아주경제 이한선 기자= 정부는 조사 결과 3·20 해킹이 북한의 소행으로 드러나면서 사이버 테러를 전담하는 정찰총국이 공격을 감행한 것으로 파악하고 있다.

전길수 인터넷진흥원 침해사고대응단장은 “과거 해킹은 개인정보를 유출해 매매 등을 목적으로 한 것이 많았지만 이번 공격은 사회혼란 유발이 목적인 것으로 분석된다”며 “과거 디도스 공격과는 달리 이번에는 대상이 한 기관이 아니라 여러 기관을 동시에 노린 점에서 이같은 해석이 가능하다”고 말했다.

정부가 3·20 해킹이 북한의 소행이라고 단정하는 이유는 공격에 사용된 컴퓨터 인터넷 주소 및 해킹수법 등을 분석한 결과 증거를 상당량 확보했기 때문이다.

전 단장은 “이번에 북한 관련 충분한 증거가 확보됐다고 판단한다”며 “디도스 공격은 한 방향으로 통신이 이뤄지면서 위조 IP를 쓸 가능성이 크지만 이번 3·20 해킹 공격 방식은 양방향 통신을 이용해 응답하고 통신이 이뤄져 위조 IP 사용 가능성이 작다”고 설명했다.

조사 결과 드러난 북한 IP가 데이터를 전송해 받아야 되기 때문에 위조 IP일 가능성이 낮다는 것이다.

전 단장은 "북한 IP의 추출이 접속 로그를 지워 이를 숨기려는 노력이 있기 때문에 파악이 어려운 것이 사실"이라며 "외국 경유지를 통해 접속하는 과정에서 수초간 북한 IP의 노출이 있었다"고 말했다.

북한은 지난 2월 22일 내부 인터넷주소(175.45.178.xx)에서 감염 PC 원격조작 등 명령 하달을 위한 국내 경유지에 시험 목적으로 처음 접속한 것으로 조사됐다.

지난 2월 북한의 내부 PC에서 해외를 거쳐 금융사 유포용 악성코드 3종을 업로드한 것도 드러났다.

북한 해커만 고유하게 사용중인 감염 PC의 8자리 식별 번호와 감염신호 생성코드 소스프로그램 중 과거와 동일하게 사용한 악성코드가 18종에 달했다.

지금까지 파악된 국내외 공격 경유지 49개(국내 25개, 해외 24개) 중 22개(국내 18, 해외 4)가 2009년 이후 북한이 대남 해킹에 사용 확인된 인터넷주소와 같았다.

일련의 사이버테러 4건이 동일조직 소행이라는 근거는 20일 방송·금융사 공격의 경우 대부분 파괴가 같은 시간대에 PC 하드디스크를 ‘HASTATI‘ 또는 ’PRINCPES’ 등 특정 문자열로 덮어쓰기 방식으로 수행됐고 악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로가 일치한다는 점이라고 합동대응팀은 밝혔다.

3월 25일 해킹 시도와 26일 발생한 YTN 계열사 홈페이지 자료서버 파괴, 대북·보수단체 홈페이지 자료 삭제 등 3건도 악성코드 소스프로그램이 방송·금융사 공격용과 완전히 일치하거나 공격 경유지가 재사용된 사실을 확인했다.

감염 경로는 홈페이지 접속을 통해 악성코드를 다운로드하거나 이메일의 첨부파일을 열어보거나 백신 업데이트 서버를 통하는 등 다양한 방식을 통해 이뤄진 것으로 나타났다.

해킹 공격은 취약한 부분을 찾아내 이뤄졌다.

웹사이트의 웹서버나 관리자 PC, 사내 서버의 취약점을 찾아내 개인 PC나 하드디스크를 파괴하는 등 사전에 치밀한 준비를 통해 감행됐다. 공격 경유 국가는 우리나라를 포함해 10개국으로 조사됐다.

전 단장은 "추가 공격 가능성은 언제나 있다"며 "얼마나 이를 빨리 파악하고 대응하느냐가 중요하며 보안이 선결될 필요가 있다"고 말했다.

3·20 해킹으로 6개 방송·금융사는 전산장비 4만8700대가 파괴되는 피해를 입은 것으로 나타났다.