지난달 20일 KBS·MBC·YTN 등 방송사와 신한은행·농협 등 금융사 정보전산망을 마비시켰던 사이버테러가 북한의 소행이라는 공식 조사 결과가 나왔다.

이번 사건을 조사해 온 민·관·군 합동대응팀은 10일 정부과천청사 미래창조과학부 기자실에서 기자회견을 열고 3·20 사이버테러와 닷새 뒤 발생한 ‘날씨닷컴’을 통한 무차별 악성코드 유포, 26일 YTN 계열사 홈페이지 자료서버 파괴와 대북·보수단체 홈페이지 자료삭제 등 일련의 사이버테러 4건이 동일조직의 소행이며 북한의 과거 해킹 수법과 일치하는 증거를 발견했다고 밝혔다.

 

	▲ 전길수 한국인터넷진흥원 단장이 10일 오후 정부과천청사 미래창조과학부 브리핑룸에서 ‘3.20 사이버테러’ 중간 조사결과 발표를 하고 있다.(뉴시스)

합동대응팀은 피해 언론사 등의 감염 장비와 국내 공격 경유지 등에서 수집한 악성코드 76종과 국정원과 군에 축적된 북한의 대남 해킹 조사 결과를 종합 분석한 결과 이 같은 잠정 결론을 내렸다고 밝혔다.

합동대응팀은 3·20 사이버테러가 최소 8개월 전부터 치밀하게 준비된 공격이라고 설명했다. 지난해 6월부터 목표 기관 내부의 PC 또는 서버 컴퓨터를 절취하고 전산망 취약점을 파악하는 등 지속적인 감시 활동을 벌이다가 당일인 20일 오후 2시 백신 등 프로그램의 중앙배포 서버를 통해 내부 전체 PC에 악성코드를 일괄 유포하거나 서버 저장자료 삭제 명령을 실행했다는 것이다.

대응팀은 북한 소행이라는 증거로 △북한 내부에서 국내 공격경유지에 수시로 접속해 장기간 공격을 준비했으며 △지금까지 파악된 공격경유지 49개 중 22개가 2009년 이후 북한이 대남 해킹에 사용했던 인터넷 주소와 일치하며 △북한 해커가 고유하게 사용 중인 감염PC의 식별 번호와 감염신호 생성코드의 소스프로그램을 분석한 결과 과거와 같은 것이 18종 발견됐다고 설명했다.

조사 결과 지난해 6월 28일부터 북한 내부 PC 6대에서 1590회의 접속을 통해 금융사에 악성코드를 유포하고 PC 저장자료를 절취한 것으로 드러났다. 또한 지난 2월22일 북한 내부 인터넷주소(175.45.178.xx)에서 감염 PC를 원격 조작하는 등 명령 하달을 위해 국내 경유지에 시험 목적으로 처음 접속한 사실이 확인됐다.

지난달 일련의 사이버테러 4건이 동일조직 소행이라는 근거로는 방송 3사와 금융사 공격이 이뤄진 시간대가 비슷하고 ‘HASTATI’, ‘PRINCPES’ 등 특정 문자열로 덮어쓰기가 이뤄졌으며, 악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로가 일치했다는 점을 제시했다. 지난달 25일과 26일 발생한 3건도 악성코드 소스프로그램이 방송사 및 금융사 공격용과 일치하거나 공격 경유지도 재사용된 것으로 드러났다.

정부는 11일 국정원장 주재로 미래부·금융위·국가안보실 등 15개 정부기관 참석 하에 ‘국가사이버안전전략회의’를 개최해 사이버 안전 강화 대책을 강구·시행할 예정이다.