정부 "4건 연쇄 사이버 테러, 북한 정찰총국 소행"

정선미 기자 입력 2013. 4. 10. 14:15 수정 2013. 4. 10. 14:59
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

지난달 20일 방송사와 금융사 6곳의 전산망의 마비를 일으킨 '3ㆍ20사이버테러'를 비롯한 4건의 연쇄 사이버테러가 북한의 정찰총국 소행인 것으로 드러났다.

정부 민관군 합동조사팀은 10일 오후 2시 과천정부청사에서 증간 조사결과를 발표하고 "연쇄 사이버테러를 당한 피해사 감염장비 및 국내 공격경유지 등에서 수집한 악성코드 76종과 수년간 국정원과 군에서 축적한 북한의 대남해킹 조사결과를 종합 분석한 결과 북한의 소행으로 밝혀졌다"고 밝혔다.

4건 연쇄 사이버테러란 지난 20일 방송·금융사 전산장비 파괴를 비롯해 25일 '날씨닷컴' 사이트를 통한 전 국민대상 악성코드 유포, 26일 대북·보수단체 홈페이지 14개 자료삭제, YTN 계열사 홈페이지 자료서버 파괴 등을 의미한다.

정부는 "공격자는 최소한 8개월 이전부터 목표 기관 내부의 PC 또는 서버 컴퓨터를 장악해 자료 절취, 전산망 취약점 파악 등 지속적으로 감시하다가 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포하거나 서버 저장자료 삭제 명령을 실행한 것으로 확인됐다"고 설명했다. 이어 정부는 연쇄 사이버테러가 과거 디도스와 농협, 중앙일보 전산망파괴 등 수차례 대남 해킹을 시도한 북한 해킹수법과 일치한다고 밝혔다.

정부가 북한 해킹으로 추정되는 증거로 제시한 것은 총 3가지다. 우선 북한 내부에서 국내 공격 경유지에서 수시로 접속해 장기간 공격을 준비했다고 밝혀졌다는 것이다. 지난달 6월 28일부터 북한 내부 PC 최소한 6대가 1590회 접속해 금융사에 악성코드를 유포하고, PC 저장자료를 절취했으며 공격 다음날인 21일 해당 공격경유지를 파괴해 흔적 제거까지 시도했다.

아울러 공격경유지 49개 중 22개가 과거 사용했던 경유지와 동일하며, 발견된 악성코드 76종 중 30종 이상을 과거와 동일하게 사용한 것으로 드러났다고 정부측은 발표했다.

또한 정부는 일련의 사이버테러 4건이 동일 조직소행이라는 근거로 3월 발생한 사이버테러 공격이 대부분 파괴가 같은 시간대에 PC하드디스크를 'HASTATI'또는 'PRINCPES'등 특정 문자열로 덮어쓰기 방식으로 수행됐고, 악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로가 일치했다는 점을 지적했다. 정부는 3월 25일 및 26일 발생한 3건도 악성코드 소스프로그램이 방송사 금융사 공격용과 완전히 일치하거나 공격경유지도 재사용된 사실을 확인했다고 덧붙였다.

chosun.com

Copyright © 조선비즈. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?