미래․국방․안행․법무(검찰)부, 금융위, 국정원, 경찰청, 국내보안업체(안랩․하우리․이글루시큐리티․윈스테크넷․KT 등) 및 한국인터넷진흥원(KISA) 등 18개 기관으로 구성된 민.관.군 합동대응팀은 지난 6월 25일부터 7월 1일 사이에 발생한 사이버 공격이 3.20 사이버 테러 등을 감행한 북한의 해킹 수법과 일치한다고 밝혔다.

 

지난 6월 25일 해커는 방송․신문사 서버장비 파괴(6.25 09:00), 청와대, 국무조정실 등 홈페이지 변조(6.25 09:24), 정부통합전산센터 DDoS 공격(6.25 10:00), 경남일보 등 43개 민간기관 홈페이지 변조(7.1 08:21) 등 총 69개 기관․업체 등에 대한 연쇄적인 공격을 자행했다.

 

 

합동대응팀은 6월 25일 서버파괴 공격을 위해 활용한 국내 경유지에서 발견된 IP와 7월 1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP를 발견했다고 밝혔다. 해당 IP는 시스템 파괴 행위가 이루어진 것을 복구하는 과정에서 일부 로그를 채취, IP를 얻을 수 있었다.

 

이 IP들은 3.20 해킹 때 사용한 IP와 동일한 것은 아니라 이미 정보기관에서 확보하고 있던 북한 IP라고 합동대응팀은 설명했다. IP 변조 가능성에 대해서는 발견된 IP와 피해 경유지 IP가 양방향이기에 변조할 수 없다고 말했다.

 

악성 코드 또한 3.20 사이버테러 시 발견한 악성코드의 변종이 된 형태이며, 서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요파일 삭제, 해킹 결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징이 3.20사이버 테러와 유사하다고 언급했다.

 

개인정보 유출에 대해선 유출이 있었지만, 사전인지 사후인지에 대해선 모른다고 답했다. 또한 유출 규모도 정확히 파악되지 않고 있는 상황이다.

 

이번 해킹에 대해 합동대응팀은 최소 6개월 이상의 준비기간이 있었던 것으로 파악하고 있다. 국내 P2P․웹하드 서비스, 웹호스팅 업체 등 다중 이용 사이트를 사전에 해킹해 다수의 공격목표에 대한 보안 취약점을 미리 확보하는 등 치밀하게 공격을 준비했다고 밝혔다.

 

국가망 공격에 대해선, 홈페이지와 같은 대국민 서비와 중요 내부망은 별도다. 이번 공격은 공개된 사이트에 해당된다며, 내부 국가망은 문제없다고 합동대응팀은 설명했다.

 

정부는 이러한 일련의 각종 사이버위협에 신속하고, 체계적으로 대응하기 위해 지난 7월 4일 국가 사이버안보 종합대책을 마련했다. 사이버안보 컨트롤 타워인 청와대를 중심으로 국정원, 정부부처간 위협정보 적시 공유 등 사이버위협 대응체계를 확립하고, 사이버 위협 조기 경보 기능과 동시 상황전파 체계를 구축하며, 점점 지능화되고 있는 사이버공격을 효과적으로 차단할 수 있는 첨단 대응기술 연구 및 전문인력 확충 등 사이버안보 기반을 지속해서 확충해 나갈 예정이다.

 

베타뉴스 김태우 ()
Copyrights ⓒ BetaNews.net

• • 목록
  • 위로