데일리NK·YTN 등 사이버테러 北 정찰총국 소행

지난달 20일 발생한 KBS·MBC·YTN 등 방송사와 농협·신한·제주은행·NH생명보험·NH손해보험 등 금융기관에 대한 사이버 테러는 북한의 소행이라는 공식 조사결과가 나왔다. 또한 같은 달 26일 데일리NK와 북한민주화네트워크 등에 대한 해킹 방식도 ‘3·20 해킹’과 완전히 일치했다. 


미래창조과학부, 국방부, 금융위, 국정원, 한국인터넷진흥원, 국내보안업체 등으로 구성된 민관군 합동대응팀을 10일 브리핑에서 그동안 관련 접속기록과 악성코드의 특성 등을 분석한 결과 북한 정찰총국의 해킹수법과 일치한다고 밝혔다.
 
합동대응팀은 ▲북한 내부 공격경유지 수시 접속 ▲공격경유지 49개중 22개 과거 사용했던 경유지와 동일 ▲악성코드 76종 중 30종 이상 재활용 ▲악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로 일치 등을 ‘북한 해킹’의 근거로 제시했다.


전길수 한국인터넷진흥원 침해사고대응단장은 “지난해 6월 28일부터 북한 내부 PC 최소 6대가 1590회 접속해 금융사에 악성코드를 유포하고 PC 저장자료를 절취했으며, 공격한 다음날인 3월 21일 해당 공격경유지를 파괴, 흔적 제거까지 시도했다”고 설명했다.


그는 특히 올해 2월 22일 북한 내부 인터넷주소(175.45.178.xx)에서 감염PC 원격조작 등 명령 하달을 위한 국내 경유지에 시험 목적으로 처음 접속하기도 했다고 말했다.


그는 또 “지금까지 파악된 국내외 공격경유지 49개(국내 25, 해외 24) 중 22개(국내 18, 해외 4)가 2009년 이후 북한이 대남해킹에 사용 확인된 인터넷주소와 일치했다”고 말했다.


이어 “북한 해커만 고유하게 사용 중인 감염PC의 식별 번호(8자리 숫자) 및 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용한 악성코드가 무려 18종에 달했다”고 덧붙였다.


전 단장은 “3월 20일 방송사와 금융사 공격의 경우, 대부분 파괴가 같은 시간대에 PC 하드디스크를 ‘HASTATI’ 또는 ‘PRINCPES’ 등 특정 문자열로 덮어쓰기 방식으로 수행됐다”며 “악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로가 일치했다”고 밝혔다.


또한 같은 달 26일 데일리NK와 북한민주화네트워크 등에 대한 해킹도 악성코드 소스프로그램이 방송사와 금융사 공격용과 완전히 일치하거나 공격경유지도 재사용된 사실이 확인됐다.


앞서 북한의 해킹 공격으로 ‘데일리NK’를 비롯한 북한 관련 단체 홈페이지 자료가 삭제됐고(3·26), ‘날씨닷컴’ 사이트를 통한 전 국민 대상 악성코드 유포(3·25), 방송·금융 6개사 전산장비 파괴(3·20)되는 피해를 봤다.

합동대응팀은 이같은 사이버테러 해킹수법이 북한이 시도한 지난 2009년 7·7 디도스, 2011년 3·4 디도스와 농협, 지난해 중앙일보 해킹과 동일하다고 설명했다.


정부는 오는 11일 국정원장 주재로 미래창조과학부, 금융위원회, 국가안보실 등 15개 정부기관 참석 하에 ‘국가사이버안전전략회의’를 열어 사이버 안전 강화 대책을 수립할 계획이다.

소셜공유