전길수 한국인터넷진흥원(KISA) 침해사고대응단장이 10일 오후 정부과천청사 미래창조과학부 브리핑실에서 ‘3.20 사이버테러’ 중간 조사결과를 발표하고 있다.
연합뉴스
연합뉴스
대응팀의 10일 공식 발표에 따르면 지난해 6월 28일부터 최소한 6대의 북한 내부 PC가 1천590회 접속을 통해 피해 기관에 악성코드를 유포하고 PC 저장 자료를 절취한 것으로 드러났다.
국내 경유지를 미리 마련해 두고 수시로 준비 상황을 점검했다는 것이다.
또 올해 2월 22일부터는 북한 내부 인터넷프로토콜(IP) 주소에서 감염PC의 원격 조작 등 명령을 내리기 위해 국내 경유지에 시험 목적으로 접속한 사실도 파악됐다.
대응팀 관계자는 “오래 전부터 정보를 빼내는 등 매우 치밀하게 준비를 한 점이 이번 공격의 특징”이라고 설명했다.
그는 “이번 공격을 담당한 북한 내 기관이 정찰총국일 것으로 보고 있다”며 “다만 이는 국가정보원과 군이 확보한 정보를 바탕으로 한 판단이어서 상세한 근거는 보안상 밝히기 어렵다”고 밝혔다.
이번 공격에 사용된 악성코드 76종을 대응팀이 분석한 결과, 과거와 동일한 18종을 포함해 30여종이 과거 북한의 대남 사이버 공격에 쓰였던 것을 재활용한 것으로 드러났다.
또 국내외 공격경유지 49곳 중 절반에 가까운 22곳의 IP주소가 2009년 이후 북한이 대남 해킹에 사용했던 것과 일치했다.
북한 정찰총국이 오래 전부터 국내 해킹을 위해 상당히 많은 경로를 확보해 두고 지속적으로 활용하고 있을 가능성을 시사하는 대목이다.
연합뉴스
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지