본문 바로가기

북 정찰총국, 8개월 전부터 해킹 준비

중앙일보 2013.04.11 01:35 종합 8면 지면보기
지난달 20일 KBS·MBC·YTN과 농협·신한은행·제주은행 등 방송·금융 6개사 전산망을 동시에 마비시킨 사이버테러는 북한이 8개월 이상 준비해 저지른 것이라는 공식 발표가 나왔다. 미래창조과학부·국방부·국가정보원·한국인터넷진흥원(KISA)·민간보안업체 등으로 구성된 민·관·군 합동대응팀은 10일 경기도 과천 미래부 청사에서 기자간담회를 열고 이 같은 내용의 조사 결과를 발표했다.


3·20 사이버테러 조사 결과
북한 PC에서 1590회 접속
악성코드 심기 사전 작업
보수단체 해킹도 동일범

 합동대응팀은 “3·20 공격 방식이 2009년의 7.7디도스(DDoS) 공격과 농협(2011년)·중앙일보(2012년) 전산망 파괴에 쓰인 북한의 해킹 수법과 일치한다”며 “이번에 쓰인 악성코드 76종과 인터넷 주소, 국정원과 군이 보유한 북한 해킹 관련 정보를 종합해 이같이 결론 내렸다”고 밝혔다.



▷여기를 누르시면 크게 보실 수 있습니다


 북한의 소행이라는 결론의 근거로 ▶북한 내부에서 국내에 수시로 접속해 장기간 공격을 준비한 흔적 ▶공격 경유지가 과거 북한 해킹과 일치 ▶악성코드도 북한이 썼던 것 ▶최근 발생한 사이버테러 4건이 동일 조직 소행이라는 4가지를 들었다. 이날 발표를 맡은 전길수 KISA 침해사고대응단장은 “지난해 6월부터 6대 이상의 북한 PC가 국내에 1590회 접속해 금융사에 악성코드를 뿌리기 위한 사전 작업을 했으며, 지난 2월에는 북한 내 인터넷 주소(IP)로 국내에 처음 접속한 흔적을 발견했다”고 말했다.



또 “공격을 위해 거쳐간 IP 49개 중 22개는 2009년 이후 북한이 대남 해킹에 사용한 IP와 일치하며, 악성코드 76종 중 18종도 전에 북한이 썼던 것과 똑같았다”고 설명했다. IP는 위조가 가능하지만, 이번 공격은 양방향으로 통신을 주고받으며 이뤄졌기 때문에 실제 IP를 알아낼 수 있었다는 것이다. 대응팀은 보수단체와 YTN 계열사 홈페이지 해킹 등 지난달 25, 26일 발생한 3건의 추가 공격에 쓰인 악성코드와 경유지 또한 대부분 일치한다고 덧붙였다.



 대응팀은 이번 공격을 주도한 세력으로 북한 정찰총국을 지목했다. 정찰총국 산하에는 1만2000여 명의 사이버테러 인력이 있고, 이 중 1000여 명은 해외에서 활동한다고 전해진다.



이번에 공격당한 국내 PC·서버는 5만7000여 대다. 대응팀은 테러리스트가 3곳 은행의 데이터베이스 관리자 계정을 탈취하지 못해 금융거래 자료에는 접근하지 못한 것으로 판단했다.



 미래부 관계자는 “이번 수사 결과 발표는 사실상 국정원이 주도한 것”이라고 말했다. 대응팀에 참여한 민간 보안업체들은 “우리는 악성코드를 수집·분석하는 작업을 함께했을 뿐”이라며 “악성코드나 해킹 수법만으로 판단한 것은 아니고, 국정원이 자체적으로 확보한 정보를 종합해 결론 내린 것으로 안다”고 말했다.



 정부는 11일 국정원장 주재로 미래부·금융위원회·국가안보실 등 15개 정부기관이 참석하는 ‘국가사이버안전전략회의’를 열어 사이버 안전 강화 대책을 마련해 시행하기로 했다. 전문가들은 국가 차원의 대응 시나리오와 일원화된 해킹 신고 창구를 만들어야 한다고 주장한다. 백용기 잉카인터넷 상무는 “민간의 경우 출처가 정확하지 않은 파일을 내려받지 않고 정품 소프트웨어와 콘텐트를 쓰는 것만으로도 보안 수준을 상당히 높일 수 있다”고 조언했다.



이지상·심서현 기자
공유하기
광고 닫기