지난 '6.25 사이버 공격'이 북한의 소행으로 추정된다는 정부 발표가 나왔다.
박재문 미래창조과학부 정보화전략국장은 16일 미래부 브리핑에서 "민·관·군 합동 대응팀이 사이버 공격에서 수집한 악성코드 82종과 PC접속기록, 공격에 사용된 인터넷 주소 등을 종합 분석한 결과, 3.20 사이버테러 등을 일으킨 북한의 해킹 수법과 일치한다"고 밝혔다.
박 국장은 "공격자는 최소 수개월 이상 국내 P2P·웹하드 서비스, 웹호스팅 업체 등 다중 이용 사이트를 사전에 해킹해 다수의 공격목표에 대한 보안 취약점을 미리 확보하는 등 치밀하게 공격을 준비한 것으로 분석됐다"고 덧붙였다.
미래부는 이번 사이버공격이 청와대·국조실 등 상징성이 큰 국가기관의 홈페이지를 변조시켜 우리의 국격을 훼손하고, 홈페이지 변조 등에 '어나니머스' 이미지를 사용해 공격주체 판단에 혼란을 줬다고 분석했다.
특히 정부통합전산센터 DNS서버를 공격해 다수의 정부기관 인터넷 서비스를 일시에 마비시키고 좀비PC를 이용한 DDoS(디도스) 공격 외에도 해외로부터의 서비스 응답으로 위장한 공격을 활용했다고 전했다.
또 공격대상인 서버의 하드디스크를 파괴하고 공격IP 은닉수법을 통한 흔적 위장과 로그파일 삭제를 통해 해킹 근원지 추적을 방해하는 등 다양하고 진화된 공격 수법을 사용한 것으로 조사됐다고 밝혔다.
미래부는 북한의 소행으로 추정되는 증거로 6월25일 서버파괴 공격을 위해 활용한 국내 경유지에서 발견된 IP와 7월1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP를 발견했다고 주장했다.
서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요파일 삭제, 해킹 결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징이 3.20사이버 테러와 동일했다고 설명했다.
한편 합동대응팀은 미래·국방·안행·법무(검찰)부, 금융위, 국정원, 경찰청, 국내보안업체(안랩·하우리·이글루시큐리티·윈스테크넷·KT 등) 및 한국인터넷진흥원(KISA) 등 18개 기관 전문가로 구성됐다.
