동일조직에 의한 해킹 확인…피해기관 6곳 총 3만2천여대 PC·서버 피해
20일 동시다발적인 방송·금융 기관의 전산망 마비와 관련해 해킹에 사용된 악성파일이 중국에서 유입된 것으로 21일 확인됐다.
중국 인터넷 망을 주로 이용하는 북한의 해킹 수법에 비춰볼 때 이번 사건 역시 북한의 소행일 가능성에 무게가 실리고 있다.
이날 방송통신위원회, 경찰청, 한국인터넷진흥원 등으로 구성된 민·관·군 합동대응팀은 21일 브리핑에서 "농협시스템을 분석한 결과 중국 IP(101.106.25.105)가 백신 소프트웨어(SW)배포 관리 서버에 접속, 악성파일을 생성했음을 확인했다"고 발표했다.
합동대응팀은 악성코드 분석에서 피해기관에 대한 공격주체는 동일 조직인 것으로 파악됐으나, 구체적으로 누구인지 아직 확인되지 않았다고 설명했다.
합동대응팀은 현재 피해 서버·PC의 로그기록과 현장에서 수집한 악성파일에 대한 추가 분석을 통해 사이버테러 원점을 파악하는 데 주력하고 있다.
박재문 방통위 네트워크정책국장은 동일조직 소행으로 추정하는 이유에 대해 "악성코드가 하드디스크를 손상한다는 특징이 피해 사이트에서 공통적으로 나타나고, 악성코드 고유의 문자열이 보이고 있다"고 설명했다.
박 국장은 "중국 IP가 발견됐지만 현 단계에서는 모든 가능성을 열어놓고 해커 실체 규명에 최선을 다하고 있다"고 말했다.
정부는 추가 피해를 막기 위해 안랩, 하우리, 잉카인터넷 등 백신업체와 협조해 전용 백신을 긴급 개발해 보호나라 홈페이지(www.boho.or.kr)를 통해 무료 배포하고 있다.
또한, 국가·공공기관, 교통·전력 등 국가기반시설, 금융사, 병의원 등 주요 기관에 대해 백신 업데이터서버는 인터넷과 분리토록 하고 PC는 부팅시 시모스(CMOS)에서 시간설정을 재조정하는 등 피해차단 요령을 긴급 전파했다.
합동대응팀은 추가 공격에 대비해 국토해양부(건설·교통), 지식경제부(에너지), 행정안전부(정부통합전산센터), 국정원 등 주요 국공립 기반 시설에 대해 보안을 점검한 결과, 별다른 이상 징후는 보이지 않았다고 전했다.
한편, 북한은 지난 13일부터 이틀 동안 노동신문과 조선중앙통신 등 선전매체의 홈페이지가 해킹으로 접속이 차단되자 배후로 우리나라와 미국을 지목했다. 실제 북한은 지난해 6월 중앙일보 서버를 파괴시킨 것으로 경찰 수사결과 밝혀졌다.