[3·20해킹]北 실수로 노출한 IP주소 잡아냈다

[아시아경제 김영식 기자]3·20 사이버테러를 조사해 온 정부 민·관·군 합동대응팀이 북한의 소행일 것으로 결론내린 근거는 극히 짧은 시간 동안 노출된 북한 내부 인터넷주소를 잡아내는 데 성공했기 때문이었다.

전길수 한국인터넷진흥원 침해사고대응 단장은 10일 미래창조과학부에서 열린 3·20 사이버테러 중간 조사결과 브리핑에서 "북한 내부에서 국내 공격 경유지에 수시로 접속해 오래 전부터 공격을 준비해 왔다는 증거를 찾았다"면서 "올해 2월 22일 북한 내부 인터넷주소(175.45.178.XX)에서 악성코드에 감염된 PC의 원격조작 등 명령 하달을 위한 국내 경유지에 시험 목적으로 처음 접속한 사실을 확인했다"고 말했다.

전 단장은 "해커는 침투 과정을 숨기기 위해 관련 기록을 다 지우므로 북한이 직접 접속했다는 IP기록을 추출하기는 굉장히 어렵다"면서 "다만 원격 터미널 접속 등의 기술적인 부분을 면밀히 추적하는 과정에서 수 초간 북한 IP가 노출된 것을 찾아낼 수 있었다"고 설명했다.

당국에 따르면 2012년 6월 28일부터 북한 내부 PC 최소한 6대가 1590회 접속해 금융사 홈페이지에 악성코드를 유포하고 PC내부 저장 자료를 빼내는 등 장기간의 준비를 거쳤다. 공격 다음날인 21일에는 해당 공격 경유지를 파괴해 흔적을 제거하려 시도했던 것으로 드러났다.

다만 일부 언론에 보도된 것처럼 공격 주체가 북한의 대남공작 총괄부서인 정찰총국의 소행인지는 일단 결론을 유보했다. 전 단장은 "지금까지 확인된 것은 북한의 해킹으로 추정할 증거를 상당수 확보했다는 것 정도까지"라고 말했다.

김영식 기자 grad@