농협 해킹은 북한 정찰총국 소행
檢 "농협 해킹은 北 정찰총국 소행"(종합2보)
연합뉴스 | 전성훈 | 입력 2011.05.03 12:24 | 수정 2011.05.03 12:24
7.7, 3.4 디도스 공격과 동일집단 소행
'백도어' 깔아 목표 노트북 7개월 감시
(서울=연합뉴스) 전성훈 송진원 기자 = 지난달 12일 발생한 사상 초유의 농협 전산망 마비 사태는 북한 정찰총국의 '사이버테러'에 의한 것으로 드러났다.
서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 3일 이번 사태가 2009년 7.7디도스 및 지난 3.4 디도스 공격을 감행했던 동일 집단이 장기간 치밀하게 준비해 실행한 것으로 '북한이 관여한 초유의 사이버테러'라고 발표했다.
검찰은 한국IBM 직원 노트북에서 발견된 81개 악성코드를 분석한 결과 농협 서버 공격에 사용된 악성코드가 쉽게 발견되지 않도록 암호화하는 방식 등 독특한 제작기법이 앞선 두 차례 디도스 사건과 매우 유사한 것으로 나타났다고 밝혔다.
아울러 악성코드의 유포 경로와 방식이 비슷할 뿐만 아니라 공격에 활용한 좀비PC를 조종하기 위해 이용한 IP(인터넷 프로토콜) 1개는 3.4 디도스 사건 때 이용된 것과 완전히 일치하는 것으로 조사됐다.
농협은 두 차례 디도스 사건에서도 공격대상에 포함된 바 있다고 검찰은 전했다.
검찰은 범인들이 이번 공격 명령의 발원지인 한국IBM 직원의 노트북을 2010년 9월4일 좀비PC로 만든 뒤 7개월간 집중적으로 관리하면서 내부 정보를 빼내고서 원격 조정으로 공격을 감행한 사실을 밝혀냈다.
이들은 문제의 노트북에 악성코드와 함께 일명 '백도어'라 불리는 해킹 및 도청 프로그램을 설치해 일거수일투족을 치밀하게 감시하면서 공격대상 IP와 최고관리자의 비밀번호를 습득한 것으로 확인됐다.
이런 방식으로 지난달 12일 오전 8시20분14초 공격명령 파일을 노트북에 설치한 뒤 그날 오후 4시50분10초 인터넷을 이용한 원격제어로 명령을 실행했으며, 이후 순차적으로 2ㆍ3차 공격을 감행해 총 587대의 서버 가운데 273대를 초토화시켰다.
이후 범인들은 원격으로 노트북을 실시간으로 모니터링하다 공격 성공 사실과 파괴된 서버 수까지 확인한 뒤 오후 5시20분께 노트북에 남아있던 명령 프로그램 등 관련 증거를 일제히 삭제해 추적을 어렵게 했다고 검찰은 밝혔다.
검찰은 악성코드의 종류와 설계 및 유포 기술, 준비 기간 등 수사결과 밝혀진 정황에 비춰 상당한 규모의 인적ㆍ물적 뒷받침 없이는 실행하기 어려운 범죄라는 결론을 내렸다.
검찰은 농협 전산센터 출입기록과 CCTV 등을 통해 내부자가 공격의 활로를 열어주는 등 직간접적으로 외부 해커와 공모했는지 여부도 수사했으나 뚜렷한 단서를 찾아내지는 못했다고 전했다.
검찰 관계자는 "이번 사이버 테러는 피해 확산을 막기 위해 서버 운영을 중단해야 할 만큼 강력한 테러였다"며 "북한의 새로운 사이버 공격 방식에 대한 대책이 절실하다"고 말했다.
cielo78@yna.co.kr / san@yna.co.kr /(끝)
< 저작권자(c)연합뉴스. 무단전재-재배포금지. >
北디도스 수법 일치…농협만 콕찍어 7개월간 정보 빼냈다
헤럴드경제 | 입력 2011.05.03 11:18 | 수정 2011.05.03 11:48
지난달 12일 발생한 농협의 전산망 마비 사태는 북한이 장기간 치밀하게 준비해온 '사이버 테러'라는 사실이 드러났다. 북한은 앞서 2009년 7월 7일과 지난 3월 4일 감행했던 두 차례의 디도스 공격과는 달리 농협 단 한곳만을 공격 목표로 삼아 7개월 이상 각종 정보를 빼낸 뒤 테러를 자행했다.
