|
민관군 합동대응팀이 사건 발생 21일 만에 3ㆍ20 사이버테러를 북한의 소행이라고 단정지을 수 있었던 것은 북한이 지능형 지속보안위협(APTㆍAdvanced Persistent Threats) 방식의 공격을 하면서 꼬리표를 남겼기 때문이다. 디도스(DDoSㆍ분산서비스거부)는 공격자가 명령만 내리면 되는 일방향 통신이기 때문에 우회 IP를 활용한 공격이 가능하다. 그러나 APT는 해커가 감염PC와 통신을 주고받으며 원격조작명령을 내려야 하기 때문에 조작된 IP를 사용할 수 없다. 북한이 방화벽에 있는 웹서버 접속기록을 지웠지만 원격접속 터미널에는 로그기록이 그대로 남으면서 덜미가 잡혔다.
전길수 한국인터넷정보원 침해사고대응단장은 "해커들은 IP를 숨기려고 노력하기 때문에 해킹이 발생해도 공격한 IP를 추출하는 것은 어렵다"고 전제한 뒤 "북한도 명령을 내리는 서버에 접속할 때 남았던 로그를 다 지웠기 때문에 흔적이 없지만 원격접속 터미널 로그가 남았다"고 설명했다. 그는 "북한이 실제로 공격할 때는 외국을 경유한 IP를 사용했다"며 "그러나 초기에 시험 목적으로 접속했을 때 기술적인 문제 때문에 수초에서 수분간 북한 IP가 노출됐다"고 설명했다. 또 "양방향 통신을 하는 ATP는 위조된 IP를 쓰면 답변이 엉뚱한 곳으로 갈 수 있다"며 "IP 세탁 가능성을 0%라고 단정지을 수는 없지만 가능성은 매우 낮다"고 덧붙였다. 때문에 "앞으로 조사는 계속되겠지만 공격 주체에 대한 추정이 바뀔 가능성은 없다"고 못 박았다.
합동대응팀은 북한이 최소 8개월 전부터 이번 사이버테러를 치밀하게 준비했다고 판단했다. 또 ▲3월20일 방송ㆍ금융사 전산장비 4만8,700여대 파괴 ▲3월25일 전 국민을 대상으로 해킹 시도, PC 800대 감염 ▲3월26일 YTN 계열사 홈페이지 자료 서버 파괴 ▲3월26일 대북ㆍ보수단체 홈페이지 자료 삭제 등 네 차례의 공격 모두 북한의 소행으로 추정했다. 그 근거로 PC 하드디스크를 'HASTATI' 또는 'PRINCPES' 등 특정 문자열로 덮어쓰는 방식을 사용했고 악성코드 개발작업이 수행된 컴퓨터의 프로그램 저장경로가 일치했다는 점을 들었다.
전 단장은 "4번의 공격에 사용된 악성코드 76종을 분석한 결과 늦어도 지난해 6월부터 공격 대상의 취약점을 확인하고 PC나 서버에 악성코드를 감염시키기 시작했다"며 "사이버테러가 일어나기 한 달 전인 2월22일 북한 내부 인터넷 주소에서 감염PC에 원격조작 등 명령하달을 위해 국내 경유지에 처음으로 접속한 후 모두 16번에 걸쳐 직접 접속했다"고 설명했다.
합동대응팀은 북한으로 추정한 근거로 악성코드 소스가 일치하고 공격 경유지가 재사용됐다는 점을 근거로 제시했다. 전 단장은 "북한 해커가 고유하게 사용 중인 감염PC의 8자리 식별번호와 감염신호 생성코드의 소스 프로그램을 분석한 결과 과거와 같은 것이 18종 발견됐다"며 "지금까지 파악된 공격 경유지는 국내 25곳, 해외 24곳이고 이 중 국내 18곳, 해외 4곳이 2009년 이후 북한이 대남 해킹에 사용한 것과 IP주소가 일치했다"고 설명했다.
한편 합동대응팀은 사이버테러 이후 추가공격에 대비해 국정원ㆍ경찰청ㆍ한국인터넷진흥원의 조사 모니터링 인력을 평소보다 3배 이상 늘리고 1,781개 주요 홈페이지를 대상으로 악성코드 여부를 점검했다.