민관군 합동대응팀은 지난 6월 25일 발생한 ‘6.25사이버공격’이 북한의 해킹으로 추정, 그에 대한 증거들을 제시했다. 대략적으로 지난 3.20사이버 테러와 흡사하다는 게 이번 조사 결과다.

16일 미래창조과학부는 오후 3시 과천정부종합청사에서 브리핑을 갖고 지난 6월 25일부터 이번 달 1일 사이에 발생한 사이버공격과 관련해 서버 공격 IP 발견과 이전과 비슷한 공격상황, 악성코드 형태를 감안했을 때 북한의 해킹으로 판단된다고 밝혔다.

합동대응팀이 북한의 소행으로 판단한 근거로는 우선 서버파괴 공격을 위해 활용한 국내 경유지에서 발견된 IP와 지난 1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP를 발견했기 때문이다. 관계자는 해커가 경유지 로그를 삭제하고 하드디스크를 파괴했지만 포렌식 및 데이터 복구를 통해 북한IP임을 확인했다고 말했다.

또한 합동대응팀은 서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요파일 삭제, 해킹 결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징이 지난 3.20사이버 테러와 동일하다고 설명했다.

아울러 이번 홈페이지 변조 및 디도스(DDoS) 공격에 사용된 악성코드 역시 3.20 사이버테러’ 때 발견된 악성코드의 변종된 형태라는 분석이다.

설명에 나선 KISA 관계자는 “3.20사이버테러와 마찬가지로 북한 IP가 발견됐다”며, “이번에도 일부 피해 기관과 악성코드에서 발견할 수 있었고, 이러한 정황이 결정적인 근거로 작용한다”고 말했다. 이어 “어떤 하나의 증거가 100% 대변할 수는 없지만 공격수법이 유사하고 악성코드 및 경유지 등이 매우 유사하기 때문에 과거 북한 수법과 일치, 북한의 해킹인 것으로 판단했다”고 덧붙였다.

이에 따라 민관군 합동대응팀은 후속대책 마련에 주력하겠다는 계획이다. 당시 합동대응팀은 사이버공격을 초기 인지해 악성코드 삭제 및 악성사이트를 차단하는 등 피해 확산을 방지하고, 치료백신 개발·보급과 사이버대피소 가동을 확대해 서버 복구를 긴급 지원하는 등 피해를 최소화했다. 이러한 대응조치로 69개 피해기관 중 62개 기관 정상복구 완료됐다.

향후 정부는 각종 사이버위협에 대응하기 위해 지난 4일 마련한 국가 사이버안보 종합대책을 바탕으로 사이버안보 컨트롤 타워인 청와대를 중심으로 국정원, 정부부처간 위협정보 적시 공유 등 사이버위협 대응체계를 확립하기로 했다. 사이버 위협 조기 경보 기능과 동시 상황전파 체계를 구축하고, 지능화되고 있는 사이버공격을 차단할 수 있는 첨단 대응기술 연구 및 전문인력 확충 등 사이버안보 기반을 확충한다는 계획이다.

또한 이번 사이버테러가 공공․민간기업 구분없이 무차별적으로 자행됐고 앞으로도 유사한 사고가 발생할 수 있어 민간기업도 보안 전담인력 및 조직 확보, 중요자료의 보호를 위한 보안조치를 이행하고, 개인 PC와 스마트폰에 최신 백신을 설치하는 등 보안관리에 힘써 줄 것을 당부했다.