지난달 20일 KBS, MBC, YTN 등 주요 방송사와 농협, 신한은행 등의 전산망 마비상태는 북한 정찰총국 소행으로 밝혀졌다.

미래창조과학부는 오늘(10일) 오후 2시 공식적인 기자회견을 통해 북한이 그동안 시도했던 해킹 수법과 일치한다고 결론을 내렸다고 밝혔다.

민·관·군 전문가로 구성된 정부 합동 대응팀은 피해를 입은 회사의 컴퓨터에서 접속기록과 악성코드의 특성을 분석한 결과 지난 2월 하순 북한측이 내부 PC로 해외 IP를 이용, 우회경로를 거쳐 피해 업체에 악성코드를 심은 사실을 파악했다.

이들은 북한 정찰총국이 최소한 8개월 전부터 목표기관 내부의 PC와 서버 컴퓨터를 장악해 자료를 빼가거나 전산망 취약점 파악 등 지속적으로 감시하다가 백신 등 프로그램의 중앙 배포 서버를 통해 PC 파괴용 악성 코드를 내부 PC 전체에 일괄 유포하고 저장자료 삭제 명령을 실행한 것으로 확인했다.

대응팀은 "해커가 악성코드 유포 명령을 내리는 서버에 접속할 때 로그 기록을 모두 지우는 등 IP를 숨기려는 노력을 했지만, 원격터미널 접속로그 기록이 남아 그 부분에서 북한에서 직접 접속된 IP라는 점을 확인했다"고 설명했다.

정부는 합동대응팀의 조사를 통해 공격에 사용된 컴퓨터 인터넷 주소와 해킹수법 등을 분석한 결과 2009년 7.7 디도스(분산서비스거부), 2011년 3.4디도스와 농협 전산망 해킹등 과 같이 북한 소행으로 추정되는 증거를 상당수 확보했다고 밝혔다.

또 이번 사이버 테러가 동일 조직의 소행이라는 근거로 대부분 파괴가 같은 시간대에 PC 하드디스크를 'HASTATI' 또는 'PRINCPES' 등 특정 문자열로 덮어쓰기 방식으로 수행됐고, 악성코드 개발 작업이 수행된 컴퓨터 프로그램 저장경로가 일치했다고 주장했다.

하지만 전산망 마비 직후 주체로 거론됐던 해커그룹'후이즈'와 북한과의 관계는 밝혀지지 않은 것으로 알려졌다.

한편 정부는 사이버테러 이후 추가공격에 대비해 국정원, 경찰청, 한국인터넷진흥원의 조사모니터링 인력을 평상시보다 3배 이상 늘이고 주요 홈페이지 1,781개를 대상으로 악성코드 여부를 점검했다