전체메뉴

검색
팝업창 닫기
이메일보내기

"'6·25 사이버공격"도 북한 소행 추정"

미래부 "3·20사이버테러와 수법동일"

‘3·20’ 해킹에 이어 지난달 25일 청와대, 국무조정실 홈페이지를 변조시키고 방송·신문사의 서버를 파괴한 ‘6·25 사이버공격’의 배후로 또 다시 북한이 지목됐다.

미래창조과학부는 16일 정부 과천청사에서 브리핑을 열어 지난달 25일 청와대와 주요 부처, 언론사 등을 대상으로 한 ‘6·25 사이버공격’이 3·20 사이버테러 등 과거 북한의 해킹 수법과 일치한다고 밝혔다.

미래부는 사이버공격의 피해 장비와 공격 경유지 등에서 수집한 악성코드 82종과 PC 접속기록, 공격에 사용한 인터넷 주소와 과거 북한의 대남해킹 자료 등을 종합분석해 이러한 결론을 내렸다고 밝혔다.

미래부는 북한의 소행으로 추정하는 근거로 지난달 25일 서버 파괴 공격을 위해 활용한 인터넷프로토콜(IP)과 지난 1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP를 발견했다는 점을 제시했다.

해커는 공격 이후 경유지 로그를 삭제하고 하드디스크를 파괴했으나 사이버 포렌식과 데이터 복구를 통해 북한 IP가 확인됐다.

서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요 파일삭제, 해킹결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징도 3·20 사이버테러와 동일했다.



이번 홈페이지 변조와 디도스(DDoS; 분산서비스거부) 공격에 사용한 악성코드 역시 3·20 사이버테러 당시 발견한 악성코드의 변종인 것으로 확인됐다.

박재문 미래부 정보화전략국장은 “공격자는 최소 수개월 이상 국내 P2P, 웹하드 서비스, 웹호스팅 업체 등 다중 이용 사이트를 사전에 해킹해 다수의 공격목표에 대한 보안 취약점을 미리 확보하는 등 치밀하게 공격을 준비한 것으로 분석됐다”고 설명했다.

그는 “정부통합전산센터 DNS 서버를 공격해 다수의 정부기관 인터넷 서비스를 일시에 마비시키려 했으며 좀비 PC를 이용한 DDoS 공격 외에 국외로부터의 서비스 응답으로 위장한 공격을 활용하는 등 다양하고 진화된 공격 수법을 사용했다”고 말했다.

/디지털미디어부
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
주소 : 서울특별시 종로구 율곡로 6 트윈트리타워 B동 14~16층 대표전화 : 02) 724-8600
상호 : 서울경제신문사업자번호 : 208-81-10310대표자 : 손동영등록번호 : 서울 가 00224등록일자 : 1988.05.13
인터넷신문 등록번호 : 서울 아04065 등록일자 : 2016.04.26발행일자 : 2016.04.01발행 ·편집인 : 손동영청소년보호책임자 : 신한수
서울경제의 모든 콘텐트는 저작권법의 보호를 받는 바, 무단 전재·복사·배포 등은 법적 제재를 받을 수 있습니다.
Copyright ⓒ Sedaily, All right reserved

서울경제를 팔로우하세요!

서울경제신문

텔레그램 뉴스채널

서경 마켓시그널

헬로홈즈

미미상인