정부는 지난달 20일 발생한 '3.20 해킹 대란'이 북한이 지금까지 시도했던 대남 해킹 사례 수법과 일치하는 것으로 결론지었다.

미래창조과학부는 10일 브리핑을 통해 민·관·군 합동대응팀이 그동안 사이버 테러의 접속기록, 악성코드에 대한 조사결과와 대북 정보 등을 종합해 분석한 결과, 수 차례 걸쳐 대남 해킹을 주도한 북한 정찰총국 해킹수법과 동일한 증거를 발견했다고 발표했다.

이번 합동대응팀은 미래부와 국방부,금융위,국정원,한국인터넷진흥원(KISA)외에도 국내 보안업체(안랩,하우리,이글루시큐리티,윈스테크넷,KT 등)로 구성됐다.

미래부는 이번 브리핑을 통해 피해업체들의 감염장비와 국내 공격경유지 등에서 수집한 악성코드 76종(파괴용9, 사전 침투 미 감시용 67)과 수년간 국정원과 군에 축정된 북한의 대남 해킹 조사결과를 종합 분석한 결과를 발표했다.

북한의 해킹으로 추정되는 증거로 먼저 북한 내부에서 국내 공격경유지에 수시 접속, 장기간 공격 준비한 것으로 조사됐다.

조사반은 지난해 6월 28일부터 지난달 20일 까지 북한 내부 PC 최소 6대가 1590회 접속해 금융사에 악성코드를 유포하고 PC 저장자료를 절취한 흔적을 발견했으며 공격 다음날인 지난달 21일 해당 공격경유지를 파괴하고 흔적제거까지 시도했다고 설명했다.

또한 공격 경유지 49개중 22개가 과거 사용했던 경유지와 동일한 것으로 파악됐다.

북한 해커만 고유하게 사용중인 감염PC의 식별 번호(8자리 숫자) 및 감염신호 생성코드의 소스프로그램 중 과거와 동일한 악성코드도 18종에 달한 것도 북한측 소행의 근거로 확인했다.

이외에도 '3.20 해킹대란'때 공격당한 방송사,금융사들이 대부분 'HASTATI' 또는 'PRINCPES' 등 특정 문자열로 덮어쓰기 방식으로 PC 하드디스크를 파괴한 것과 악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로가 일치한 것도 근거로 거론됐다.

이날 브리핑을 주도한 한국인터넷진흥원 전길수 단장은 "지난달 20일부터 발생한 4건의 사건과 과거 북에서 공격한 것으로 판단되는 국정원과 군 쪽에서 확인해 준 사항을 바탕으로 해서 동일 조직, 악성코드에 대한 분석과 접속기록들, 관련된 IP들을 종합적으로 판단했을 때 동일 조직이 소행했을 것으로 판단하고 있다"고 설명했다.

한편, 정부는 이에대한 후속조치로 11일 15개 정부기관 참석하에 개최하는 '국가사이버안전전략회의' 등을 통해 사이버 안전 강화 대책을 강구할 예정이다.