[뉴스토마토 김하늬기자] 정부가 지난달 20일 일부 방송사와 은행에서 발생한 해킹
공격 주체를 북한 정찰총국으로 지목한 근거는 무엇일까.
이번 사건을 조사한 민관군 합동대응팀은 피해 회사 감염장비와 국내 공유경유지 등에서 수집한 악성코드 76종이 수년간 국정원과 군에 축적된 북한의 대남해킹 수법과 일치한다고 설명했다.
대응팀은 5가지 증거를 들며 이번 사건이 북한 소행임을 강조했다.
첫번째로 대응팀은 북한 내부에서 국내 공격경유지에 수시로 접속해 장기간 공격을 준비한 점이 확인됐다고 밝혔다. 지난해 6월28일부터 북한 내부 PC가 최소 1590회 접속했다는 설명이다.
또 북한 내부 PC에서 해외를 거쳐 금융사 유포용 악성코드 3종을 업로드해 유포하고, PC저장자료를 절취해 공격 후 경유지와 흔적을 제거한 것도 드러났다. 전길수 한국인터넷진흥원(KISA) 침해사고대응단장은 "해커 입장에서 IP를 숨기려고 해 접속 로그와 방화벽 로그 등을 모두 삭제했다"며 "하지만 원격 터미널 로그 등이 남았다"고 말했다.
세번째는 지난 2월22일 북한 내부 인터넷주소에서 감염PC원격 조장 등 명령 하달을 위한 국내 경유지에 시험 목적으로 처음 접속한 점이다.
또 공격경유지가 49개중 22개가 과거 북한이 사용했던 경유지와 동일했고 2010년 대남 해킹에 사용된 경유지와 이번 해킹에 사용된 경유지도 일치했다.
마지막으로 악성코드 76종 중 30종 이상이 재활용된 점이다.
대응팀은 북한 해커만 고유하게 사용중인 감염 PC의 식별번호 8자리 숫자와 소스프로그램 중 과거와 동일한 악성 코드가 18종에 달했다고 밝혔다.
전길수 단장은 "이런 여러 정황을 분석한 결과 북한 정찰총국의 사이버테러 소행으로 밝혀졌다"며 "악성코드 유포나 사내서버 악용, 백신관련 소프트웨어 배포 취약성 등의
취약점을 지속적으로 감시해 이같은 테러를 일으킨 것으로 분석된다"고 말했다.
◇전길수 KISA 침해사고대응단장이 10일 민관군 합동 대응 팀중간 조사결과 발표에서 북한의 과거 해킹 수법과 일치 한 5가지 증거를 들며 설명하고 있다.