지난해 6월 발생한 중앙일보 해킹사건이 북한의 소행이라는 결론이 나왔다. 오랜 준비 기간을 거쳐 고도의 해킹 기술을 동원한 사이버 테러라는 설명이다.
경찰청 사이버테러대응센터는 중앙일보 해킹 사건을 수사한 결과, 공격의 근원지가 북한으로 확인됐다고 16일 밝혔다. 경찰은 중앙일보 신문제작시스템과 보안시스템 접속기록, 해킹에 사용된 악성코드 6개, 국내외 경유지 서버 19대를 분석한 후 이같은 결론을 도출했다.
지난해 6월 중앙일보 뉴스사이트는 사이버 공격을 받아 접속하면 입을 가리고 웃는 모습의 고양이 사진과 영화 ‘매트릭스’의 한 장면을 연상시키는 초록색 글자 배경이 떴다. 당시 화면에는 ‘이스원이 해킹했다(Hacked by IsOne)’라는 메시지가 남아있어 ‘이스원’이라는 해커의 소행으로 추정됐다.
경찰은 북한 체신성 산하 통신회사 조선체신회사(KTPC)가 중국회사로부터 임대한 IP 대역을 통해 ‘이스원’이라는 이름의 PC가 접속한 사실을 확인했다. 경찰은 “해당 IP주소 대역에서 과거 북한 관련 홈페이지 등이 운영됐고, 공격 당시에도 북한 홈페이지가 운영 중이었다”며 “도메인 소유 역시 북한 소재 회사로 등록돼있었다”고 설명했다.
아울러 3·4 디도스 사건과 농협 전산망 해킹에서 사용된 해외 경유지 서버 1대가 중앙일보 해킹에도 동일하게 사용된 것도 발견됐다. 경찰은 3·4 디도스 사건과 농협 전산망 해킹 역시 북한의 소행으로 결론 내렸었다. 이밖에도 지난 2009년 7·7 디도스 사건과 지난 2011년 고려대 이메일 악성코드 유포사건 등에서 사용된 것과 동일한 기능의 악성코드도 발견됐다.
경찰은 “전 세계 IP주소 40억개 중에서 한 IP가 우연히 서로 다른 3개 사건에 동시에 공격 경유지로 사용될 가능성은 제로에 가깝다”고 말했다.
관련기사
- 중앙일보 강타한 악성코드...북한 배후?2013.01.16
- 중앙일보 해커, 내부 데이터 공개?2013.01.16
- 중앙일보 해킹, 해커가 남긴 메시지는?2013.01.16
- 중앙일보 홈페이지 해킹, 경찰수사2013.01.16
특히 북한 체신성 IP를 통한 중앙일보 사이트에 대한 접속이 시작된 시점은 지난해 4월21일로 드러났다. 이는 북한이 대규모 대남 규탄 집회를 열고 일부 언론사에 특별행동을 감행하겠다고 공표한 시기다.
경찰은 약 2개월간의 준비과정을 거친 해커가 공격 이틀 전인 6월 7일 중앙일보 관리자 PC를 해킹했고, 9일 시스템을 집중적으로 삭제한 것으로 파악했다.