[뉴스핌=양창균 기자] 정부가 지난 3월 20일 발생한 방송사와 일부 금융기관의 전산망 마비사태의 주범을 북한으로 정리했다. 또 일련의 사이버테러 4건 역시 북한의 소행으로 판단했다.
민관군 합동대응팀은 10일 미래부에서 브리핑을 갖고 '3.20사이버테러' 중간조사 결과를 발표했다. 이번 민관군 합동대응팀은 미래부 국방부 금융위 국정원 한국인터넷진흥원(KISA) 국내보안업체(안랩 하우리 이글루시큐리티 윈스테크넷 KT 등)로 구성돼 조사를 실시했다.
민관군 합동대응팀은 피해기업 감염장비와 국내 공격경유지 등에서 수집한 악성코드 76종 그리고 수년간 국정원과 군에 축척된 북한의 대남해킹 조사결과를 근거로 '3.20사이버테러'가 북한이 수개월 전부터 치밀하게 준비한 사이버테러라고 분석했다.
이러한 근거로 민관군 합동대응팀은 북한 내부에서 국내 공격경유지에 수시로 접속, 장기간 공격을 준비했다고 설명했다.
민관군 합동대응팀은 "지난 2012년 6월 28일부터 북한 내부 PC 최소한 6대가 1590회 접속해 금융기관에 악성코드를 유포하고 PC 저장자료를 절취했다"며 "공격 다음날인 3월 21일에는 해당 공격경유지를 파괴하고 흔적 제거까지 시도했다"고 강조했다.
또 "지난 2월 22일 북한 내부 인터넷주소(175.45.178.xx)에서 감염PC 원격조작 등 명령 하달을 위한 국내 경유지에 시험 목적으로 처음 접속했다"고 덧붙였다.
민관군 합동대응팀은 공격경유지 49개중 22개가 과거 북한이 사용했던 경유지와 동일한 것도 북한 소행의 근거로 제시했다.
민관군 합동대응팀은 "지금까지 파악된 국내외 공격경유지 49개(국내 25, 해외 24) 중 22개(국내 18, 해외 4)가 2009년 이후 북한이 대남해킹에 사용 확인된 인터넷주소와 일치했다"고 말했다.
북한 정찰총국이 76종의 악성코드를 유포, 활용했고 이중 수십종 이상을 이번 공격에 재활용한 것도 북한의 근거로 삼았다.
민관군 합동대응팀은 "북한 해커만 고유하게 사용중인 감염PC의 식별 번호(8자리 숫자) 및 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용한 악성코드가 무려 18종에 달했다"고 분석했다.
이어 민관군 합동대응팀은 일련의 사이버테러 4건이 북한의 소행이라고 전했다.
민관군 합동대응팀은 "지난 3월 20일 발생한 방송사와 금융기관 공격의 경우 대부분 파괴가 같은 시간대에 PC 하드디스크를 ‘HASTATI' 또는 ’PRINCPES' 등 특정 문자열로 덮어쓰기 방식으로 수행됐다"며 "악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로가 일치했다"고 설명했다.
특히 "3월 25일과 26일 발생한 3건도 악성코드 소스프로그램이 방송사와 금융기관 공격용과 완전히 일치하거나 공격경유지도 재사용된 사실을 확인했다"며 북한 소행에 무게를 뒀다.
[뉴스핌 Newspim] 양창균 기자 (yangck@newspim.com)