[아시아경제 심나영 기자]미래창조과학부는 3·20 사이버테러가 북한의 해킹이라고 추정하는 증거 네가지를 발표했다. 10일 미래창조과학부는 민관군 합동대응팀을 대표해 '3·20 사이버테러 중간 조사결과'를 통해 이같이 전했다.
북한 내부에서 국내 공격 경유지에 수시로 접속하고 장기간 공격 준비했다는 것이 첫번째 근거다. 미래부는 "지난해 6월 28일부터 북한 내부 PC 최소 6대가 1590회 접속해 금융사에 악성코드를 유포하고 PC 저장자료를 절취했으며, 공격한 다음날인 3월 21일 해당 공격경유지를 파괴, 흔적 제거까지 시도했다"고 밝혔다.
특히 "금년 2월 22일 북한 내부 인터넷주소(175.45.178.xx)에서 감염PC 원격조작 등 명령 하달을 위한 국내 경유지에 시험 목적으로 처음 접속했다"고 덧붙였다.
두번째 근거는 공격경유지 49개중 22개가 과거 사용했던 경유지와 동일하다는 점이다. 미래부는 "지금까지 파악된 국내외 공격경유지 49개(국내 25, 해외 24) 중 22개(국내 18, 해외 4)가 2009년 이후 북한이 대남해킹에 사용 확인된 인터넷주소와 일치했다"고 전했다.
세번째 근거는 악성코드 76종 중 30종 이상을 재활용했다는 점이다. 미래부는 "북한 해커만 고유하게 사용중인 감염PC의 식별 번호(8자리 숫자) 및 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용한 악성코드가 무려 18종에 달했다"고 말했다.
네번째 근거는 악성코드 개발작업이 수행된 컴퓨터의 프로그램 저장경로가 일치했다. 일련의 사이버테러 4건이 동일조직 소행이라는 근거로 "3월 20일 방송사와 금융사 공격의 경우, 대부분 파괴가 같은 시간대에 PC 하드디스크를 ‘HASTATI' 또는 ’PRINCPES' 등 특정 문자열로 덮어쓰기 방식으로 수행됐고, 악성코드 개발 작업이 수행된 컴퓨터의 프로그램 저장경로가 일치했다"고 밝혔다.
이어 "3월 25일 및 26일 발생한 3건도 악성코드 소스프로그램이 방송사와 금융사 공격용과 완전히 일치하거나 공격경유지도 재사용된 사실을 확인했다"고 강조했다.
심나영 기자 sny@
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
