[취재현장] “사이버 테러 北 정찰총국 소행”

<앵커 멘트>

지난 3월 방송사와 금융회사에 대한 사이버테러는 북한의 정찰총국이 저지른 것으로 드러났다고 정부가 오늘 공식발표했습니다.

북한 내부에서 직접 국내 서버를 공격하고 해킹한 증거들이 발견됐습니다.

취재기자와 함께 자세히 알아보겠습니다.

박경호 기자 (네)

<질문>
정부가 오늘 중간수사결과를 발표했죠. 내용을 정리해주시죠.

<답변>
네, 민관군합동대응팀은 오늘 과천정부청사에서 기자회견을 열고 지난 3월 20일 방송사와 금융회사에 대한 사이버테러를 북한 소행이라고 밝혔습니다.

320 사이버테러로 피해를 입은 기관들에서 서버와 PC를 수집해 이를 그동안 군과 국정원 등이 보관하고 있던 북한의 해킹 기록들과 비교해본 결과입니다.

공식발표 내용을 먼저 들어보시죠.

<인터뷰>이승원(미래창조과학부 정보보호정책과장):"이번 320사이버테러에서 농협 등 수차례에 대남해킹을 주도한 북한 정찰총국과 해킹수법과 유사한 증거들을 발견했습니다."

<질문>
그 증거들이란 게 뭔가요?

<답변>
판단한 결정적 증거는 해킹에 사용된 IP 즉, 인터넷 주소였습니다.

인터넷을 사용하기 위해 전세계에 지역별로 Ip를 배정하는데요.

피해 기관들의 감염된 서버와 PC에 원격조작 명령을 내린 곳이 바로 북한에서 사용하는 175로 시작되는 IP였습니다.

실제로 취재진이 인터넷 진흥원에서 이 IP를 검색해보니 주소가 평양 보통강구 류경동이었습니다.

북한 해커가 국내 서버 접속이나 공격 흔적까지 지우며 치밀함을 보였지만, 잠깐 노출되 IP에 꼬리가 잡힌겁니다.

정부의 발표내용을 들어보시죠.

<인터뷰>전길수(한국인터넷진흥원(KISA) 침해사고대응단장):"해커가 외국 경유지 통해서 접속했을 때 통신망 관련 기술적 문제 때문에 수 초, 수 분간 북한 IP가 노출됐다."

<질문>
북한이 치밀하게 준비했다죠.

<답변>
네 그렇습니다.

정부는 지난해 6월부터 금융사 서버에 북한의 IP 주소가 남아 있다고 밝혔습니다.

북한 해커가 사용하고 있는 PC의 고유 번호가 붙어있는 악성코드도 18종이나 발견됐습니다.

또 이번에 발견된 76종의 악성코드 가운데 30종이 예전 북한이 저지른 해킹에 사용된 것과 동일했습니다.

북한이 우리 기관들을 해킹하기위해 얼마나 준비를 했는지 발표내용을 들어보시죠.

<인터뷰> 전길수(한국인터넷진흥원(KISA) 침해사고대응단장):"2012년 6월 28일부터 북한 내부 PC 최소한 6대가 1590회 접속해 금융사에 악성코드를 유포하고 PC저장자료를 탈취하였으며..."

<질문>
그런데 우리 정보보안시스템이 완벽했다면 성공하지 못했던 것 아닐까요.

<답변>
네, 그러나 북한은 집요하게 우리의 보안시스템을 연구하고 노렸습니다.

피해를 당한 방송사와 은행들은 중앙 전산실 서버에서 모든 직원들에게 최신 백신 프로그램을 주기적으로 업데이트 해주고 있습니다.

북한 해커는 중앙서버 관리자의 아이디와 비밀번호를 빼내기 위해 지난해 6월부터 8달 동안 치밀한 작업을 했고, 자동 배포되는 최신 백신에 악성코드를 심어 놓았습니다.

따라서 백신이 배포되면서 접속한 개인 PC들이 동시에 악성코드에 감염돼 파괴된 것입니다.

악성코드를 막자고 설치한 백신이 오히려 숙주 노릇을 한 것입니다.

정부는 내일 국정원장 주재로 미래창조과학부 등 15개 정부기관이 참여하는 국가사이버안전전략회의를 열고 대책을 마련할 예정입니다.