지난달 20일 발생한 KBS·MBC·YTN 등 방송사와 농협·신한·제주은행·NH생명보험·NH손해보험 등 금융기관에 대한 사이버 테러는 북한의 소행이라는 공식 조사결과가 나왔다. 사이버테러의 공격 경로를 추적한 결과 북한 내부의 인터넷 주소가 나왔고, 접속 흔적을 제거하려고 시도한 사실도 발견됐다.

이번 사건을 조사해 온 민·관·군 합동대응팀은 10일 오후 미래창조과학부 브리핑실에서 기자회견을 열어 이런 내용을 포함한 조사 결과를 발표했다. ▶관련기사 3면

합동대응팀은 피해업체의 감염 장비와 국내 공격경유지 등에서 수집한 악성코드 76종을 분석, 최소한 8개월 이전부터 목표기관 내부의 PC나 서버를 장악해 자료를 절취하고 전산망의 취약점을 파악하는 등 지속적인 침투·감시를 해온 것으로 드러났다고 합동대응팀은 밝혔다.

조사결과 지난해 6월28일부터 최소한 6대의 북한 내부PC가 1천590회의 접속을 통해 금융기관에 악성코드를 유포하고 PC에 저장된 자료를 절취한 것으로 드러났다.

또 올해 2월22일 북한 내부 인터넷프로토콜(IP)주소(175.45.178.XXX)에서 감염PC를 원격으로 조작하는 등 명령 하달을 위한 국내 경유지에 시험 목적으로 처음 접속한 흔적도 발견됐다. 정부는 이번 공격이 북한 정찰총국의 소행일 가능성이 크다고 보는 것으로 알려졌다.

악성코드 76종 중 파괴용은 9종밖에 없었으나 사전 침투·감시용은 67종에 이르렀다. 이는 공격이 사전에 치밀하게 준비된 것임을 보여 주는 것으로 합동대응팀은 분석했다.

또 북한 해커가 고유하게 사용중인 감염PC의 8자리 식별번호와 감염신호 생성코드의 소스프로그램을 분석한 결과 과거와 같은 것이 18종 발견됐다.

지금까지 파악된 공격 경유지는 국내 25곳, 해외 24곳이고 이중 국내 18곳, 해외 4곳이 2009년 이후 북한이 대남 해킹에 사용한 것과 IP주소가 일치했다.

정부는 11일 국가정보원장 주재로 미래창조과학부, 금융위원회, 청와대 국가안보실 등 15개 정부기관 관계자가 참석하는 ‘국가사이버안전전략회의’를 열어 재발 방지대책을 논의키로 했다.