北체신성 IP 확인…악성코드·해외 경유지도 전과 동일접속개시 시점 4월 도발위협과 일치…의도적 사이버테러인듯
지난해 6월 발생한 중앙일보 해킹 사건이 북한의 소행이라고 경찰이 결론을 내렸다.해킹이 시작된 시기가 북한이 국내 일부 언론사에 대해 ‘특별행동’을 개시하겠다고 공언한 시점과 일치해 의도적인 사이버테러일 가능성이 큰 것으로 분석됐다.
북한이 우리나라 웹사이트에 사이버테러를 감행하다가 적발된 것은 2009년 7·7 디도스 공격, 2011년 3·4 디도스 공격, 같은 해 농협 전산망 해킹과 고려대 이메일 악성코드 유포사건 등에 이어 이번에 5번째다.
지난해 6월 사이버 공격으로 중앙일보 뉴스사이트(www.joongang.co.kr)를 접속하면 입을 가리고 웃는 고양이 사진과 함께 녹색 코드가 나열된 화면이 떴고 신문제작시스템의 데이터도 삭제돼 중앙일보는 신문 제작에 차질을 빚었다. 화면에는 ‘이스원이 해킹했다(Hacked by IsOne)’는 메시지가 등장했다.
경찰은 중앙일보 신문제작시스템과 보안시스템 접속기록, 악성코드, 공격에 이용된 국내 경유지 서버 2대와 10여개국으로 분산된 경유지 서버 17대 등을 분석한 결과 사이버테러 공격의 진원지로 북한을 지목했다.
경찰은 북한 체신성 산하 통신회사인 조선체신회사가 중국회사로부터 임대한 IP 대역을 통해 ‘이스원(IsOne)’이라는 이름의 PC가 접속한 사실을 확인했다. 공격 당시 해당 도메인에는 북한 홈페이지가 운영되고 있었다.
경찰은 지난 3·4 디도스 공격 및 농협 전산망 해킹 사건 때 이용된 해외 경유지 서버 1대가 이번 사건에 동일하게 사용된 점도 당시 공격 주체로 분석된 북한이 이 범행도 저지른 것으로 보는 근거로 제시했다. 경찰은 전 세계 IP주소 약 40억개 중에서 한 IP가 우연히 서로 다른 3개 사건에 동시에 공격 경유지로 사용될 가능성은 제로에 가깝다고 설명했다.
경찰은 7·7 디도스 공격과 고려대 이메일 악성코드 유포사건에 사용된 악성코드와 같은 코드(16자리 암호해독 키값도 동일)가 이번 공격에 사용된 것도 확인했다.
북한 체신성 IP를 통해 중앙일보 사이트에 집중적인 접속이 시작된 시점은 지난해 4월21일로, 북한이 대규모 대남 규탄 집회를 열고 일부 언론사 등에 특별행동을 감행하겠다고 한 시기와 일치한다.
2개월간의 준비과정을 거친 해커는 공격 이틀 전인 6월7일 중앙일보 관리자 PC를 해킹했고 9일에 시스템을 집중적으로 삭제했다.
경찰청 관계자는 “여러 정황으로 미뤄볼 때 의도적인 공격일 가능성에 무게를 싣고 있다”면서 “유사한 방식의 추가 공격을 감행할 가능성이 농후해 여타 언론사도 피해 대비에 만전을 기해야 한다”고 조언했다.
이에 대해 중앙일보는 “북한이 제작 시스템을 해킹한 것은 언론 자유와 국민의 알 권리를 침해한 행위로서 용납될 수 없다”면서 “북한이 다시는 그런 행위를 하지 않기를 촉구한다”고 밝혔다.
연합뉴스
