최근 일어난 연쇄적인 사이버공격이 북한의 해킹 수법과 일치한다는 조사결과가 나왔다.

미래창조과학부는 16일 오후 3시 기자 브리핑을 개최하고 "'6.25 사이버공격'은 북한의 과거 해킹 수법과 같다"고 밝혔다.

지난 6월 25일~7월 1일 발생한 방송·신문사 서버장비 파괴와 청와대, 국무조정실 등 홈페이지 변조, 정부통합전산센터 DDoS 공격, 경남일보 등 43개 민간기관 홈페이지 변조 등 총 69개 기관, 업체에 대한 사이버공격이 이에 해당된다는 발표다.

미래부는 이번 사이버 공격의 피해장비 및 공격 경유지 등에서 수집한 악성 코드 82종과 PC 접속기록, 공격에 사용된 인터넷 주소와 과거 북한의 대남해킹 자료 등을 분석한 결과, 공격자는 최소 수 개월 이상 치밀하게 공격을 준비했다고 분석했다.

특히 정부통합전산센터 DNS 서버를 공격해 다수의 정부기관 인터넷 서비스를 일시에 마비시키려 하고, 좀비PC를 이용한 DDoS 공격 외에도 해외로부터 서비스 응답으로 위장한 공격을 활용했다고 발표했다.

또 공격대상인 서버의 하드디스크를 파괴하고, 공격IP 은닉수법을 통한 흔적 위장과 로그파일 삭제를 통해 해킹 근원지 추적을 방해하는 등 진화된 공격 수법을 사용한 것으로 조사됐다.

북한의 해킹으로 추정되는 증거로는 IP를 들었다. 지난달 25일 서버파괴 공격을 위해 활용한 국내 경유지에서 발견된 IP와 이달 1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP를 발견했다는 것.

또 서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요파일 삭제, 해킹 결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징이 '3.20 사이버 테러'와 같다고 설명했다.

미래부는 또 이번 홈페이지 변조와 DDoS 공격에 사용된 악성코드 역시 '3.20 사이버테러' 당시 발견된 악성코드의 변종된 형태임이 확인됐다고 밝혔다.

박재문 미래부 정보화전략국장은 "민·관·군 합동대응팀은 악성 코드를 삭제하고, 악성사이트를 차단하는 등 피해 확산을 방지하고, 치료백신 개발, 보급과 사이버대피소 가동을 확대해 서버 복구를 긴급 지원하는 등 피해를 최소화했다"고 밝혔다.

박 국장은 "앞으로도 유사한 사고가 지속 발생될 것으로 우려되는 만큼 민간기업은 적극적인 보안조치를 이행하고, 개인들도 PC와 스마트폰에 최신 백신을 설치하는 등 특별히 보안관리에 유념해 달라"고 당부했다.

한경닷컴 김효진 기자 jinhk@hankyng.com