[상보]정부 "3.20사이버테러는 북한 소행…8개월 이상 준비"

“악성코드 76종, 북한 내부서 1590회 접속해 유포”

KBS·YTN 등 방송사와 농협 등 금융권 전산망을 다운시킨 ‘3.20 사이버테러’는 북한 정찰총국 소행인 것으로 드러났다.

민·관·군 정부 합동대응팀 은 10일 “ 방송·금융사 공격에 사용된 악성코드 76종과 수년간 국정원과 군에 축적된 북한의 대남 해킹 조사결과를 종합 분석한 결과 이 같은 결론이 나왔다”고 밝혔다.

미래창조과학부 이승원 정보보호정책과장은 “공격자는 최소 8개월 이전부터 목표 기관 내부의 PC 또는 서버 컴퓨터를 장악해 자료 절취, 전산망 취약점 파악 등을 지속적으로 감시하다 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 유포했고, 서버 저장자료 삭제 명령을 실행한 것으로 확인했다”고 말했다.

또 북한 내부에서 국내 공격경유지에 수시 접속하는 등 장기간 공격 준비를 거쳤던 것으로 나타났다.

지난해 6월 28일부터 북한 내부 PC 최소한 6대가 1590회 접속해 금융사에 악성코드를 유포하고 PC 저장자료를 절취했고, 공격 다음날인 지난달 21에는 해당 공격경유지를 파괴, 흔적 제거까지 시도했다.

특히 지난 2월 22일 북한 내부 인터넷주소(175.45.178.xx)에서 감염PC 원격조작 등을 명령해 국내 경유지에 시험 목적으로 처음 접속했던 것으로 나타났다.

또 공격경유지 49개중 22개가 과거 사용했던 경유지와 동일했고, 지금까지 파악된 국내외 공격경유지 49개(국내 25, 해외 24) 중 22개(국내 18, 해외 4)가 2009년 이후 북한이 대남 해킹에 사용 확인된 인터넷주소와 일치했다.

또 악성코드 76종 중 30종 이상을 활용했고, 북한 해커만 고유하게 사용 중인 감염PC의 식별 번호(8자리 숫자) 및 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용한 악성코드가 무려 18종으로 나타났다.

또 일련의 사이버테러 4건이 동일조직 소행이라는 근거로 지난달 20일 방송·금융사 공격의 경우, 대부분 파괴가 같은 시간대에 PC 하드디스크를 ‘HASTATI' 또는 ’PRINCPES' 등 특정 문자열로 덮어쓰기 방식으로 수행됐다.

합동대응팀은 지난달 25일, 26일 발생한 3건도 악성코드 소스프로그램이 방송·금융사 공격용과 완전히 일치하거나 공격경유지도 사용된 사실을 확인했다.