청와대 홈페이지를 해킹한 6·25 사이버공격이 북한 소행으로 추정된다는 정부 공식 발표가 나왔다.
민관군 합동대응팀은 16일 과천 미래창조과학부 청사에서 브리핑을 갖고 지난달 25일부터 이달 1일까지 발생한 방송·신문사 서버장비 파괴와 청와대 홈페이지 변조 등의 사이버공격이 3·20 사이버테러를 일으킨 북한의 해킹 수법과 일치한다고 밝혔다.
박재문 미래창조과학부 정보화전략국장은 “공격자는 최소 수개월 국내 P2P·웹하드 서비스, 웹호스팅업체 등 다중 이용 사이트를 사전에 해킹, 다수의 공격목표에 보안 취약점을 미리 확보하는 등 치밀하게 공격을 준비했다”고 밝혔다. 3·20 사이버테러 이전부터 6·25 공격을 준비해 왔다는 분석이다.
합동대응팀은 6·25 공격을 북한 소행으로 추정하는 증거로 국내 경유지에서 발견된 IP와 7월 1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP가 발견됐다고 발표했다. 해커는 경유지 로그를 삭제하고 하드디스크를 파괴했지만, 포렌식 및 데이터 복구로 북한 IP를 확인했다는 것이다.
또 서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요 파일 삭제, 해킹 결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징이 3·20 사이버테러와 동일했다고 합동대응팀은 덧붙였다.
홈페이지 변조 및 분산서비스거부(DDoS) 공격에 사용된 악성코드 역시 3·20 사이버테러 당시 발견된 악성코드의 변종된 형태임이 확인됐다.
지난 6·25 사이버공격으로 피해를 당한 곳은 청와대와 국무조정실 등 정부기관 외에도 경남일보 등 43개 민간기관이 포함됐으며, 총 69개 기관 및 업체로 집계됐다. 16일 현재 피해기관 중 62개 기관의 시스템이 정상 복구됐다.
합동대응팀은 이와 함께 정부부처가 사용하는 국가통신망은 안전한 상태라고 강조했다.
박 국장은 “지난 6·25 공격은 인터넷에 연결되는 망에 대한 공격이었다”며 “폐쇄망으로 운영되는 국가정보망은 안전하며, 다만 보안 점검을 강화하고 있다”고 설명했다.
합동대응팀은 미래부·국방부·법무부·국정원·경찰청을 비롯해 안랩·하우리·이글루시큐리티·윈스테크넷·KT 등 18개 기관 전문가로 구성됐다.
김원석·윤건일기자stone201@etnews.com
