[뉴스핌=서영준 기자] 지난 3월 20일 방송사와 금융사 전산장비 파괴는 장기간에 걸쳐 치밀히 준비된 북한 정찰총국의 소행인 것으로 드러났다.
미래창조과학부는 10일 3.20 사이버테러가 과거 북한의 해킹수법과 동일하다는 점을 이유로 북한의 소행으로 결정지었다. 이승원 미래부 정보보호정책과장은 "민·관·군 합동대응팀은 종합적으로 분석한 결과 이번 3월 20일 사이버 테러에서 농협 등 수 차례에 걸쳐 대남 해킹을 주도한 북한 정찰총국의 해킹수법과 유사한 증거들을 발견했다"고 말했다.
북한은 최소 8개월 이전부터 목표 기관 내부의 PC 또는 서버 컴퓨터를 장악해 자료를 절취하거나 전산망 취약점 등을 파악했다.
전길수 한국인터넷진흥원 침해사고대응단장은 "악성코드를 유포하기 위해서 웹사이트의 웹서버에 대한 취약점도 이용했고, 관리자 PC나 사내에서 운영하고 있는 서버 등의 취약점을 악용했다"며 "다양한 취약점을 사전적으로 치밀하게 준비해 공격했다"고 설명했다.
북한은 지난해 6월 28일부터 내부 PC 최소 6대 이상을 통해 금융사에 1590회 접속, 악성코드를 유포하고 PC 저장자료를 절취했다. 이 가운데 13번은 북한에서 직접 접속한 흔적이 발견됐다.
올해 2월 22일에는 감염 PC의 원격조작 등 명령 하달을 위한 국내 경유지에 시험 목적으로 접속키도 했다. 이 같은 준비 끝에 공격당한 PC는 약 4만 8700대에 이른다.
3.20 사이터테러 공격 다음날에는 해당 공격경유지를 파괴하고, 흔적 제거까지 시도하는 등 치밀한 모습을 보였다.
당국이 북한을 이번 사이버테러의 주범으로 지목한 데는 과거 대남 해킹에 활용했던 공격경유지가 상당부분 일치하고 있기 때문이다.
실제, 현재까지 파악된 국내외 공격경유지 49개(국내 25·해외 24) 중 22개(국내 18·해외 4)가 2009년 이후 북한이 대남 해킹에 사용해 확인된 인터넷주소와 일치했다.
북한은 또 해킹에 사용된 악성코드 76종 중 30종 이상을 재활용하기도 했다. 북한 해커들이 고유하게 사용하는 감염 PC의 식별 번호(8자리 숫자) 및 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용한 악성코드는 18종에 달했다.
이와 함께 지난달 25일과 26일 발생한 3건의 해킹도 악성코드 소스프로그램이 방송사와 금융사 공격용과 완전히 일치하거나 공격경유지가 재사용됐다.
향후, 정부는 국정원장 주재로 미래부·금융위·국가안보실 등 15개 정부기관이 참석한 가운데 국가사이버안전전략회의 등을 통해 사이버 안전 강화 대책을 강구·시행키로 했다.
전길수 침해사고대응단장은 "향후 공격 가능성을 열어두고 항상 대비를 하고 있다"며 "관계기관에서 충분한 협의르 통해 종합적인 대책이 나올 것으로 기대한다"고 말했다.
[뉴스핌 Newspim] 서영준 기자 (wind0901@newspim.com)