아주경제 이한선·주진 기자= 정부가 20일 발생한 전산망 마비사태의 원인에 대해 북한의 소행 등에 가능성을 열어놓고 원인을 찾고 있다.

청와대 고위관계자는 21일 "북한의 소행일 가능성에 강한 의구심을 갖고 모든 가능성에 대해 면밀히 추적, 분석하고 있다"고 말했다.

김장수 국가안보실장은 이번 사건이 전문해커집단이나 북한의 소행 등 모든 가능성을 열어두고 분석 중인 것으로 알려졌다.

김 실장은 이번 사안의 성격상 해커를 규명하는 데 상당한 시간이 걸리거나 해커의 실체를 파악하지 못하는 상황도 생길 수 있다는 입장이라고 청와대 고위관계자는 전했다.

청와대는 대책 마련을 위해 조만간 관계부처와 유관기관들이 모두 참여하는 국가사이버안전전략회의를 여는 방안도 검토 중이다.

청와대는 전날 사건 발생 이후 국가안보실을 중심으로 위기관리실과 미래전략실, 외교안보수석실 등이 관련 기관에서 올라오는 정보를 중심으로 대응하고 있으며, 사이버 안전의 법적·제도적 정비사항까지 검토하고 있다.

정부는 이날 브리핑을 통해 농협 시스템에 대한 분석 결과 중국 IP(101·106·25·105)가 업데이트 관리서버에 접속해 악성파일을 생성한 것으로 드러났다고 밝혔다.

이전의 대규모 해킹 사건 때는 중국을 경유한 북한의 공격으로 결론이 내려진 경우가 많았다.

정부는 민·관·군 합동대응팀 주관으로 악성코드를 분석한 결과 피해 6개사 모두 동일 조직에 의해 공격이 자행된 것으로 판단하고 공격 주체를 추적 중이다.

악성코드가 하드디스크를 손상시키는 특징이 피해 사이트에서 동일하게 나타나고 악성코드 고유의 문자열이 보인다는 점에서 동일 조직에 의한 것으로 판단하고 있다.

악성코드에서 나타난 문자열이 추가 공격을 암시하고 있다는 해석이 나오면서 추가 공격에 대한 우려도 크다.

이번 전산망 마비사태로 언론·금융 6개사 PC·서버 3만2000대가 피해를 당했고, 피해사 업데이트 관리 서버가 해킹돼 내부 PC가 대량 감염된 것으로 파악됐다.

이는 2011년 3·4 디도스 사태 때 8일간 725대의 PC가 손상된 것과 비교해 큰 규모다.

디도스가 여러 지점에서 한꺼번에 시스템을 공격하면서 다운시키는 방식이라면, 이번 악성코드는 각 사 서버에 침투해 연동 PC의 부팅영역을 파괴하면서 감염 규모가 커졌다.

이날 오후까지 피해를 입은 농협의 일부 전산이 복구되지 않아 ATM의 10%가 운영되지 못했고, 방송사들은 전산망이 복구됐지만 개별 PC에 대한 작업을 진행 중이다.

손상된 PC는 하드디스크를 포맷하고 운영체제를 다시 깔거나 파티션 고장이 일어났을 경우 교체가 필요해 일부 저장자료 손실 가능성도 있다.

정부는 추가 피해 차단을 위해 안랩·하우리 및 잉카인터넷 등 백신업체와 협조해 전용백신을 긴급개발해 이날 새벽 1시부터 한국인터넷진흥원 보호나라 홈페이지 등을 통해 무료 배포하고 있다.

일반인들도 악성코드 감염에 대비해 PC의 시스템 날짜를 뒤로 돌리고 백신을 업데이트할 필요가 있다고 정부는 밝혔다.