▶좀비PC 1대가 서버 273대 마비시켜=
검찰에 따르면 서버운영시스템 삭제 명령이 내려진 서버관리업체 한국IBM 직원의 노트북은 이미 지난해 9월 4일 악성코드에 감염돼 좀비PC가 되었다. S 웹하드 사이트의 업데이트 프로그램으로 위장된 이 악성코드는 이번 테러를 준비ㆍ실행ㆍ은폐하는 등의 기능별 여러 파일로 나뉘어져 삭제 복구된 것만 81개에 달했다.
이후 '공격자'는 좀비PC로부터 각종 데이터를 빼내 검토한 뒤 해당 노트북이 은행시스템 관리자가 사용하는 것으로 판단해 이 노트북을 집중적으로 관리해온 것으로 드러났다. 사용자에게 발각되지 않게끔 일명 '백도어(backdoor)'라 불리는 해킹프로그램을 설치해 그 안의 각종 자료는 물론 입력되는 모든 내용을 감시했다. 이를 통해 공격대상 IP 정보와 최고관리자 비밀번호도 확인할 수 있었다.
공격은 지난달 12일 오전 8시20분14초 공격명령 파일을 노트북에 설치하고 오후 4시50분10초 인터넷을 이용한 원격제어를 통해 프로그램을 실행하면서 시작됐다. 한 번 공격 명령을 내리면 유기적으로 연결된 프로그램이 순차 공격을 하는 구조로 설계돼 순차적으로 2, 3차 공격이 이뤄졌고 그 사이 587대 서버 가운데 273대가 피해를 입었다.
검찰 관계자는 "공격이 서버의 모든 데이터를 완전히 삭제해 '0'으로 만들어버리도록 해 서버의 운행을 즉시 중단해야만 추가 피해를 막을 수 있을 정도였다"고 설명했다.
이 과정에서 북한은 심지어 노트북에 설치된 프로그램을 통해 공격 성공 여부를 원격 모니터링하며 파괴된 서버 수까지 확인하고 오후 5시20분께 공격 프로그램 등 관련 증거를 삭제해 유유히 추적을 따돌렸다.
▶왜 북한 공격으로 추정했나…디도스 공격과 유사
=이 같은 프로그래밍 기법은 북한이 7ㆍ7 디도스, 3ㆍ4 디도스 공격에 썼던 수법과 거의 일치했다. 악성코드가 발각되지 않게 암호화하는 방식이나 프로그램 분석을 어렵게 하기 위해 특정 부분을 다른 문자로 치환해 표기하는 방식은 7ㆍ7 디도스 공격 당시와 완전히 일치했다. 삭제 프로그램이 호출하도록 된 31개 파일의 확장자 종류도 3ㆍ4 디도스 공격 때와 100% 일치했고, 좀비PC를 조종한 서버 IP 1개도 동일한 것으로 밝혀졌다.
이와 관련, 검찰 관계자는 "1개 특정기관에 대한 집중 공격으로 새로운 형태의 사이버 테러 행위"라면서도 "농협 시스템 관리용 노트북이 별도 통제 없이 외부 반ㆍ출입된 점, 2010년 7월 이후 최고관리자 비밀번호 변경이 없었던 점 등 허술한 보안 관리가 공격의 빌미를 제공했다"고 밝혔다.
검찰은 향후 관공서와 금융기관 등 주요 전산망 관리 PC에 대해 전수조사를 통해 필요한 대응조치를 하고, 해당 PC는 전혀 외부에 노출되지 않도록 하는 관련 규정 및 지침을 정비하도록 제도적 대책을 마련할 계획이다.
백웅기 기자/kgungi@
▶ 내부→외부→北…꼬리잡힌 IP 접속기록
▶ 피해보상·신뢰회복 여전히 '산 넘어 산'
▶ 검찰, "'농협 해킹' 北 사이버테러로 추정"...수사결과 발표
▶ 농협, 피해보상 분쟁 커질 듯
▶ 농협 해킹, 검찰은 왜 북한소행으로 추정했나
- 헤럴드 생생뉴스 Copyrights ⓒ 헤럴드경제 & heraldbiz.com, 무단 전재 및 재배포 금지 -
▶좀비PC 1대가 서버 273대 마비시켜=
검찰에 따르면 서버운영시스템 삭제 명령이 내려진 서버관리업체 한국IBM 직원의 노트북은 이미 지난해 9월 4일 악성코드에 감염돼 좀비PC가 되었다. S 웹하드 사이트의 업데이트 프로그램으로 위장된 이 악성코드는 이번 테러를 준비ㆍ실행ㆍ은폐하는 등의 기능별 여러 파일로 나뉘어져 삭제 복구된 것만 81개에 달했다.
