［헤럴드경제=류정일 기자］ 3ㆍ20 사이버 테러의 파괴력이 사상 최대로 나타났다. 정부 합동대응팀이 총력을 기울이고 있지만 공격자 추적은 1~2개월 이상이 걸릴 전망이다.

21일 정부가 밝힌 피해 규모는 6개사 3만2000여대의 PC와 31개 서버로 집계됐다. 전일 오후 2시를 전후해 일시에 6개 주요 기관의 PC와 서버가 사용 불능 상태에 빠진 것은 사상 초유의 사태다.

이번 공격은 악성코드를 통해 PC 하드디스크를 망가뜨렸다는 점에서 지난 2011년 3월4일 발생한 디도스(DDoS.분산서비스거부) 방식과 유사하지만 파괴력에서는 엄청난 차이를 보였다. 3ㆍ4 디도스 당시에는 8일간 725대의 PC가 손상됐다.

이에 합동대응팀은 유포 경로와 공격자를 추적하는데 총력을 기울이고 있지만 다시 시일이 걸릴 전망이다.

농협의 경우, 중국 IP를 경유한 해커가 업데이트 관리 서버에 접속해 악성파일을 유포한 것으로 확인됐지만 해킹 경로와 최초 공격지점, 공격자 등의 전모는 아직 베일에 가려 있다.

정상 프로그램으로 위장해 시스템을 파괴하는 ‘트로이 목마’ 방식의 악성코드가 유포된 것으로 보고 있지만 보안회사의 업데이트 서버를 경유한 것인지, 지능형 지속공격(APT) 방식으로 해당 서버의 관리자 계정을 탈취했는지 등도 불투명하다.

특히 PC와 서버의 각 운영 체계별 특징을 파악, 부팅 시스템을 망가뜨리는데 최적의 코드를 만들어 잠입시킨 점으로 미뤄 다수의 인물로 이뤄진 조직이 긴 시간 준비했을 가능성이 큰 것으로 보여 추적에도 1~2개월 가량 시일이 소요될 전망이다.

합동대응팀 관계자는 “일시적으로 다량의 트래픽을 유발해 네트워크를 마비시키는 디도스 공격이나 농협 해킹 때도 최종 배후가 누구인지 알아내는 데에는 짧아야 한달, 길게는 몇달이 걸렸다”며 “공격 주체가 누구인지, 공격이 어떤 방식인지, 공격 패턴이 무엇인지 등을 명확히 파악하는 데 꽤 많은 시간이 필요하다”고 말했다.

실제 지난해 6월 발생한 중앙일보 해킹 사건의 경우, 발생 후 반년만인 올해 1월에야 경찰이 북한의 소행이라는 결론을 내린 바 있다.

ryus@heraldcorp.com