도발위협과 일치…”의도적이고 준비된 공격 의심”

작년 6월 중앙일보를 상대로 한 북한의 사이버테러는 우리 정부와 일부 언론을 대상으로 공격을 감행하겠다고 위협한 시점부터 차곡차곡 진행됐다.

중앙일보 뉴스사이트(www.joongang.co.kr)와 신문제작시스템에 대한 공격은 지난해 6월9일 이뤄졌지만 약 두 달 전인 4월21일부터 사전 준비 작업이 있었다는 의미다.

16일 경찰청 사이버테러대응센터가 분석한 중앙일보 보안시스템 접속 기록을 보면 북한 체신성 산하 통신회사인 조선체신회사 회선을 사용하는 PC ‘이스원(IsOne)’의 사용자는 지난해 4월21일부터 중앙일보의 주요 피해 서버에 집중적으로 접속했다.

북한 측 회선을 이용한 공격자는 이 시점에 중앙일보 웹사이트와 신문제작시스템 등에 대한 ID와 패스워드 등 접속정보를 수집하고 후일을 위해 악성코드를 심었다.

이는 북한군이 “혁명무력의 특별행동이 곧 개시된다”고 사실상 대남도발을 예고한 4월23일과 거의 일치하는 시점이다.

당시 조선인민군 최고사령부 특별작전행동소조는 조선중앙통신을 통해 “특별행동은 일단 개시되면 3∼4분, 아니 그보다 더 짧은 순간에 지금까지 있어본 적이 없는 특이한 수단과 우리 식의 방법으로 진행된다”면서 동아일보와 KBS, MBC, YTN 등 매체를 특정했다.

전문가들은 ‘개시되면 3∼4분 안에’, ‘특이한 수단과 우리 식의 방법으로’ 등과 같은 문구가 사용된 점을 들어 국지적 도발이나 도심 테러 등을 예고한 것으로 풀이했었다.

북한이 국내 언론사에 대한 보복을 ‘최후통첩’한 6월4일 전후에도 북한 IP를 통해 중앙일보 웹사이트에 집중적으로 접속한 사실이 드러났다. 경찰은 이 때 접속을 공격 직전 최종 준비 작업으로 보고 있다.

악성코드에 감염된 신문제작시스템은 6월7일께 관리자 PC에 저장된 서버 관리 정보를 국제 경유지 서버 2곳을 통해 PC 이스원(IsOne)으로 송출했다.

이스원은 공격 당일 10개국으로 분산된 17개 해외 경유지 서버를 활용해 신문제작시스템을 삭제하는 악성코드를 다시 전송했고 이 공격으로 중앙일보는 6월9일 신문 발행에 상당한 차질을 빚었다.

당일 중앙일보 뉴스사이트(www.joongang.co.kr)에 접속하면 입을 가리고 웃는 고양이 사진과 함께 녹색 코드가 나열된 화면이 떴다.

당시 공격은 2011년 중앙선거관리위원회에 대한 디도스(DDoS) 공격과 달리 서버 자체를 공격하는 방식을 동원, 신문 제작에 필요한 일부 서버를 집중적으로 타격했다.

공격자가 변조시킨 홈페이지 서버에 직접 접속해 공격 상황을 점검한 흔적도 나타났다.

공격자는 지난해 특정일을 기해 여타 언론사 2곳에 대한 추가 공격을 예고하기도 했다.

경찰청 사이버테러대응센터 관계자는 “북한 체신성을 통한 중앙일보 IP주소 접속 추이와 북한 측이 국내 언론사를 대상으로 보복 공격을 위협한 시기가 일치한다”면서 “의도적이고 준비된 공격을 의심하는 부분”이라고 말했다.

연합뉴스