악성코드, 중국서 유입 확인…北 소행에 무게

20일 방송'금융기관의 전산망을 마비시킨 사상 초유의 해킹 사건에 사용된 악성파일이 중국에서 유입된 것으로 21일 확인됐다.

이에 따라 그동안 중국 인터넷을 주로 이용하는 북한의 해킹 수법에 비춰 이번 해킹 사건도 북한의 소행일 가능성에 무게가 실리고 있다.

방송통신위원회, 경찰청, 한국인터넷진흥원 등 민'관'군 합동 대응팀은 21일 브리핑에서 "농협 시스템을 분석한 결과 중국 IP(101.106.25.105)가 백신 소프트웨어(SW) 배포 관리 서버에 접속, 악성파일을 생성했음을 확인했다"고 발표했다. 신원이 불분명한 해커가 중국 인터넷을 거쳐 피해 기관의 백신 SW를 배포하는 업데이트관리서버(PMS)에 접속, 악성파일을 심어놓고 나서 정해진 시간에 하위 컴퓨터의 부팅 영역을 파괴하도록 명령한 것으로 분석된다.

또 악성코드 분석에서 피해기관에 대한 공격주체는 동일 조직인 것으로 파악됐으나 구체적으로 누구인지는 아직 확인되지 않았으며, 지금까지 방송'금융기관 6개사의 PC, 서버 3만2천여 대가 피해를 본 것으로 집계됐다.

합동 대응팀은 피해서버, PC의 로그기록과 현장에서 채증한 악성파일에 대한 추가 분석을 통해 공격주체 파악에 주력하고 있다.

방통위는 피해 기관의 전산망 완전 복구에는 최소 4, 5일이 걸릴 것으로 내다봤다.

정부는 추가 피해 차단을 위해 안랩, 하우리, 잉카인터넷 등 백신 업체와 협조, 전용 백신을 긴급 개발해 보호나라 홈페이지(www.boho.or.kr)를 통해 무료 배포하고 있다.

합동 대응팀 관계자는 "추가 공격에 대비해 국토해양부(건설'교통), 지식경제부(에너지), 행정안전부(정부통합전산센터), 국정원 등 주요 기반시설에 대한 긴급 보안 점검을 한 결과 별다른 이상이 없었다"고 밝혔다.

전문가들은 이번 해킹 공격이 해킹의 대상과 피해 규모 면에서 과거와 비교가 안 될 정도로 큰 파괴력을 갖췄다고 평가했다. 이전의 디도스(DDos) 방식의 해킹과 달리 컴퓨터의 부팅을 막아 전산망 사용 자체를 불가능하게 만들었기 때문이다.

보안 전문가들은 "아예 부팅을 못 하도록 화면을 날려버렸다는 점에서 공격 방식이 과거의 디도스 공격과는 큰 차이가 있다"며 "이 정도로 동시다발적으로 한 번에 (공격을) 터트리려면 철저한 계획하에 공격이 이뤄져야 한다"며 "해커들이 상당한 수준을 갖춘 것으로 보인다"고 말했다.

유광준기자 june@msnet.co.kr