[미디어원=권호준 기자] 주요 방송사와 금융회사의 전산망 해킹에 사용된 악성코드가 중국에서 유입된 것으로 밝혀졌다 . 또 공격 주체가 동일한 것을 확인하고 북한의 소행임에 무게를 두고 있다 .
민 · 관 · 군 사이버위협 합동대응팀은 21 일 “ 농협 시스템을 분석한 결과 중국 인터넷주소 (IP 주소 ) 를 통해 악성코드가 설치된 것을 확인했다 ” 며 “ 동일 조직이 피해 기업 6 곳을 공격한 것으로 판단한다 ” 고 밝혔다 . 청와대 관계자는 “ 북한의 소행일 가능성에 대해 면밀히 추적 , 분석하고 있다 ” 고 말했다.
정부는 KBS, MBC, YTN, 신한은행 , NH 농협은행 , 제주은행 등 6 개사의 PC 와 서버 약 3 만 2000 대가 피해를 봤다고 밝혔다 . 금융회사들은 이날 피해를 대부분 복구하고 정상 영업에 들어갔지만 , 직원 PC 의 상당수가 파괴된 방송사들은 여전히 업무에 차질을 빚고 있다 .
합동대응팀에 따르면 조직적으로 움직이는 해커집단이 치밀한 시나리오에 따라 이번 사태를 일으켰다 . 특히 추적이 힘든 중국 IP 주소를 이용한 점이 확인됨에 따라 북한이 배후일 가능성이 제기되고 있다 . 북한은 2011 년 농협 전산망 마비 사태 때 중국 IP 주소를 경유해 공격한 바 있다 .
전산망 마비 사태에 사용된 악성코드는 일종의 ‘ 트로이 목마 ’ 인 것으로 확인됐다 . 트로이 목마는 정상적인 프로그램으로 위장해 컴퓨터 시스템을 파괴하는 악성 코드다 . 이 악성코드는 백신 프로그램으로 위장해 서버와 연결된 PC 의 부팅영역에 설치됐다 . 안랩은 “ 공격자가 자산관리서버 관리자의 ID 와 비밀번호를 빼낸 뒤 이를 이용해 악성코드를 백신 프로그램처럼 배포한 것으로 추정된다 ” 고 밝혔다 .
한국인터넷진흥원 (KISA) 은 이날 오전 1 시부터 전용 백신을 배포했다 . 또 공공기관과 교통 · 전력 등 기반시설 , 금융회사와 병의원 등에 백신 업데이트 서버를 인터넷과 분리할 것을 당부했다 . 청와대는 이번 사태를 계기로 정부 관계 부처와 민간이 참여하는 가칭 ‘ 국가사이버안전전략회의 ’ 를 신설하는 방안을 검토하고 있다 .
또 방송통신위원회 관계자는 “ 악성 코드 분석에서 피해 기관에 대한 공격 주체는 동일 조직인 것으로 파악됐으나 구체적으로 누구인지는 아직 확인되지 않았다 ” 며 “ 중국 IP 가 발견돼 여러 추정이 나오게 됐지만 현 단계에서는 모든 가능성을 열어놓고 해커 실체 규명에 최선을 다하고 있다 ” 고 말했다 . 동일 조직 소행으로 추정하는 이유에 대해서는 “ 악성 코드가 하드디스크를 손상시킨다는 특징이 피해 사이트에서 공통적으로 나타나고 악성 코드 고유의 문자열이 보이고 있다 ” 고 설명했다 .
합동대응팀에 참여하고 있는 보안전문기업 잉카인터넷은 6 개 피해 기관에서 수집한 악성 코드 표본에 ‘ 후이즈 ’ 에 대한 언급이 있었다고 밝혔다 . 잉카인터넷이 표본 악성 코드를 분석한 결과에 따르면 ‘ 후이즈 팀이 해킹했다 ’(Hacked by Whois Team) 는 글귀와 같은 이메일 주소가 내용에 포함된 것으로 조사됐다 .
잉카인터넷 관계자는 “ 후이즈 공격 메시지가 지난해 6 월 발생한 중앙일보에 대한 공격과도 유사하다 ” 면서 “ 올해 경찰청 사이버테러대응센터가 중앙일보 서버의 공격자를 북한으로 결론지은 바 있다 ” 고 말했다 .
한편 이번 해킹 공격에 이용된 악성 코드 파일에 2 차 공격을 암시하는 문자열이 포함돼 추가 피해에 대한 우려가 나오고 있다 . 때문에 공공기관 보안 모니터링을 담당하는 정보당국도 공공기관에 대한 2 차 해킹 공격에 대비해 감시 수준을 강화한 것으로 알려졌다 .
(사진=TV조선 관련영상 캡처)
