국내 방송·금융사의 전산망을 마비시킨 이른바 ‘3·20 사이버테러’가 북한 소행이라고 정부가 판단한 이유는 역추적 과정에서 북한 내부 인터넷프로토콜(IP)이 발견되는 등 다양한 근거들이 발견됐기 때문이다.

10일 미래창조과학부 등 민·관·군 합동대응팀의 조사결과 발표에 따르면 3.20 사이버테러 한 달여 전인 지난 2월22일 북한의 내부 IP주소(175.45.178.xx)가 감염PC 원격조작 등 명령하달을 위해 국내 경유지에 처음 시험접속한 흔적이 발견됐다.

이 공격 경유지에서 공격자가 악성코드로 내부시스템을 감염시킨 후 안랩 등 보안프로그램의 패치서버 등을 통해 국내 업체에 공격을 시도한 것으로 보인다.

또 다른 근거로는 최소한 6대 이상의 북한 내부PC가 8개월 전인 지난해 6월28일부터 금융사에 1천590회 접속, 악성코드를 유포했으며 이중 13회에서 북한의 IP가 드러난 점을 꼽을 수 있다.

북한은 공격 다음날인 지난달 21일 해당 공격 경유지를 파괴해 흔적 제거까지 시도하는 치밀함을 보였다.

대응팀은 해커가 방화벽과 웹서버를 거치면서 남긴 로그를 모두 지웠지만 원격터미널에 접속한 로그가 일부 남아있었다고 설명했다. 통신상의 문제 때문에 수초∼수분 동안 북한의 IP가 노출됐다는 것이다.

정부는 이 IP가 위조된 것일 가능성을 염두에 두고 조사를 진행했으나 이번 공격이 단방향 공격이 아니라 양방향 통신을 바탕으로 한 공격이라는 점에서 위조 가능성은 낮다고 결론을 내렸다.

디도스(DDoS, 분산서비스거부) 공격처럼 공격자가 명령을 내리기만 하면 되는 공격에서는 IP를 위조할 수 있지만, 이번 공격은 공격자가 명령을 내리고 나서 답을 받아야 하는 방식이기 때문에 IP를 위조했을 가능성은 극히 낮다는게 정부의 판단이다.

이밖에 대응팀은 지금까지 북한 소행으로 결론이 난 과거 공격과 이번 사이버테러의 경유지와 수법이 일치하거나 상당 부분 유사하다는 점도 북한의 해킹으로 추정되는 증거로 들었다.

이번 공격에 사용된 국내외 공격 경유지는 국내 25곳과 해외 24곳 등 모두 49곳으로, 이중 국내 18곳과 해외 4곳 등 22곳이 과거 북한의 대남 해킹에 이미 사용된 것으로 대응팀은 파악했다.

또 대응팀은 이번 해킹에서 사용된 악성코드 76종 중 과거의 것을 재활용한 것이 30종 이상이었다고 공개했다.

대응팀은 또한 3.20 사이버테러 이후 발생한 25∼26일의 해킹 공격도 악성코드 종류와 공격 경유지 등이 일치하는 점 등으로 미뤄 역시 북한의 소행으로 보인다고 밝혔다.

이번 해킹공격을 주도한 북한 정찰총국은 2009년 2월 대남·해외 공작업무를 총괄하기 위해 기존 인민무력부 산하 정찰국과 노동당 산하 작전부, 35호실 등 3개 기관을 통합해 만들었다. 정찰총국 산하 전자정찰국 사이버전지도국(121국)은 다른 나라의 컴퓨터망에 침입해 비밀자료를 해킹하고 바이러스를 유포하는 사이버전 전담부대이며 인력만 3천여 명에 이르는 것으로 우리 당국은 추정한다. 정찰총국을 총괄하는 인물은 대남 강경파로 알려진 김영철 총국장(대장)이다.