3·20 사이버 테러 결국 북한 소행…근거는?

방송사와 금융기관 전산망을 마비시킨 3·20 사이버 공격은 북한에 의해 이뤄졌다는 정부 공식 발표가 나왔다. KBS·MBC·YTN 방송 3사와 신한은행·농협 등 금융사에 악성코드를 심은 뒤 해외 명령제어(C&C)서버를 통해 원격 조종을 한 게 특징이다.

민·관·군 합동대응팀은 10일 오후 2시 미래창조과학부에서 기자회견을 열어 사이버테러 공격 경로를 추적한 결과 북한 정찰총국 소행으로 추정된다고 밝혔다.

합동대응팀은 북한 소행이라고 발표한 근거로 북한 내부 인터넷 주소가 나왔고 접속 흔적을 제거하려고 시도한 사실도 발견됐다고 설명했다.

전길수 한국인터넷진흥원 팀장은 “이번 사이버 공격에는 관리자 PC 또는 사내 서버도 악용됐다”며 “해커는 이번 공격에서도 인터넷프로토콜(IP) 주소를 숨기려고 노력을 했지만, 원격 터미널 접속 로그는 남아 있었다”고 설명했다.

공격주체들은 금융사 공격 과정에서 악성코드와 통신을 하는 C&C서버에 접속할 때 로그를 모두 지우는 등 지능적 모습을 보였다. 방화벽 로그 및 웹서버 로그도 지웠다.

합동대응팀은 지난 20일 사건이 발생한 이후 지금까지 KBS·농협 등 피해 업체의 감염 장비와 국내 공격경유지 등에서 수집한 악성코드 76종을 분석했다. 또 수년간 국가정보원과 군에 축적된 북한의 대남해킹 조사결과를 종합적으로 분석했다고 덧붙였다.

공격자는 최소한 8개월 이전부터 목표 기관 내부의 PC나 서버를 장악해 자료를 절취하고 전산망의 취약점을 파악하는 등 지속적인 침투·감시를 해 온 것으로 드러났다고 합동대응팀은 덧붙였다.

지난해 6월 28일부터 최소한 6대의 북한 내부 PC가 1590회의 접속을 통해 금융기관에 악성코드를 유포하고 PC에 저장된 자료를 절취했다는 것이다. 또 올해 2월 22일 북한 내부 IP주소(175.45.178.XXX)에서 감염PC를 원격으로 조종하는 등 명령 하달을 위한 국내 경유지에 시험 목적으로 처음 접속한 흔적도 발견됐다. 이와 함께 북한 해커만 고유하게 사용 하는 감염PC의 식별 번호(8자리 숫자) 및 감염신호 생성코드 소스프로그램 가운데 과거와 동일하게 사용한 악성코드가 무려 18종에 달했다.

지금까지 파악된 공격 경유지는 국내 25곳, 해외 24곳이고, 이 중 국내 18곳, 해외 4곳이 2009년 이후 북한이 대남 해킹에 사용한 것과 IP주소가 일치했다.

조사 결과 공격자는 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 표적기관 내부의 전체 PC에 일괄 유포하거나 서버 저장자료 삭제 명령을 실행한 것으로 확인됐다.

정부는 11일 국가정보원장 주재로 미래창조과학부, 금융위원회, 청와대 국가안보실 등 15개 정부기관 관계자가 참석하는 국가사이버안전전략회의를 열어 재발 방지 대책을 논의한다.

김원석기자 stone201@etnews.com