이후 '공격자'는 좀비PC로부터 각종 데이터를 빼내 검토한 뒤 해당 노트북이 은행시스템 관리자가 사용하는 것으로 판단해 이 노트북을 집중적으로 관리해온 것으로 드러났다. 사용자에게 발각되지 않게끔 일명 '백도어(backdoor)'라 불리는 해킹프로그램을 설치해 그 안의 각종 자료는 물론 입력되는 모든 내용을 감시했다. 이를 통해 공격대상 IP 정보와 최고관리자 비밀번호도 확인할 수 있었다.
|
|
| 김영대 서울중앙지검 첨단범죄수사 제2부장이 3일 서울 서초동 서울중앙지검 브리핑룸에서 농협의 전산 마비 사태를 북한의 소행이라고 발표하고 있다. 검찰은 농협 전산망을 뚫은 악성 해킹 프로그램을 북한이 예전에 사용했던 중국발 IP를 통해 농협 협력업체 직원 한모 씨의 노트북PC에 심은 것으로 결론 내렸다. 박해묵 기자/mook@ |
검찰 관계자는 "공격이 서버의 모든 데이터를 완전히 삭제해 '0'으로 만들어버리도록 해 서버의 운행을 즉시 중단해야만 추가 피해를 막을 수 있을 정도였다"고 설명했다.
이 과정에서 북한은 심지어 노트북에 설치된 프로그램을 통해 공격 성공 여부를 원격 모니터링하며 파괴된 서버 수까지 확인하고 오후 5시20분께 공격 프로그램 등 관련 증거를 삭제해 유유히 추적을 따돌렸다.
▶왜 북한 공격으로 추정했나…디도스 공격과 유사
=이 같은 프로그래밍 기법은 북한이 7ㆍ7 디도스, 3ㆍ4 디도스 공격에 썼던 수법과 거의 일치했다. 악성코드가 발각되지 않게 암호화하는 방식이나 프로그램 분석을 어렵게 하기 위해 특정 부분을 다른 문자로 치환해 표기하는 방식은 7ㆍ7 디도스 공격 당시와 완전히 일치했다. 삭제 프로그램이 호출하도록 된 31개 파일의 확장자 종류도 3ㆍ4 디도스 공격 때와 100% 일치했고, 좀비PC를 조종한 서버 IP 1개도 동일한 것으로 밝혀졌다.
이와 관련, 검찰 관계자는 "1개 특정기관에 대한 집중 공격으로 새로운 형태의 사이버 테러 행위"라면서도 "농협 시스템 관리용 노트북이 별도 통제 없이 외부 반ㆍ출입된 점, 2010년 7월 이후 최고관리자 비밀번호 변경이 없었던 점 등 허술한 보안 관리가 공격의 빌미를 제공했다"고 밝혔다.
검찰은 향후 관공서와 금융기관 등 주요 전산망 관리 PC에 대해 전수조사를 통해 필요한 대응조치를 하고, 해당 PC는 전혀 외부에 노출되지 않도록 하는 관련 규정 및 지침을 정비하도록 제도적 대책을 마련할 계획이다.
백웅기 기자/kgungi@
▶ 내부→외부→北…꼬리잡힌 IP 접속기록
▶ 피해보상·신뢰회복 여전히 '산 넘어 산'
▶ 검찰, "'농협 해킹' 北 사이버테러로 추정"...수사결과 발표
▶ 농협, 피해보상 분쟁 커질 듯
▶ 농협 해킹, 검찰은 왜 북한소행으로 추정했나
- 헤럴드 생생뉴스 Copyrights ⓒ 헤럴드경제 & heraldbiz.com, 무단 전재 및 재배포 금지 -
우리가 살고 있는 이 세상은 참으로 복잡하고 급속한 변화의 물결속에서 불확실한 위기를 맞으며 살고 있습니다.
세상에서는 그 어디에서도 배울 수도 없고, 가르쳐 주지도 않는 고급 비밀정보가 가득한 소중한 책들!
정성들여 신청서 작성하신 분들께 본인 확인 후에 곧바로 보내드립니다!(^-^)
◆추천,관심 소책자 및 CD자료 무료대여신청☜클릭하세요!^^
인류에게 꿈과 희망을 심어주고 미래 비젼을 제시하는 책 무료대여신청하기 클릭!
'실시간 지구촌 개벽소식 > 5선위기의 한반도' 카테고리의 다른 글
| [세종시 소식] 2014년 7월 1일 "세종특별자치시" 출범, 2014년까지 행정부처 이전 (0) | 2011.05.30 |
|---|---|
| 북한 특수부대 상륙작전시설인 백령도 부근 공기부양정 기지 (0) | 2011.05.30 |
| 한국항공 T-50 골든이글 제원 및 모습들 (0) | 2011.04.21 |
| 한국군의 항공무기중 가장 비싼 것은? (0) | 2011.04.21 |
| 다국적군 리비아 초토화 카다피 오리무중 (0) | 2011.03.21 |
