정부 “6·25 사이버 공격 조사 결과 북한 IP 발견”<종합>

“북한 과거 해킹수법과 일치”

아주경제 이한선 기자= 정부가 6.25 사이버공격에 대한 조사 결과 북한 IP를 발견했다고 밝혔다.

정부 민·관·군 합동대응팀은 지난달 25일부터 이달 1일 사이 발생한 방송·신문사 서버장비 파괴, 청와대.국무조정실 등 홈페이지 변조, 정부통삽전산센터 디도스 공격, 경남일보 등 43개 민간기관 홈페이지 변조 등 69개 기관·업체 등에 대한 연쇄 사이버공격이 과거 북한의 해킹 수법과 일치하는 가운데 북한 IP를 발견했다고 16일 발표했다.

이번 사이버 공격의 피해장비 및 공격경유지 등에서 수집한 악성코드 82종과 PC접속기록, 공격에 사용된 인터넷 주소와 과거 북한의 대남해킹 자료 등을 종합 분석한 결과 공격자는 6개월 이전 국내 P2P·웹하드, 웹호스팅 업체 등의 사이트를 사전에 해킹해 공격목표에 대한 보안 취약점을 미리 확보하는 등 치밀하게 준비한 것으로 나타났다.

정부통합전산센터 DNS서버를 공격해 다수의 정부기관 인터넷 서비스를 일시에 마비시키려 하고 좀비 PC를 이용한 디도스 공격 외에도 해외로부터의 서비스 응답으로 위장한 공격 활용, 공격대상인 서버의 하드디스크 파괴와 공격 IP 은닉수법을 통한 흔적 위장과 로그파일 삭제를 통한 해킹 근원지 추적 방해 등 다양하고 진화된 공격 수법을 사용한 것으로 조사됐다.

합동대응팀 조사결과 6·25일 서버파괴 공격을 위해 활용한 국내 경유지에서 발견된 IP와 지난 1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP가 나타났다.

해커는 경유지 로그를 삭제하고 하드디스크를 파괴했지만 포렌식 및 데이터 복구를 통해 북한 IP임을 확인했다.

전길수 KISA 침해사고대응단장은 “실제 시스템에 대한 파괴 행위가 이뤄져 파괴한 것을 복구하는 과정에서 일부 로그를 채취할 수 있었고 북한 IP를 발견할 수 있었다”며 “북한 IP가 일부 피해기관과 악성코드 경유지에서 발견됐다”고 말했다.

전 단장은 IP변조 가능성에 대해서는 “발견된 IP와 피해 경유지에서 발견된 서버의 통신이 일단 단방향이라면 변조가 가능하지만 이번 경우에는 양방향 통신이 이뤄져 변조자체는 불가능한 것으로 파악되고 있다”며 “추정이라고 말했지만 '북한의 소행으로 우리가 판단한다' 정도로 이해하면 될 것”이라고 설명했다.

서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요파일 삭제, 해킹 결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징은 3·20사이버 테러와 같았다.

이번 홈페이지 변조 및 디도스 공격에 사용된 악성코드 역시 3·20 사이버테러 시 발견된 악성코드의 변종된 형태인 것으로 확인됐다.

전 단장은 “3·20과 유사하다는 것은 시스템 파괴나 이런 형태에서 사용된 악성코드나, 아니면 기타 공격 방법들이 3·20, 또는 기타 과거에 일어났던 북한이라고 의심되는 공격들과 유사한 일이 발생했다는 것”이라고 설명했다.

6·25 사이버 공격은 청와대·국조실 등 상징성이 큰 국가기관의 홈페이지를 변조시켜 국격을 훼손하고 홈페이지 변조 등에 어나니머스 이미지를 사용해 공격주체 판단에 혼란을 줬다.

전 단장은 “청와대나 국내 홈페이지를 공격했던 세력은 어나니머스를 위장했다고 보고 있다”고 말했다.

정부는 이번 사이버테러가 공공·민간기업 구분없이 무차별적으로 자행됐고 앞으로도 유사한 사고가 지속 발생될 것으로 우려되면서 민간기업도 보안 전담인력·조직 확보 및 중요자료의 보호를 위한 적극적인 보안조치를 이행하고 일반인들도 개인 PC와 스마트폰에 최신 백신을 설치하는 등 특별히 보안관리에 유념해 줄 것을 당부했다.

정부는 사이버위협에 신속하고 체계적으로 대응하기 위해 지난 4일 마련한 국가 사이버안보 종합대책을 바탕으로 사이버안보 컨트롤 타워인 청와대를 중심으로 국정원, 정부부처간 위협정보 적시 공유 등 사이버위협 대응체계를 확립하고 사이버 위협 조기 경보 기능과 동시 상황전파 체계를 구축, 지능화되고 있는 사이버공격을 효과적으로 차단할 수 있는 첨단 대응기술 연구 및 전문인력 확충 등 사이버안보 기반을 지속적으로 확충할 예정이다.