미래부 “해킹공격, 북한 IP 13개 포착”

일반입력 :2013/04/10 14:44    수정: 2013/04/10 14:54

정윤희 기자

지난 3월 20일부터 발생한 연쇄 사이버테러 조사 과정에서 북한 내부 인터넷프로토콜(IP) 주소가 13개 확인된 것으로 밝혀졌다.

민관군 합동대응팀은 10일 공식브리핑을 통해 “공격이 들어온 IP 중 13개는 북한에서 직접 접속한 IP인 것으로 확인됐다”며 “지난해 6월 28일부터 북한 내부 PC 최소 6대가 1천590회 접속해 금융사에 악성코드를 유포하고 PC 저장자료를 절취했고, 공격 다음날(3.21) 해당 공격경유지를 파괴, 흔적 제거까지 시도했다”고 밝혔다.

앞서 지난달 20 방송·금융 6개사 전산장비 파괴 이후 같은 달 25 ‘날씨닷컴’ 사이트를 통한 전 국민대상 악성코드 유포, 26 대북·보수단체 홈페이지 14개 자료삭제, YTN 계열사 홈페이지 자료서버 파괴 등 연쇄적인 사이버테러가 일어났다.

대응팀은 해당 사태의 해킹수법이 북한이 시도한 지난 2009년 7·7 디도스, 2011년 3·4 디도스와 농협, 지난해 중앙일보 해킹과 동일하다고 설명했다. 단순히 북한 IP가 확인됐기 때문에 지목한 것이 아니라 해킹수법, 경유경로 등을 종합적으로 파악했을 때 북한의 소행으로 판단한다는 얘기다.

대응팀은 “해커가 암성코드 유포 명령을 내리는 서버에 접속할 때 로그기록을 모두 지우는 등 IP를 숨기려는 노력을 많이 했지만, 원격터미널 접속 로그 기록이 남아 그 부분에서 북한에서 직접 접속된 IP라는 점을 확인했다”고 설명했다.

직접적인 공격 자체는 경유해서 들어왔지만 통신상, 기술적 문제를 통해 수초, 수분간 북한 IP가 노출됐다는 얘기다. 또 공격 목표는 개인정보 유출 등이 아닌 사회적 혼란 초래인 것으로 파악하고 있다고 설명했다.

IP 위조 가능성에 대해서는 가능성이 낮다고 말했다. 대응팀은 “디도스 같은 단방향 공격은 IP 위조가 가능하지만 이번 공격의 경우 한쪽에서 지령을 내리고 다시 응답을 하는 양방향 통신”이라며 “IP 위조 가능성은 낮다고 기술적으로 확인했다”고 강조했다.

관련기사

이어 “확인된 IP가 과거 2009년 북한쪽으로 할당된 IP 대역”이라며 “지난달 말 발생한 북한의 웹사이트 공격 당시 들어왔던 IP대역과도 동일하다”고 덧붙였다.

다만 전산망 마비 초기에 해킹 주체로 거론됐던 해커그룹 ‘후이즈’와 북한과의 연관성은 밝혀지지 않았다.