[헤럴드경제= 정태일 기자] 지난 달 청와대 및 국무조정실 등을 공격했던 6ㆍ25 해킹은 북한 소행인 것으로 최종 결론났다.
민ㆍ관ㆍ군 합동 대응팀은 지난 달 25일부터 이달 1일 사이 총 69개 기관과 업체 등에 가해진 연쇄적인 사이버공격이 3ㆍ20 사이버테러 등을 일으킨 북한의 해킹 수법과 일치한다고 16일 밝혔다.
대응팀은 피해 장비 및 공격 경유지 등에서 수집한 악성코드 82종과 PC접속기록, 공격에 사용된 인터넷 주소와 과거 북한의 대남해킹 자료 등을 종합 분석했다. 그 결과 공격자는 최소 수개월 이상 국내 P2Pㆍ웹하드 서비스, 웹호스팅 업체 등 다중 이용 사이트를 사전에 해킹했다고 설명했다.
특히 정부통합전산센터 DNS서버를 공격해 다수의 정부기관 인터넷 서비스를 일시에 마비시켰고, 해외로부터의 서비스 응답으로 위장한 공격을 활용했다고 발표했다.
이와 함께 공격 대상인 서버의 하드디스크를 파괴하고, 공격IP 은닉수법을 통한 흔적 위장과 로그파일을 삭제해 해킹 근원지 추적을 방해했다고 덧붙였다.
이를 종합한 결과, 지난 달 25일 국내 경유지에서 발견된 IP와 이달 1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP를 발견했다고 밝혔다.
또 서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요파일 삭제, 해킹 결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징이 3ㆍ20사이버 테러와 동일하다고 결론지었다.
나아가 이번 홈페이지 변조 및 디도스 공격에 사용된 악성코드 역시 3ㆍ20 사이버테러 시 발견된 악성코드 변종이라고 설명했다.대응팀은 현재 69개 피해기관 중 62개 기관 전산망을 정상복구 완료했다고 덧붙였다.
killpass@heraldcorp.com