미래창조과학부는 16일 정부 과천청사에서 브리핑을 열어 지난달 25일 청와대와 주요 부처, 언론사 등을 대상으로 한 ‘6·25 사이버공격’이 3·20 사이버테러 등 과거 북한의 해킹 수법과 일치한다고 밝혔다.
미래부는 사이버공격의 피해 장비와 공격 경유지 등에서 수집한 악성코드 82종과 PC 접속기록, 공격에 사용한 인터넷 주소와 과거 북한의 대남해킹 자료 등을 종합분석해 이러한 결론을 내렸다고 밝혔다.
미래부는 북한의 소행으로 추정하는 근거로 지난달 25일 서버 파괴 공격을 위해 활용한 인터넷프로토콜(IP)과 지난 1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP를 발견했다는 점을 제시했다.
해커는 공격 이후 경유지 로그를 삭제하고 하드디스크를 파괴했으나 사이버 포렌식과 데이터 복구를 통해 북한 IP가 확인됐다.
서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요 파일삭제, 해킹결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징도 3·20 사이버테러와 동일했다.
이번 홈페이지 변조와 디도스(DDoS; 분산서비스거부) 공격에 사용한 악성코드 역시 3·20 사이버테러 당시 발견한 악성코드의 변종인 것으로 확인됐다.
박재문 미래부 정보화전략국장은 “공격자는 최소 수개월 이상 국내 P2P, 웹하드 서비스, 웹호스팅 업체 등 다중 이용 사이트를 사전에 해킹해 다수의 공격목표에 대한 보안 취약점을 미리 확보하는 등 치밀하게 공격을 준비한 것으로 분석됐다”고 설명했다.
그는 “정부통합전산센터 DNS 서버를 공격해 다수의 정부기관 인터넷 서비스를 일시에 마비시키려 했으며 좀비 PC를 이용한 DDoS 공격 외에 국외로부터의 서비스 응답으로 위장한 공격을 활용하는 등 다양하고 진화된 공격 수법을 사용했다”고 말했다.
/디지털미디어부
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >