미래부가 발표한 민관군 합동대응팀의 조사결과에 따르면 지난달 25일부터 이달 1일까지 총 69개 기관·업체를 공격한 '6.25 사이버공격'이 '3.20 사이버테러'로 방송·금융기관의 전산망을 마비시킨 북한의 해킹 수법과 일치한다.
이번 사이버공격이 북한의 해킹으로 추정되는 증거는 3가지다. 박재문 미래부 정보화전략국장은 브리핑을 통해 "'6.25 사이버공격' 당시 서버공격에 활용한 국내 경유지의 IP와 이번달 1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP를 발견했다"고 밝혔다.
이어 "서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요파일 삭제, 해킹 결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징이 '3.20 사이버 테러'와 동일했다"고 말했다.
해커는 최소 수개월 이상 치밀하게 공격을 준비한 것으로 분석됐다. 국내 P2P·웹하드 서비스, 웹호스팅 업체 등 다중 이용 사이트를 사전에 해킹해 다수의 공격목표에 대한 보안 취약점을 미리 확보하는 방식을 사용했다.
특히 정부통합전산센터 DNS서버를 공격해 다수의 정부기관 인터넷 서비스를 일시에 마비시키려 하고, 좀비PC를 이용한 디도스 공격 외에도 해외로부터의 서비스 응답으로 위장한 공격을 벌였다.
공격대상인 서버의 하드디스크를 파괴하고, 공격IP 은닉수법을 통한 흔적 위장과 로그파일 삭제를 통해 해킹 근원지 추적을 방해하는 등 다양하고 진화된 공격 수법을 사용한 것으로 조사됐다.
미래부 측은 "사이버안보 컨트롤 타워인 청와대를 중심으로 국정원, 정부부처간 대응체계를 확립하고, 사이버 위협 조기 경보 기능과 동시 상황전파 체계를 구축하겠다"며 "지능화되고 있는 사이버공격을 효과적으로 차단하는 첨단 대응기술 연구 및 전문인력 확충 등 사이버안보 기반을 지속적으로 보완해 나갈 것"이라고 밝혔다.
김보경 기자 bkly477@
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>