정부, '3.20 사이버테러' 중간조사결과 발표

'3.20 사이버테러' 민관군 합동대응팀은 미래부, 국방부, 금융위, 국정원, 한국인터넷진흥원(KISA), 국내보안업체(안랩, 하우리, 이글루시큐리티, 윈스테크넷, KT 등)로 구성되었다.

민관군 합동대응팀은 피해사감염장비 및 국내 공격경유지 등에서 수집한 악성코드 76종과 수년간 국정원과 軍에 축척된 북한의 대남해킹 조사결과를 종합 분석한 결과 공격자는 최소한 8개월 이전부터 목표 기관 내부의 PC 또는 서버 컴퓨터를 장악하여 자료 절취, 전산망 취약점 파악 등 지속적으로 감시하다가 백신 등 프로그램의 중앙배포 서버를 통해 PC 파괴용 악성코드를 내부 전체 PC에 일괄 유포하거나 서버 저장자료 삭제 명령을 실행한 것으로 확인하였다고 밝혔다. 또한, 공격에 사용된 컴퓨터 인터넷주소 및 해킹수법 등을 분석한 결과, 과거 7.7 DDoS 등과 같이 북한 소행으로 추정되는 증거를 상당량 확보하였다고 말했다.

북한의 해킹으로 추정되는 증거로 북한 내부에서 국내 공격경유지에 수시 접속, 장기간 공격 준비, 2012년 6월 28일부터 북한 내부 PC 중 최소한 6대가 1,590회 접속하여 금융사에 악성코드를 유포하고 PC 저장자료를 절취하였으며 공격 다음날해당 공격경유지를 파괴, 흔적 제거까지 시도하였다.

올해 2월 22일 북한 내부 인터넷 주소에서 감염PC 원격조작 등 명령 하달을 위한 국내 경유지에 시험 목적으로 처음 접속한 흔적도 밝혀졌다.

공격경유지 49개중 22개가 과거 사용했던 경유지와 동일하고 지금까지 파악된 국내외 공격경유지 49개 중 22개가 2009년 이후 북한이 대남해킹에 사용 확인된 인터넷주소와 일치하였다.

또한 악성코드 76종 중 30종 이상을 재활용하고 북한 해커만 고유하게 사용중인 감염PC의 식별 번호(8자리 숫자) 및 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용한 악성코드가 무려 18종에 달하였다고 밝혔다.

정부는 내일 국가사이버안전전략회의를 열고 재발방지 대책 논의하기로 하였다.