P2P 업체 등 사전해킹최소 6개월이상 공격 준비


  • 이번 6.25 사이버공격 역시 북한 소행이었다.

    미래창조과학부는 지난 [6.25 사이버공격]이
    [3.20 사이버테러] 등을 일으킨
    [북한]의 해킹 수법과 일치하다고 밝혔다.


    지난 6월 25일부터 이달 1일 사이에는

    △방송·신문사 서버장비 파괴(6.25 09:00)
    △청와대, 국무조정실 등 홈페이지 변조(6.25 09:24)
    △정부통합전산센터 DDoS 공격(6.25 10:00)
    △경남일보 등 43개 민간기관 홈페이지 변조(7.1 08:21) 등

    총 69개 기관·업체등에 대한 연쇄적인 사이버공격이 발생했다.

    이에 민·관·군 합동대응팀은
    피해장비 및 공격경유지 등에서 수집한
    악성코드 82종과 PC접속기록,
    공격에 사용된 인터넷 주소와 과거 북한의 대남해킹 자료 등을
    종합 분석해 발표했다.

    공격자는 최소 6개월 이상 이번 공격을 위해 준비했다.

    국내 P2P·웹하드 서비스, 웹호스팅 업체 등
    다중 이용 사이트를 사전에 해킹해
    다수의 공격목표에 대한 보안 취약점을
    미리 확보하는 등의 준비를 해온 것 이었다.

    전길수 <한국인터넷진흥원> 침해사고대응단장은
    이번 사이버공격을
    [북한] 소행이라고 밝히면서
    그 근거에 대해 다음과 같이 설명했다.

    북한 IP주소가 2개 발견됐다.
    6.25 공격을 위해 사용된 국내 IP와
    7.1 피해기관 홈페이지 서버를 공격한 IP에서
    북한 IP를 발견했다.


    시스템 주요파일 삭제,
    서버 다운을 위한 시스템 부팅영역(MBR) 파괴,
    해킹 결과 전달 위한 공격상황 모니터링 방법과
    악성코드 문자열 등의 특징이
    북한 소행으로 밝혀진
    [3.20 사이버테러]와 동일했다.


    홈페이지 변조 및 DDoS 공격에 사용된 악성코드 역시
    [3.20 사이버테러] 악성코드 변종이라는 것도 확인됐다.

     

    하지만 지난 [3.20 사이버테러]와 비슷한 공격임에도 불구하고
    제대로된 대응을 하지 못한 것에 대해서는
    다음과 같이 설명했다.

     

    3.20 사이버테러 이후 대응이 있었지만
    그때와 [다른 대상]과 [방식]으로 공격이 진행됐다.

    이번엔 청와대 [웹페이지 변조] 및
    보안이 [취약]한 민간 웹페이지 공격이 주를 이뤘다.
    때문에 적절한 대응이 이뤄지지 못했다.

    [3.20 사이버테러]는 서버를 다운 시키는 방식의 공격이다.


    더불어 "이번 웹페이지 공격이 [국가 기관망]에 대한 공격이 아닌
    [개방된] 인터넷망에 대한 공격"이라고 강조했다.

    이는 국가망 내부에 대한 해킹이 아닌
    인터넷으로 많은 이들이 접근해 볼 수 있는
    대국민 서비스에 대한 공격이라고 덧붙였다.

    또한 이번 공격은 [어나니머스를 위장한 것]이라고 발표했지만
    그렇지만 어나니머스의 정체에 대한 수사는 없었다고 전했다.