지난달 25일 발생한 ‘6.25 사이버공격’이 북한 소행이라는 정부 발표가 나왔다.
미래창조과학부는 지난달 25일부터 지난 1일 사이 발생한 ▲방송, 신문사 서버장비 파괴 ▲청와대, 국무조정실 등 홈페이지 변조 ▲정부통합전산센터 DDoS 공격 ▲경남일보 등 43개 민간기관 홈페이지 변조 등 총 69개 기관, 업체에 대한 연쇄 사이버 공격이 3.20 사이버테러를 일으킨 북한의 해킹 수법과 일치한다고 16일 밝혔다.
민관군 합동대응팀은 사이버공격 피해장비 및 공격경유지 등에서 수집한 악성코드 82종과 PC 접속기록, 공격에 사용된 인터넷 주소와 과거 북한의 대남해킹 자료 등을 분석한 결과 최소 수개월 이상 국내 P2P, 웹하드 서비스, 웹호스팅 업체 등 다중 이용사이트를 사전에 해킹했다고 설명했다. 다수의 공격목표에 대한 보안 취약점을 미리 확보하는 등 치밀하게 공격을 준비했다는 분석이다.
해커는 정부통합전산센터 DNS서버를 공격해 다수의 정부기관 인터넷 서비스를 일시에 마비시키려 하고, 좀비PC를 이용한 DDoS 공격 외에도 해외로부터의 서비스 응답으로 위장한 공격을 활용했다. 또 공격대상인 서버의 하드디스크를 파괴하고, 공격IP 은닉수법을 통한 흔적 위장과 로그파일 삭제를 통해 해킹 근원지 추적을 방해하는 등 다양하고 진화된 공격 수법을 사용한 것으로 조사됐다.
합동대응팀은 “6.25 사이버공격이 청와대, 국조실 등 상징성이 큰 국가기관의 홈페이지를 변조시켜 우리의 국격을 훼손하고 홈페이지 변조 등에 ‘어나니머스’ 이미지를 사용해 공격주체 판단에 혼란을 야기했다”고 말했다.
북한의 해킹으로 추정하는 증거는 3가지를 들었다. 첫째는 6월 25일 서버파괴 공격을 위해 활용한 국내 경유지에서 발견된 IP와 7.1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP를 발견했다는 점이다. 합동대응팀은 해커가 경유지 로그를 삭제하고 하드디스크를 파괴했지만 포렌식 및 데이터 복구를 통해 북한 IP임을 확인했다고 설명했다.
둘째는 서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요파일 삭제, 해킹 결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징이 3.20사이버 테러와 동일한 점이다. 셋째는 홈페이지 변조 및 DDoS 공격에 사용된 악성코드 역시 ‘3.20 사이버테러’ 당시 발견된 악성코드의 변종된 형태임을 확인한 것이다.
합동대응팀은 현재 69개 피해기관 중 62개 기관의 정상복구를 완료했다고 밝혔다. 사이버공격을 초기에 인지해 악성코드를 삭제, 악성사이트를 차단하는 등 피해 확산을 방지하고 치료백신 개발‧보급과 사이버대피소 가동을 확대해 서버 복구를 긴급 지원하는 등 피해를 최소화했다.
관련기사
- 전직 美국방부 차관보 "사이버보안, 논의보다 실천"2013.07.16
- 잇따른 사이버 공격 北의심 이유는?2013.07.16
- 사이버안보 컨트롤타워 "차라리 미래부가..."2013.07.16
- 사이버안보, 靑 컨트롤, 실무총괄 국정원2013.07.16
정부는 지난 4일 마련한 국가 사이버안보 종합대책을 바탕으로 사이버안보 컨트롤 타워인 청와대를 중심으로 국정원, 정부부처간 위협정보 적시 공유 등 사이버위협 대응체계를 확립, 사이버 위협 조기 경보 기능과 동시 상황전파 체계를 구축한다는 계획이다. 또 지능화되고 있는 사이버공격을 효과적으로 차단할 수 있는 첨단 대응기술 연구 및 전문인력 확충 등 사이버안보 기반을 지속적으로 확충한다.
정부는 민간기업의 보안 전담인력, 조직 확보 및 적극적 보안조치 이행을 유도하고, 국민들도개인 PC와 스마트폰 보안 관리에 유념해 줄 것을 당부했다.