［헤럴드경제=류정일 기자］ 3ㆍ20 사이버테러의 배후로 북한이 지목된 것은 지난 2009년 7ㆍ7 DDos 사태와 2011년 농협 해킹 사건은 물론, 지난해 중앙일보 전산망 파괴 등 과거 수차례 있었던 북한의 대남 해킹수법과 일치했기 때문이다.

우선 미래부, 국방부, 금융위, 국정원과 한국인터넷진흥원(KISA), 안랩, 하우리 등 국내보안업체로 구성된 민관군 합동대응팀이 지난 20여일간 추적한 사이버테러 피해 현황은 광범위했다.

지난달 20일 방송사와 금융회사 6개 전산장비 파괴, 25일 ‘날씨닷컴’ 사이트를 통한 전 국민대상 악성코드 유포, 26일 14개 대북ㆍ보수단체 홈페이지 자료 삭제, YTN 계열사 홈페이지 자료 서버 파괴 등 4건이 조사 대상이었다.

합동대응팀은 피해 회사의 감염 장비 및 국내 공격 경유지 등에서 76종의 악성코드(파괴용 9종, 사전 침투 및 감시용 67종)와 수년간 국정원과 군이 축적한 북한의 대남 해킹 조사결과를 종합 분석한 결과, 북한의 소행으로 결론 내렸다.

이미 지난해 6월28일부터 북한 내부 PC 최소한 6대가 1590차례에 걸쳐 접속해 피해 금융회사에 악성코드를 유포한 것으로 확인했다. PC 저장자료가 절취됐으며 공격 다음날인 지난달 21일 해당 공격 경유지를 파괴해 침투 흔적을 제거하려고 시도했다.

특히 지난 2월22일 북한 내부 인터넷 주소(175.45.178.XX)에서 감염PC 원격 조작 등 명령 하달을 위해 국내 경유지에 시험 목적으로 첫 접속된 사실도 밝혀냈다.

공격 경유지로 이용된 49개 중에서 22개가 과거 북한이 사용했던 경유지와도 일치했다. 합동대응팀이 지금까지 파악한 국내외 공격 경유지는 국내 25개와 해외 24개 등 49개로 이중 국내 18개, 해외 4개 등 22개가 지난 2009년 이후 북한이 대남 해킹에 사용한 것으로 확인된 인터넷 주소와 일치했다.

여기에 발견된 76종의 악성코드 중 30종 이상이 북한 특유의 것을 재활용한 것으로 드러났다. 합동대응팀은 “북한 해커만 고유하게 사용중인 감염PC의 식별 번호(8자리 숫자) 및 감염신호 생성코드의 소스 프로그램 중 과거와 동일하게 사용한 악성코드가 무려 18종에 달했다”고 밝혔다.

더욱 충격적인 것은 공격자가 최소한 8개월 이전부터 목표한 기관 내부에 미리 잠입해 있었다는 점이다. 공격자는 기관 내부의 PC 또는 서버 컴퓨터를 장악해 자료 절취, 전산망 취약점 파악 등 지속적으로 감시하다가 백신 등 프로그램의 중앙 배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포하고 서버 저장자료 삭제 명령을 실행한 것으로 확인됐다.

이에 따라 3ㆍ20 사이터테러 직후, 소비자 피해는 없었다는 금융위 등의 발표에 의구심이 더해지며 추가 피해 우려도 배제할 수 없는 상황이 됐다. 특히 무려 8개월간이나 잠복해 있으면서 감시활동을 펼쳐왔고 정부는 물론, 해당 기관도 이같은 사실을 인지하지 못했다는 점에서 이미 다른 기관이나 기업에도 이미 북한에 장악된 PC나 서버가 추가로 존재하는 것 아니냐는 불안감이 커지고 있다.

이와 관련해 정부는 추가공격에 대비해 국정원, 경찰청, KISA의 조사 모니터링 인력을 평시 대비 3배 이상으로 확대하는 한편 총 1781개 주요 홈페이지를 대상으로 악성코드 여부를 점검했다.

한편 합동대응팀은 동일조직의 소행이라는 근거로 지난달 20일 대부분 파괴가 같은 시간대에 PC 하드디스크를 ‘HASTATI’ 또는 ‘PRINCPES’ 등 특정 문자열로 덮어쓰기한 방식으로 수행됐다고 설명했다. 또한 악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로도 일치했다.

합동대응팀은 “지난달 25, 26일 발생한 3건도 악성코드 소스 프로그램이 방송ㆍ금융사 공격용과 완전히 일치하거나 공격 경유지도 재사용된 사실을 확인했다”고 밝혔다.

ryus@heraldcorp.com