정부가 지난 3월 20일 발생한 방송사와 일부 금융기관의 전산망 마비사태의 주범을 북한으로 정리했다. 또 일련의 사이버테러 4건 역시 북한의 소행으로 판단했다.

미래창조과학부 과천청사에서 10일 열린 ''3.20 사이버테러'' 중간 조사결과 브리핑에서 이승원 정보보호정책과장은 "사이버 테러의 접속기록, 악성코드 등에 대한 조사결과와 대북 정보 등을 종합적으로 분석한 결과, 이번 사이버 테러에서 농협 등 수차례에 걸쳐 대남 해킹을 주도한 북한 정찰총국의 해킹수법과 유사한 증거를 발견했다"고 발표했다.지난 3월 20일 방송, 금융 6개사의 전산장비 파괴 등 연쇄적 사이버테러가 7.7 DDoS(2009년), 3.4 DDoS(2011년), 농협(2011년)·중앙일보(2012년) 전산망 파괴 등 수차례 대남 해킹을 시도한 북한의 해킹수법과 일치한다는 설명이다.

전길수 한국인터넷진흥원 침해사고대응단장은 "악성코드를 유포하기 위해서 웹사이트의 웹서버에 대한 취약점도 이용했고, 관리자 PC나 사내에서 운영하고 있는 서버 등의 취약점을 악용했다"며 "다양한 취약점을 사전적으로 치밀하게 준비해 공격했다"고 설명했다.

북한은 지난해 6월 28일부터 내부 PC 최소 6대 이상을 통해 금융사에 1590회 접속, 악성코드를 유포하고 PC 저장자료를 절취했다. 이 가운데 13번은 북한에서 직접 접속한 흔적이 발견됐다.

올해 2월 22일에는 감염 PC의 원격조작 등 명령 하달을 위한 국내 경유지에 시험 목적으로 접속키도 했다. 이 같은 준비 끝에 공격당한 PC는 약 4만 8700대에 이른다.

3.20 사이터테러 공격 다음날에는 해당 공격경유지를 파괴하고, 흔적 제거까지 시도하는 등 치밀한 모습을 보였다.

당국이 북한을 이번 사이버테러의 주범으로 지목한 데는 과거 대남 해킹에 활용했던 공격경유지가 상당부분 일치하고 있기 때문이다.

실제, 현재까지 파악된 국내외 공격경유지 49개(국내 25·해외 24) 중 22개(국내 18·해외 4)가 2009년 이후 북한이 대남 해킹에 사용해 확인된 인터넷주소와 일치했다.

북한은 또 해킹에 사용된 악성코드 76종 중 30종 이상을 재활용하기도 했다. 북한 해커들이 고유하게 사용하는 감염 PC의 식별 번호(8자리 숫자) 및 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용한 악성코드는 18종에 달했다.

이어 민관군 합동대응팀은 일련의 사이버테러 4건이 북한의 소행이라고 전했다.

민관군 합동대응팀은 "지난 3월 20일 발생한 방송사와 금융기관 공격의 경우 대부분 파괴가 같은 시간대에 PC 하드디스크를 ‘HASTATI′ 또는 ’PRINCPES′ 등 특정 문자열로 덮어쓰기 방식으로 수행됐다"며 "악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로가 일치했다"고 설명했다.

특히 "3월 25일과 26일 발생한 3건도 악성코드 소스프로그램이 방송사와 금융기관 공격용과 완전히 일치하거나 공격경유지도 재사용된 사실을 확인했다"며 북한 소행에 무게를 뒀다