“6.25 사이버공격도 북한 정찰총국 소행 추정”

정부 합동대응팀, IP·악성코드 등 과거 북한 해킹 수법과 동일

지난 6월 25일자 본지 단독보도 내용과 일치...치밀한 준비과정 거쳐

[보안뉴스 김태형 기자] 지난 6월 25일 발생한 ‘6.25 사이버공격’이 지난 ‘3.20 사이버테러’ 등을 일으킨 북한의 과거 해킹 수법과 동일한 것으로 분석됐다. 이는 지난 6월 25일 사이버테러 공격 당일 본지가 ‘[단독] 북한 정찰총국 추정 해커조직, 정부망 디도스 공격!’이라는 제하의 단독보도를 통해 기사화한 내용과 일치한다.

미래창조과학부는 16일 민·관·군 합동대응팀 조사결과, 지난 6월 25일부터 7월 1일 사이에 발생한 △방송·신문사 서버장비 파괴 △청와대, 국무조정실 등 홈페이지 변조 △정부통합전산센터 DDoS 공격 △경남일보 등 43개 민간기관 홈페이지 변조 등 총 69개 기관과 업체 등에 연쇄적으로 발생한 사이버공격이 지난 3.20 사이버테러 등을 일으킨 북한의 해킹 수법과 일치한다고 설명했다.

미래부·국방부안행부·법무부(검찰) 등 정부기관과 금융위, 국정원, 경찰청, 국내보안업체 및 한국인터넷진흥원(KISA) 등 18개 기업 및 기관의 전문가로 구성된 민·관·군 합동대응팀은 북한의 해킹으로 추정되는 증거로 “6월 25일 서버파괴 공격을 위해 활용한 국내 경유지에서 발견된 IP와 7월 1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP를 발견했다”고 밝혔다.

또한, 합동대응팀은 “해커는 경유지 로그를 삭제하고 하드디스크를 파괴했지만 디지털 포렌식 및 데이터 복구 등의 방법을 통해 북한의 IP임을 확인할 수 있었다”고 설명했다.

이어 합동대응팀은 “서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요파일 삭제, 해킹 결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징이 지난 3.20사이버테러와 동일했다. 이번 홈페이지 변조 및 디도스 공격에 사용된 악성코드 역시 3.20 사이버테러시 발견된 악성코드의 변종된 형태”라고 말했다.

이번 사이버 공격의 피해장비와 공격경유지 등에서 수집한 악성코드 82종과 PC접속기록, 공격에 사용된 인터넷 주소와 과거 북한의 대남해킹 자료 등을 종합 분석한 결과, 공격자는 최소 수개월 이상 국내 P2P사이트와 웹하드 서비스, 웹호스팅 업체 등 다중 이용 사이트를 사전에 해킹해 다수의 공격목표에 대한 보안 취약점을 미리 확보하는 등 치밀하게 공격을 준비한 것으로 분석됐다.

특히, 정부통합전산센터 DNS서버를 공격해 다수의 정부기관 인터넷 서비스를 일시에 마비시키려는 시도를 했고, 좀비 PC를 이용한 디도스 공격 외에도 해외로부터의 서비스 응답으로 위장한 공격을 활용한 것으로 전해졌다.

또한, 공격대상 서버의 하드디스크를 파괴하고, 공격IP 은닉수법을 통한 흔적 위장과 로그파일 삭제를 통해 해킹 근원지 추적을 방해하는 등 다양하고 진화된 공격 수법을 사용했다.

합동대응팀은 “이번 사이버 공격은 청와대와 국조실 등 상징성이 큰 국가기관의 홈페이지를 변조시켜 우리의 국격을 훼손하고, 홈페이지 변조 등에 ‘어나니머스’ 이미지를 사용하여 공격주체 판단에 혼란을 야기했다”고 덧붙였다.

대응방안과 관련해 합동대응팀은 “이번 사이버공격을 계기로 사이버 위협에 대한 조기 경보와 전문인력 등 사이버 대응체계를 확립하고 사이버 안보기반을 확충할 계획”이라고 밝혔다.

합동대응팀은 이번 사이버공격에 대해 초기에 악성코드를 삭제하고 악성사이트를 차단하는 등 피해 확산에 노력했으며 치료백신 개발·보급과 사이버대피소 가동을확대해 서버 복구를 긴급 지원하는 등 피해를 최소화했다. 이에 현재 69개 피해기관 중 62개 기관이 복구를 완료(복구율 90%)했다고 말했다.

합동대응팀 관계자는 “앞으로도 정부는 이러한 일련의 각종 사이버위협에 신속하고, 체계적으로 대응하기 위해 지난 7월 4일 마련한 국가 사이버안보 종합대책을 바탕으로 사이버안보 컨트롤타워인 청와대를 중심으로 국정원, 정부부처간 위협정보 적시 공유 등 사이버위협 대응체계를 확립, 사이버 위협 조기 경보 기능과 동시 상황전파 체계를 구축하겠다”면서 “점점 지능화되고 있는 사이버공격을 효과적으로 차단할 수 있는 첨단 대응기술 연구 및 전문인력 확충 등 사이버안보 기반을 지속적으로 확충해 나갈 것”이라고 강조했다.

이어서 그는 “이번 사이버테러가 공공과 민간기업 구분 없이 무차별적으로 자행됐고 앞으로도 유사한 사고가 지속적으로 발생될 것으로 우려되는 만큼 민간기업도 보안 전담인력과 조직을 확보하고 중요자료의 보호를 위한 적극적인 보안조치를 이행해야 한다”면서 “국민들도 개인 PC와 스마트폰에 최신 백신을 설치하는 등 특별히 보안관리에 유념해 달라”고 당부했다.

[김태형 기자(boan@boannews.com)]

코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
	랜섬웨어
	피싱/스미싱
	스피어피싱(표적 공격)/국가 지원 해킹 공격
	디도스 공격
	혹스(사기) 메일
	악성 앱
	해적판 소프트웨어
	기타(댓글로)