지난달 20일 발생한 ‘3·20 사이버테러’는 물론이고 며칠 간격을 두고 25일과 26일 추가로 발생한 추가 해킹 3건도 모두 북한의 연쇄공격으로 결론이 났다.
10일 미래창조과학부가 발표한 ‘3·20 사이버테러 중간 조사결과’에 따르면 북한은 KBS, MBC, YTN 등 방송사와 농협, 신한은행, 제주은행 등 금융기관의 내부 전산망을 파괴한 뒤에도 연이어 25일 전국민을 대상으로 한 해킹을 시도했다.
이어 26일 YTN 계열사의 홈페이지 자료 서버 파괴, 같은날 대북·보수단체 홈페이지의 자료 삭제도 모두 북한의 소행이라는 게 정부 합동대응팀의 판단이다.
4건의 해킹 공격이 동일 조직의 소행으로 결론난 것은 수법과 공격 경유지가 일치하고, 유사한 악성코드가 여러 차례 쓰였기 때문이다.
방송·금융사들의 경우에는 파괴용 악성코드의 실행 시간이 동일하고 ‘HASTATI, PRINCPES’ 등 특정 문자열이 공통적으로 나타난다는 점에서 동일 조직의 소행이라고 정부는 설명했다.
또 사전침투·감시용 악성코드를 개발한 컴퓨터의 프로그램 저장경로가 “Z:\Work\Make Tory\”로 일치한다는 점도 증거로 지목됐다.
완전히 똑같은 악성코드 소스프로그램이 여러 사건에 공통적으로 사용된 흔적도 발견됐다.
예를 들어 정부가 공개한 각각 3·20 사이버테러와 이어진 26일 공격에서 각각 사용됐다고 밝힌 20여행 분량의 악성코드 2건은 줄바꿈과 띄어쓰기 등을 제외하면 거의 완전히 일치하는 내용이다.
4건의 공격에서 ‘101.78.195.xx’라는 홍콩 IP가 동일하게 공격 경유지로 사용됐다는 점 역시 동일조직 소행이라는 것을 뒷받침한다.
정부는 이 해외 IP를 경유해 국내 금융사와 YTN 계열사, 보수·대북단체 홈페이지 등이 공격을 받았다고 발표했다.
연합뉴스
10일 미래창조과학부가 발표한 ‘3·20 사이버테러 중간 조사결과’에 따르면 북한은 KBS, MBC, YTN 등 방송사와 농협, 신한은행, 제주은행 등 금융기관의 내부 전산망을 파괴한 뒤에도 연이어 25일 전국민을 대상으로 한 해킹을 시도했다.
이어 26일 YTN 계열사의 홈페이지 자료 서버 파괴, 같은날 대북·보수단체 홈페이지의 자료 삭제도 모두 북한의 소행이라는 게 정부 합동대응팀의 판단이다.
4건의 해킹 공격이 동일 조직의 소행으로 결론난 것은 수법과 공격 경유지가 일치하고, 유사한 악성코드가 여러 차례 쓰였기 때문이다.
방송·금융사들의 경우에는 파괴용 악성코드의 실행 시간이 동일하고 ‘HASTATI, PRINCPES’ 등 특정 문자열이 공통적으로 나타난다는 점에서 동일 조직의 소행이라고 정부는 설명했다.
또 사전침투·감시용 악성코드를 개발한 컴퓨터의 프로그램 저장경로가 “Z:\Work\Make Tory\”로 일치한다는 점도 증거로 지목됐다.
완전히 똑같은 악성코드 소스프로그램이 여러 사건에 공통적으로 사용된 흔적도 발견됐다.
예를 들어 정부가 공개한 각각 3·20 사이버테러와 이어진 26일 공격에서 각각 사용됐다고 밝힌 20여행 분량의 악성코드 2건은 줄바꿈과 띄어쓰기 등을 제외하면 거의 완전히 일치하는 내용이다.
4건의 공격에서 ‘101.78.195.xx’라는 홍콩 IP가 동일하게 공격 경유지로 사용됐다는 점 역시 동일조직 소행이라는 것을 뒷받침한다.
정부는 이 해외 IP를 경유해 국내 금융사와 YTN 계열사, 보수·대북단체 홈페이지 등이 공격을 받았다고 발표했다.
연합뉴스
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지