미래창조과학부와 한국인터넷진흥원등 민관군 합동대응팀은 10일 기자회견을 열어 “해킹 관련 접속기록과 악성코드의 특성을 분석한 결과 북한의 소행이라는 결론을 내렸다”고 밝혔다.
전길수 KISA 침해사고대응단장은 이날 기자회견에서 “지난해 6월 28일부터 북한 내부 PC 6대가 금융사에 1590회 접속해 악성코드를 유포하고 PC 저장자료를 절취했으며, 공격한 다음 날인 3월 21일 해당 공격경유지를 파괴, 흔적 제거까지 시도했다”고 밝혔다.
미래부가 ‘3.20 해킹사건’을 북한 소행으로 분석한 이유는 4가지다. ▲북한 내부에서 공격경유지에 수시로 접속 장시간 공격 준비 ▲공격 경유지 49개 중 22개가 과거 사용했던 경유지와 동일 ▲악성코드 76종 중 30종 이상을 재활용 ▲악성코드 저장경로가 동일하다는 점이다.
정부는 오는 11일 국정원장 주재로 미래창조과학부, 금융위원회, 국가안보실 등 15개 정부기관 참석 하에 ‘국가사이버안전전략회의’를 열어 사이버 안전 강화 대책을 수립할 계획이다.
‘3.20 해킹사건’은 주요 은행과 KBS·MBC·YTN 등의 방송사에서는 전산망이 수 시간 동안 마비됐던 사건이다.
방송사에서는 업무용 PC가 갑자기 꺼지거나 작동을 멈춘 뒤 부팅(정상 상태로 켜지는 것)이 되지 않는 상태가 오후 늦게까지 지속됐고, 은행에서도 PC가 작동되지 않거나 파일이 삭제되는 현상이 생겼다. 창구 거래, 현금입출금기(ATM) 사용, 인터넷 뱅킹 등이 중단됐다.
방송통신위원회는 당시 브리핑에서 “문제 PC들을 입수해 분석한 결과 피해 기관에서 사용하는 ‘업데이트 관리 서버(PMS)’에서 악성 코드가 유포된 것으로 추정된다”고 밝혔다.
PMS는 전산망에 연결된 PC의 백신 프로그램 등을 항상 최신판으로 갱신(업데이트)해주는 서버 컴퓨터를 말한다.
또 보안 전문가들은 해커가 ‘지능형 지속 위협(Advanced Persistent Threat·APT) 방식’등 최신 수법을 쓴 것으로 봤다.
정부와 군 당국은 그동안 ‘3.20 해킹사건’의 배후로 북한을 염두에 두고 수사를 진행해왔다. 당국은 노동신문, 조선중앙통신 등 북한에 서버를 둔 웹사이트들이 지난달 13~14일 이틀간 강력한 외부 해킹 공격을 받아 접속이 차단된 뒤, 북한 조선중앙통신이 같은 달 15일 “결코 수수방관하지 않을 것”이라고 위협한 지 닷새 만에 ‘3.20 해킹 사건’이 발생한 것에 주목했었다.
당시 정보 당국 관계자는 “북한이 사이버 전쟁을 본격화하기 시작했다는 신호일 수 있다”며 “제2, 제3의 사이버 공격이 있을 수 있고, 앞으로 정부의 정보통신망이나 원자력발전소·철도 등 기간 시설의 통신망 자체를 공격할 수도 있다”고 말했다.
신영수 기자
news@ejanews.co.kr