경찰청 사이버테러대응센터는 지난해 6월 8일 발생한 중앙일보 해킹 사건이 북한의 소행으로 확인됐다고 16일 밝혔다.
북한이 국내 언론사에 대해 ‘특별행동’을 개시하겠다고 위협한 때와 해킹이 시작된 시점이 동일하다는 점을 포함해 관련 자료를 집중 분석한 결과 북한의 의도적인 사이버테러일 가능성이 큰 것으로 결론내렸다.
경찰은 중앙일보 신문제작시스템과 보안시스템 접속기록, 악성코드, 공격에 이용된 국내 경유지 서버 2대와 10여 개국으로 분산된 경유지 서버 17대 등에 대한 분석을 통해 사이버테러 공격의 진원지를 추적해왔다.
경찰에 따르면 북한 체신성 IP를 통해 중앙일보 사이트에 집중적인 접속이 시작된 시점은 지난해 4월 21일로, 북한이 대남 규탄 집회를 열고 일부 언론사 등에 특별행동을 감행하겠다고 위협한 시기와 일치한다. 북한은 2개월간의 준비과정을 거쳐 6월 7일에 중앙일보 관리자 PC를 해킹했고, 이틀 후에 사이트 시스템을 집중 공격했다.
북한은 당시 인민군 총참모부 공개 통첩장에서 “조선일보, 중앙일보, 동아일보의 채널A방송과 KBS, CBS, MBC, SBS방송을 비롯한 언론매체 등이 최고 존엄을 헐뜯고 있다”면서 언론사들의 좌표까지 적시했다.
경찰은 북한 체신성 산하 통신회사인 조선체신회사가 중국회사로부터 임대한 IP 대역을 통해 ‘이스원(IsOne)’이라는 이름의 PC에 접속한 사실을 확인했다. 공격 당시 해당 도메인에는 북한 홈페이지가 운영되고 있었다.
경찰은 또한 2011년 ‘3·4 디도스’ 공격 및 농협 전산망 해킹 사건 때 이용된 해외 경유지 서버 1대가 이번 사건에 동일하게 사용된 점도 북한 소행의 근거로 제시했다. 경찰은 전 세계 IP주소 약 40억개 중에서 한 IP가 우연히 서로 다른 3개 사건에 동시에 공격, 경유지로 사용될 가능성은 제로에 가깝다고 설명했다.
우리나라 웹사이트에 대한 북한의 사이버테러 시도가 확인된 것은 2009년 7·7 디도스 공격, 2011년 3·4 디도스 공격, 같은 해 농협 전산망 해킹과 고려대 이메일 악성코드 유포사건 등에 이어 이번이 5번째다.