청와대 홈페이지를 해킹한 6·25 사이버 공격도 북한 소행으로 밝혀졌다.
민관군 합동대응팀은 16일 과천 미래부 청사에서 브리핑을 갖고 지난달 25일부터 이달 1일까지 발생한 방송·신문사 서버장비 파괴와 청와대 홈페이지 변조 등의 사이버 공격이 3.20 사이버테러를 일으킨 북한의 해킹 수법과 일치한다고 밝혔다.
박재문 미래부 국장은 “공격자는 최소 수개월 이상 국내 P2P·웹하드 서비스, 웹호스팅 업체 등 다중 이용 사이트를 사전에 해킹, 다수의 공격목표에 대한 보안 취약점을 미리 확보하는 등 치밀하게 공격을 준비했다”고 밝혔다.
합동대응팀은 6.25 공격을 북한 소행으로 추정하는 증거로 국내 경유지에서 발견된 IP와 7월 1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP가 발견됐다. 해커는 경유지 로그를 삭제하고 하드디스크를 파괴했지만, 포렌식 및 데이터 복구를 통해 북한 IP임을 확인했다.
또한 서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요파일 삭제, 해킹 결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징이 3.20사이버 테러와 동일했다.
이와 함께 홈페이지 변조 및 디도스 공격에 사용된 악성코드 역시 `3.20 사이버테러` 당시 발견된 악성코드의 변종된 형태임이 확인됐다.
합동대응팀은 미래부·국방부·법무부·국정원·경찰청을 비롯해 안랩·하우리·이글루시큐리티· 윈스테크넷·KT 등 18개 기관 전문가들로 구성됐다.
김원석기자 stone201@etnews.com
