민관군 합동대응팀은 21일 브리핑에서 "농협 시스템을 분석한 결과 중국 IP가 백신 소프트웨어(SW) 배포관리 서버에 접속해 악성파일을 생성했음을 확인했다"며 "(북한 소행 등) 여러 가지 가능성을 다 열어놓고 있다"고 밝혔다. 합동대응팀은 피해서버·PC의 로그 기록과 현장에서 채증한 악성파일에 대한 추가 분석을 통해 공격주체 파악에 주력하고 있다. 이와 관련해 청와대 고위관계자는 "북한의 소행일 가능성에 대해 강한 의구심을 갖고 모든 가능성을 면밀히 분석하고 있다"며 "향후 새롭게 관계 부처들을 중심으로 국가사이버안전전략회의를 개최하는 방안을 검토하고 있다"고 말했다.
전문가들은 변형된 형태의 추가 공격 가능성이 높은 것으로 보고 있다. 글로벌 보안업체 트랜드마이크로의 김석주 기술지원팀장은 "감염된 PC들이 중간명령제어(CNC) 서버와 통신하던 코드를 확인했다"며 "감염된 PC와 CNC서버를 이용한 추가 공격 가능성이 있다"고 말했다. 실제로 해커들은 신한ㆍ농협 등 피해를 본 6개 은행 이외에 국민ㆍ우리ㆍ하나 등 다른 은행들에도 공격을 시도했던 것으로 확인됐다.
사이버테러를 당한 방송ㆍ금융사 전산망은 대부분 복구됐으나 직원 개인 컴퓨터 상당수의 복구가 불가능한 상태여서 혼란이 지속됐다. 이날 오후2시부터 40분간 전국 보건소 전산망에 장애가 발생하기도 했다. 현재까지 방송(KBS·MBC·YTN), 금융(신한·농협·제주) 6개사의 PC·서버 3만2,000여대가 피해를 당한 것으로 집계됐다. 피해기관의 전산망 완전복구에는 최소 4~5일이 걸릴 것으로 전망된다.
