지난달 25일 청와대와 국무조정실 홈페이지를 변조시키고 방송·신문사의 서버를 파괴한 '6·25 사이버공격'의 배후로 또다시 북한이 지목됐다.

미래창조과학부는 16일 정부 과천청사에서 브리핑을 열고 "지난달 25일 청와대와 주요 부처, 언론사 등을 대상으로 한 '6·25 사이버공격'이 3·20 사이버테러 등 과거 북한의 해킹 수법과 일치한다"고 밝혔다.

미래부는 북한의 소행으로 추정하는 근거로 지난달 25일 서버 파괴 공격을 위해 활용한 인터넷프로토콜(IP)과 지난 1일 피해기관 홈페이지 서버를 공격한 IP에서 북한이 사용한 IP를 발견했다는 점을 제시했다.

해커는 공격 이후 경유지 로그를 삭제하고 하드디스크를 파괴했으나 사이버 포렌식과 데이터 복구를 통해 북한 IP가 확인됐다.

서버를 다운시키기 위한 시스템 부팅영역(MBR) 파괴, 시스템의 주요 파일 삭제, 해킹 결과를 전달하기 위한 공격상황 모니터링 방법과 악성코드 문자열 등의 특징도 3·20 사이버테러와 동일했다.

이번 홈페이지 변조와 디도스(DDoS:분산서비스거부) 공격에 사용한 악성코드 역시 3·20 사이버테러 당시 발견한 악성코드의 변종인 것으로 확인됐다.

박재문 미래부 정보화전략국장은 "공격자는 최소 수개월 이상 국내 P2P, 웹하드서비스, 웹호스팅 업체 등 다중 이용사이트를 사전에 해킹해 다수의 공격 목표에 대한 보안 취약점을 미리 확보하는 등 치밀하게 공격을 준비한 것으로 분석됐다"고 설명했다.

/정의종기자