해 매매 등을 목적으로 한 것이 많았지만 이번 공격은 사회혼란 유발이 목적인 것으로 분석된다”며 “과거 디도스 공격과는 달리 이번에는 대상이 한 기관이 아니라 여러 기관을 동시에 노린 점에서 이같은 해석이 가능하다”고 말했다.

전 단장은 “이번 공격은 또 역할 분담이 돼 있었고 최소 8개월전부터 치밀하게 준비된 지능형지속가능위협(APT) 공격으로 파악된다”고 덧붙였다.

공격자는 목표 기관 내부 PC 또는 서버 컴퓨터를 장악해 자료 절취, 전산망 취약점 파악 등 지속적으로 감시하다가 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포하거나 서버 저장자료 삭제 명령을 실행한 것으로 조사됐다.

지난해 6월 28일부터 북한 내부 PC 최소한 6대가 1590회 접속해 금융사에 악성코드를 유포하고 PC 저장자료를 절취, 공격 다음날인 3월 21일 해당 공격경유지를 파괴, 흔적 제거까지 시도한 것으로 나타났다.

지난 2월 22일에는 북한 내부 인터넷주소(175.45.178.xx)에서 감염PC 원격조작 등 명령 하달을 위한 국내 경유지에 시험 목적으로 처음 접속한 것으로 조사됐다.

북한 내부 PC에서 해외를 거쳐 금융사 유포용 악성코드 3종을 업로드한 것도 드러났다.

합동대응팀은 공격에 사용된 컴퓨터 인터넷 주소 및 해킹수법 등을 분석한 결과 과거 7.7 디도스 등과 같이 북한 소행으로 추정되는 증거를 상당량 확보했다고 밝혔다.

전 단장은 “이번에 북한 관련 충분한 증거가 확보됐다고 판단한다”며 “디도스 공격은 한 방향으로 통신이 이뤄지면서 위조 IP를 쓸 가능성이 있지만 이번 해킹 공격 방식은 양방향 통신을 이용해 응답하고 통신이 이뤄져 위조IP를 쓸 가능성이 작다”고 설명했다.

조사 결과 드러난 북한 IP가 양방향 통신을 하면서 데이터를 전송해 받아야 되기 때문에 위조IP일 가능성이 낮다는 것이다.

공격 경유지 49개중 22개는 과거 사용했던 경유지와 동일한 것으로 드러났다.

지금까지 파악된 국내외 공격 경유지 49개(국내 25, 해외 24) 중 22개(국내 18, 해외 4)가 2009년 이후 북한이 대남 해킹에 사용 확인된 인터넷주소와 일치했다.

악성코드 76종 중 30종 이상을 재활용한 것도 드러났다.

북한 해커만 고유하게 사용중인 감염PC의 8자리 식별 번호 및 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용한 악성코드는 18종에 달했다.

최근 사이버테러 4건이 동일조직 소행이라는 근거는 20일 방송·금융사 공격이 대부분 파괴가 같은 시간대에 PC 하드디스크를 ‘HASTATI‘ 또는 ’PRINCPES’ 등 특정 문자열로 덮어쓰기 방식으로 수행됐고 악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로가 일치한다는 점이라고 합동대응팀은 밝혔다.

3월 25일 및 26일 발생한 3건도 악성코드 소스프로그램이 방송·금융사 공격용과 완전히 일치하거나 공격 경유지도 재사용된 사실을 확인했다.

정부는 11일 국정원장 주재로 미래부·금융위·국가안보실 등 15개 정부기관이 참석해 열리는 국가사이버안전전략회의 등을 통해 사이버 안전 강화 대책을 마련해 시행하기로 했다.