미래창조과학부와 국방부, 한국인터넷진흥원(KISA) 등 민관군 합동대응팀은 10일 과천 미래부 기자실에서 기자회견을 열고 "해킹 관련 접속기록과 악성코드의 특성을 종합적으로 분석한 결과, 3.20 사이버테러는 북한의 수법과 일치한다는 결론을 내렸다"고 발표했다. *관련기사 6면
전길수 KISA 침해사고대응단장은 "지난해 6월28일부터 북한 내부 컴퓨터 6대가 금융사에 1,590회 접속해 악성코드를 유포하고, 공격한 다음 날인 3월21일에는 해당 공격 경유지를 파괴해 흔적 제거까지 시도했다"고 설명했다. 합동대응팀이 북한 소행으로 제시한 증거는 ▦북한 내부(175.45.178.XXX)에서 공격 경유지에 수시로 접속 ▦공격 경유지 49개 중 22개가 과거 사용했던 경유지 ▦악성코드 76종 중 30종 이상을 재활용 ▦악성코드 저장경로가 동일하다는 점 등이다.
합동대응팀은 북한이 아닐 가능성은 매우 낮다고 확신했다. 전 단장은 "과거 디도스 공격은 단방향 통신만하면 되기 때문에 70% 이상이 위조 인터넷프로토콜(IP)을 사용한다"며 "그러나 이번에 사용한 APT(지능형지속가능위협)는 지령을 받으면 응답하는 양방향 통신을 사용하기 때문에 위조IP일 가능성이 매우 낮다"고 강조했다.
정부는 3ㆍ20 사이버 테러가 북한의 소행으로 확인됨에 따라 11일 국정원장 주재로 15개 정부기관이 참여하는 '국가사이버안전전략회의'를 열고 대응책을 논의할 예정이다.
한편 한미 군 당국은 북한의 미사일 발사가 임박함에 따라 대북정보 감시태세인 '워치콘(Watch Condition)'을 3단계에서 2단계로 상향 조정했다. 워치콘이 격상되면 대북 정보감시 자산이 증강 운영되며 정보분석 요원 수도 평소에 비해 2~3배 가량 늘어난다.
군 관계자는 "북한이 정치적 결단만 있으면 언제든 미사일을 쏠 수 있기 때문에 워치콘을 한 단계 격상했다"며 "북한 동해안 지역을 집중적으로 감시하고 있는 상황"이라고 밝혔다. 현재 한미 군 당국은 정찰위성과 무인 정찰기 등을 총동원해 북한 동해지역을 샅샅이 감시하고 있다. 특히 '북 미사일 발사 대비 태스크포스(TF)'를 꾸리며 북한의 움직임에 기민하게 대응한다는 방침이다. 북한은 최근 사거리 3,000km~4,000km에 달하는 '무수단' 중거리 미사일을 동해안으로 이송하는 등 미사일 발사 준비가 차근차근 진행 중인 것으로 전해졌다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
