6·25 사이버공격 북한 소행 추정

지난 3ㆍ20 사이버테러에 이어 청와대와 언론사 등 69개 기관을 공격한 6ㆍ25 해킹도 북한의 소행으로 추정된다는 조사 결과가 나왔다.

미래창조과학부는 16일 브리핑을 열어 "지난달 25일부터 이달 1일 사이에 발생한 연쇄사이버공격은 3ㆍ20 사이버테러 등을 일으킨 북한의 해킹 수법과 일치한다"고 밝혔다. 북한으로 추정되는 공격자가 국제해커그룹 '어나니머스'로 위장해 이번 공격을 일으킨 것이라는 분석이다.

미래부는 사이버공격의 피해 장비와 공격 경유지 등에서 수집한 악성코드 82종 및 PC 접속기록, 공격에 사용한 인터넷 주소와 과거 북한의 대남해킹 자료 등을 종합 분석해 이 같은 결론을 내렸다고 설명했다.

미래부는 북한의 소행의 근거로 지난달 25일 서버 파괴 공격을 위해 활용한 인터넷프로토콜(IP)과 지난 1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP를 발견했다는 점을 제시했다. 해커는 공격 이후 근원지 추적을 방해하기 위해 경유지 로그를 삭제하고 하드디스크를 파괴했으나, 데이터 복구를 통해 북한 IP로 확인됐다. 이 IP는 3ㆍ20 사이버테러에 사용되지는 않았으나 북한이 사용하는 IP로 알려진 것 중 하나다.

또 공격자는 3·20 사이버테러 발생 전부터 이번 공격을 준비했다는 게 미래부의 분석이다. 박재문 미래부 정보화전략국장은 "공격자는 최소 수개월 이상 국내 웹하드 서비스, 웹호스팅 업체 등 다중 이용 사이트를 사전에 해킹해 공격목표에 대한 보안 취약점을 미리 확보하는 등 치밀하게 공격을 준비한 것으로 분석됐다"고 설명했다.

박 국장은 이어 "정부통합전산센터 DNS 서버를 공격해 다수의 정부기관 인터넷 서비스를 일시에 마비시키려 했으며, 좀비 PC를 이용한 디도스 공격 외에 국외로부터의 서비스 응답으로 위장한 공격을 활용하는 등 다양하고 진화된 공격 수법을 사용했다"고 분석했다.

미래부는 청와대 홈페이지를 공격하면서 국제 해커집단인 '어나니머스'를 내세운 것 또한 공격 주체 판단에 혼란을 주기 위한 의도로 풀이했다.

미래부는 그러나 이번 조사 결과를 발표하면서 북한이라고 '단정'하지 못하고 다만 '추정'하고 있어 귀추가 주목된다. 미래부는 이와 관련. "100% 확정할 수 없어 추정이라고 한 것"이라며 "그러나 단순 '추정'보다는 좀더 강하게 '소행으로 판단'으로 이해하면 된다"고 설명했다.

한편 미래부는 6·25 사이버 공격의 피해를 본 69개 기관 중 62개 기관의 정상복구가 완료돼 복구율이 90%를 기록했다고 밝혔다.

정승양기자 schung@hk.co.kr