2022-07-07 04:40 (목)
[3.20 해킹] 정부 “북한 대남 해킹조직의 사이버테러였다”
상태바
[3.20 해킹] 정부 “북한 대남 해킹조직의 사이버테러였다”
  • 길민권
  • 승인 2013.04.10 16:09
이 기사를 공유합니다

민관군 합동대응팀, 북한의 사이버테러 및 동일조직 소행 증거 제시
3.20 사이버테러에 대한 민관군 합동대응팀의 중간조사 결과가 10일 발표됐다. 결론부터 말하면 북한의 과거 해킹수법과 일치하는 증거가 발견돼 북한의 사이버테러였다는 것이다. 
 
민관군 합동대응팀은 지난 3.20 방송·금융 6개사 전산장비 파괴와 3.25 날씨닷컴 사이트를 통한 전 국민대상 악성코드 유포, 3.26 대북 보수단체 홈페이지 14개 자료삭제, YTN 계열사 홈페이지 자료서버 파괴 등 연쇄적 사이버테러가 2009년 7.7DDoS, 2011년 3.4DDoS와 농협사태, 2012년 중앙일보 전산망 파괴 등 수차례 대남 해킹을 시도한 북한의 해킹수법과 일치한다고 결론내렸다.
 
이번 민관군 합동대응팀은 미래부, 국방부, 금융위, 국정원, 한국인터넷진흥원, 국내보안업체 안랩, 하우리, 이글루시큐리티, 윈스테크넷, KT 등이 참여했다.
 
합동대응팀은 “피해사 감염장비 및 국내 공격경유지 등에서 수집한 악성코드 76종, 파괴용 9개, 사전침투 및 감시용 67개 등과 국정원과 군에 축척된 북한 대남해킹 조사결과를 종합분석한 결과”라며 “공격자는 최소한 8개월 이전부터 목표기관 내부의 PC 또는 서버 컴퓨터를 장악해 자료 절취, 전산망 취약점 파악 등 지속적으로 감시하다 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포하거나 서버 저장자료 삭제 명령을 실행한 것으로 확인됐다”고 밝혔다.
 
또 “공격에 사용된 컴퓨터 인터넷 주소 및 해킹수법 등을 분석한 결과, 과거 7.7 DDoS 등과 같이 북한 소행으로 추정되는 증거를 상당량 확보했다”고 덧붙였다.
 
◇북한의 해킹으로 추정되는 증거=합동대응팀에서 공개한 북한의 해킹으로 추정되는 증거는 다음과 같다.
 
우선 북한 내부에서 국내 공격경유지에 수시 접속해 장기간 공격준비를 했다는 것이다. 그 증거로 2012년 6월 28일부터 북한 내부 PC 최소 6대가 1,590회 접속해 금융사에 악성코드를 유포하고 PC 저장자료를 절취했으며 공격다음날인 3월 21일 해당 공격경유지를 파괴하고 흔적도 제거했다는 것.
 
또 공격경유지 49개 중 22개가 과거 사용했던 경유지와 동일하다는 것이다. 그 증거로 지금까지 파악된 국내외 공격경유지 49개(국내 25개, 해외 24개) 중 22개(국내 18개, 해외 4개)가 2009년 이후 북한이 대남해킹에 사용한 것으로 확인된 인터넷 주소와 일치한다는 점이라고 밝혔다.
 
마지막으로 악성코드 76종 중 30종 이상을 재활용했다는 점을 들고 있다. 북한 해커만 고유하게사용중인 감염PC의 식별번호 8자리 숫자 및 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용한 악성코드가 무려 18종에 달한다는 점이라고 설명했다.
 
◇동일조직의 소행이라는 근거=한편 일련의 사이버테러 4건이 동일조직 소행이라는 근거도 밝히고 있다. 그 근거로는 3월 20일 방송·금융사 공격의 경우 대부분 파괴가 같은 시간대에 PC하드디스크를 ‘HASTATI’ 또는 ‘PRINCPES’ 등 특정 문자열로 덮어쓰기 방식으로 수행되었고 악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로가 일치했다고 전했다.
 
또 3월 25일 및 26일 발생한 3건도 악성코드 소스프로그램이 방송·금융사 공격용과 완벽히 일치하거나 공격경유지도 재사용된 사실을 확인했다고 밝혔다.
 
정부는 11일 국정원장 주재로 미래부, 금융위, 국가안보실 등 15개 정부기관이 참석한 가운데 ‘국가사이버안전전략회의’ 등을 개최하고 사이버안전 강화대책을 강구해 시행하겠다고 덧붙였다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com