미래창조과학부가 10일 민관군 전문가로 구성된 정부 합동대응팀의 ‘3.20 사이버테러’ 중간 조사 결과 발표를 통해 북한의 과거 해킹 수법과 일치하는 증거를 발견했다고 밝혔다.

민관군 합동대응팀은 지난 3.20 사이버테러 직후 발생한 3.25 ‘날씨닷컴’의 악성코드 유포 사건, 다음 날 발생한 14개 대북 보수단체 홈페이지 자료 삭제 사건 등이 지난 2009년과 2011년 DDos와 농협, 중앙일보 전산망 파괴를 시도한 북한의 해킹수법과 일치한다고 밝혔다.

정부는 이번 3.20 사이버테러의 피해를 입은 회사의 감염 장비 및 국내 공격 경유지 등에서 수집한 악성코드 76종과 수년간 국정원과 군에 축적된 북한의 대남 해킹 조사결과를 종합 분석한 결과 이같은 결론에 달했다는 것.

정부에 따르면 공격자는 최소 8개월 이전부터 목표 기관 내부의 PC 또는 서버 컴퓨터를 장악해 자료 절취, 전선망 취약점을 파악하는 등 지속적으로 감시했다. 그러다 중앙배포서버를 통해 PC파괴용 악성코드를 내부 전체 PC에 일괄 유포하거나 서버 저장자료 삭제명령을 실행한 것으로 확인했다고 밝혔다.

또한 공격에 사용된 컴퓨터 인터넷 주소 및 해킹 수법 등을 본석한 결과 2009년 7.7 DDos 등과 같이 북한 소행으로 추정되는 증거를 상당량 확보했다고 설명했다.

북한의 해킹으로 추정되는 증거로 지금까지 파악된 국내외 공격 경유지 49개 중 22개가 2009년 이후 북한이 대남 해킹에 사용한 것으로 확인된 인터넷 주소와 일치한 것과, 북한 해커만이 고유하게 사용중인 감염PC의 식별번호 및 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용한 악성코드가 18종에 달한다는 점 등을 들었다.

이번 사이버테러와 이전 4건이 동일조직 소행이라는 근거는 3.20 테러의 경우 대부분 파괴가 같은 시간대에 PC 하드디스크를 ‘HASTATI‘ 또는 ’PRINCPES’ 등 특정 문자열로 덮어쓰기 방식으로 수행됐고, 악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로가 일치한다는 점이라고 설명했다.

3월 25일 및 26일 발생한 3건도 악성코드 소스프로그램이 방송.금융사 공격용과 완전히 일치하거나 공격 경유지도 재사용된 사실을 확인했다.

정부는 오는 11일 국정원장 주재로 미래과학부, 금융위원회, 국가안보실 등 15개 정부기관이 참석하는 ‘국가사이버안전전략회의’등을 통해 사이버 안전 강화 대책을 강구하기로 했다.