정부 "3·20 사이버테러는 북한 소행… 8개월전부터 준비"

[재경일보 김상현 기자] 지난달 20일 발생한 KBS·MBC·YTN 등 방송사와 농협·신한·제주은행·NH생명보험·NH손해보험 등 금융기관에 대한 동시다발적인 사이버테러는 북한의 소행이라는 공식 조사결과가 나왔다.

사이버테러의 공격 경로를 추적한 결과, 북한 내부의 인터넷프로토콜(IP)이 나왔고, 접속 흔적을 제거하려고 시도한 사실도 발견됐다.

또 북한이 적어도 8개월 전부터 치밀하게 준비해 감행한 것으로 분석됐다.

이번 사건을 조사해 온 민·관·군 합동대응팀은 10일 오후 미래창조과학부 브리핑실에서 기자회견을 열어 이같은 내용을 포함한 조사 결과를 발표했다.

합동대응팀은 피해 업체의 감염 장비와 국내 공격경유지 등에서 수집한 악성코드 76종을 분석하고 수년간 국가정보원과 군에 축적된 북한의 대남해킹 조사결과를 종합적으로 반영해 이같은 추정을 내놨다.

공격자는 최소한 8개월 이전부터 목표 기관 내부의 PC나 서버를 장악해 자료를 절취하고 전산망의 취약점을 파악하는 등 지속적인 침투·감시를 해 온 것으로 드러났다고 합동대응팀은 밝혔다.

조사 결과, 지난해 6월 28일부터 최소한 6대의 북한 내부 PC가 1590회의 접속을 통해 금융기관에 악성코드를 유포하고 PC에 저장된 자료를 절취한 것으로 드러났다. 이중 13회에서 북한의 인터넷프로토콜(IP)이 드러났다. 국내 경유지를 미리 마련해 두고 수시로 준비 상황을 점검했다는 것이다.

또 3.20 사이버테러 한 달여 전인 지난 2월 22일부터는 북한 내부 IP주소(175.45.178.XXX)에서 감염PC를 원격으로 조작하는 등 명령 하달을 위한 국내 경유지에 시험 목적으로 처음 접속한 흔적도 발견됐다.

이 공격 경유지에서 공격자가 악성코드로 내부 시스템을 감염시킨 후 안랩 등 보안프로그램의 패치서버 등을 통해 국내 업체에 공격을 시도한 것으로 보인다.

북한은 공격 다음날인 지난달 21일 해당 공격 경유지를 파괴해 흔적 제거까지 시도하는 치밀함을 보였다.

대응팀은 해커가 방화벽과 웹서버를 거치면서 남긴 로그를 모두 지웠지만 원격 터미널에 접속한 로그가 일부 남아있었다고 설명했다. 통신상의 문제 때문에 수초∼수분 동안 북한의 IP가 노출됐다는 것이다.

정부는 이 IP가 위조된 것일 가능성을 염두에 두고 조사를 진행했으나 이번 공격이 단방향 공격이 아니라 양방향 통신을 바탕으로 한 공격이라는 점에서 위조 가능성은 낮다고 결론을 내렸다.

디도스(DDoS, 분산서비스거부) 공격처럼 공격자가 명령을 내리기만 하면 되는 공격에서는 IP를 위조할 수 있지만, 이번 공격은 공격자가 명령을 내리고 나서 답을 받아야 하는 방식이기 때문에 IP를 위조했을 가능성은 극히 낮다는 게 정부의 판단이다.

정부 관계자는 "위조된 IP를 쓰면 답변이 엉뚱한 곳으로 갈 수 있다"며 "IP 세탁 가능성을 0%라고 할 수는 없겠지만 가능성이 매우 낮다"고 말했다.

이밖에 대응팀은 지금까지 북한 소행으로 결론이 난 과거 공격과 이번 사이버테러의 경유지와 수법이 일치하거나 상당 부분 유사하다는 점도 북한의 해킹으로 추정되는 증거로 들었다.

이번 공격에 사용된 악성코드 76종을 대응팀이 분석한 결과, 악성코드 76종 중 파괴용은 9종밖에 없었으나 사전 침투·감시용은 67종에 이르렀다. 이는 공격이 사전에 치밀하게 준비된 것임을 보여 주는 것으로 합동대응팀은 분석했다. 피해를 본 서버·PC, ATM 등은 모두 4만8000여대에 달했다.

또 북한 해커가 고유하게 사용 중인 감염PC의 8자리 식별번호와 감염신호 생성코드의 소스 프로그램을 분석한 결과 과거와 같은 것이 18종 발견됐다. 이 18종을 포함해 30여종이 과거 북한의 대남 사이버 공격에 쓰였던 것을 재활용한 것으로 드러났다.

지금까지 파악된 공격 경유지는 국내 25곳, 해외 24곳이고, 이 중 국내 18곳, 해외 4곳 등 절반에 가까운 22곳이 2009년 이후 북한이 대남 해킹에 사용한 것과 IP주소가 일치했다.

조사 결과, 공격자는 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 표적기관 내부의 전체 PC에 일괄 유포하거나 서버 저장자료 삭제 명령을 실행한 것으로 확인됐다.

대응팀은 지난달 20일 방송사·금융기관 전산장비 파괴뿐만 아니라 닷새 뒤 발생한 '날씨닷컴' 사이트를 통한 무차별 악성코드 유포, 지난달 26일의 14개 대북·보수단체 홈페이지 자료 삭제와 YTN 계열사 홈페이지 자료서버 파괴 등도 동일한 주체에 의해 일어난 것으로 추정했다.

이 사건들이 연쇄적으로 일어난 사이버테러라는 추정은 악성코드 소스가 일치하며 공격 경유지가 재사용됐다는 점을 근거로 한 것이다.

정부는 이번 공격이 북한 정찰총국의 소행일 가능성이 크다고 보는 것으로 알려졌다.

특히 북한 정찰총국이 오래 전부터 국내 해킹을 위해 상당히 많은 경로를 확보해 두고 지속적으로 활용하고 있을 가능성도 제기됐다.

대응팀 관계자는 "오래 전부터 정보를 빼내는 등 매우 치밀하게 준비를 한 점이 이번 공격의 특징"이라고 설명했다.

그는 "이번 공격을 담당한 북한 내 기관이 정찰총국일 것으로 보고 있다"며 "다만 이는 국가정보원과 군이 확보한 정보를 바탕으로 한 판단이어서 상세한 근거는 보안상 밝히기 어렵다"고 밝혔다.

정부는 사이버테러 이후 추가공격에 대비해 국정원, 경찰청, 한국인터넷진흥원의 조사 모니터링 인력을 평시 대비 3배 이상으로 확대하는 한편 총 1781개 주요 홈페이지를 대상으로 악성코드 여부를 점검했다.

한편, 정부는 11일 국가정보원장 주재로 미래창조과학부, 금융위원회, 청와대 국가안보실 등 15개 정부기관 관계자가 참석하는 '국가사이버안전전략회의'를 열어 재발 방지 대책을 논의키로 했다.