북한 정찰총국 해킹 수법 이렇다

일반입력 :2013/04/10 14:46

손경호 기자

지난달 20일 발생한 주요 방송, 금융회사 전산장비 마비를 포함해 4건의 해킹이 모두 북한 소행으로 밝혀졌다.

10일 정부 발표에 따르면 북한 정찰총국은 북한 내부에서 국내 공격경유지에 수시로 접속했고, 지난해 6월부터 공격을 준비해 왔다. 더구나 공격경유지 49개 중 22개가 과거에 사용된 곳과 동일했다. 악성코드 76종은 30종 이상은 국가정보원, 기무사사령부 등이 수집했던 악성코드와 소스코드까지 같았다.

최초로 북한측의 해킹 정황이 확인된 것은 지난해 6월 28일이다. 당시 북한 내부 PC 약 6대가 국내 금융회사에 1천590회 접속해 악성코드를 유포하고 PC에 저장된 자료들을 유출시켰다.

문제는 이 당시 사용됐던 공격경유지가 3.20 사이버테러 때도 그대로 사용됐다는 것이다. 지난 2월 22일 북한 내부 인터넷 주소(175.45.178.XX)에서 감염된 PC에 원격조작 등의 명령을 위한 국내 경유지에 시험 목적의 접속이 이뤄진 바 있다.

두번째로 악성코드를 유포하는 경유지로 사용됐던 49개 인터넷 주소 중 22개가 과거 사용했던 경유지와 동일했다는 점이다. 국내외 공격경유지 49개(국내 25, 해외 24) 중 22개(국내 18, 해외 4)는 이미 2009년 이후 북한이 대남 해킹에 사용해왔던 인터넷 주소와 일치했다.

북한 해커들은 감염된 PC에서 고유의 식별번호(8자리 숫자)를 부여하고 있다. 3.20 사이버테러 때 사용됐던 감염신호 생성코드의 소스프로그램 중 과거에 사용된 것과 동일한 악성코드는 18종에 달했다.

지난 3.20 사이버 테러 일련의 사이버 테러 4건은 모두 감염된 PC의 하드디스크를 'HASTATI', 'PRINCEPES' 등의 특정 문자열로 덮어쓰기 했으며 프로그램 저장 경로 역시 일치했다.

관련기사

이후 3월 25, 26일에 각각 발생한 해킹도 악성코드 소스프로그램이 방송사, 은행들을 공격한 것과 일치하거나 공격경유지로 재사용됐다.

이와 관련 국내 보안전문가는 우려했던 일이 현실이 됐다며 기존에도 북한 측 소행이라는 증거는 꾸준히 포착돼 왔다고 밝혔다.