’12. 6월 중앙일보 해킹 근원지는“북한”
- 4월경 부터 공격 준비, 10여개 국가 서버 경유하여 공격 -
□ 사 건 개 요
’12. 6. 9.(土) 18:13경 ‘IsOne’이라는 별칭을 사용하는 공격자가 ‘중앙일보’의 홈페이지를 변조하고, 신문제작시스템에 침입하여 일부 데이터를 삭제함
※ 당시 공격자는 향후 추가적인 공격을 할 것임을 암시하는 메시지를 남김
□ 수 사 경 과
◯ 경찰은 공격 주체와 근원지를 규명하기 위해, 피해 신문제작시스템, 보안시스템 접속기록, 악성코드(6개)를 분석하고, 공격에 이용된 국내경유지 서버(2대)와 10여개 국가에 분산된 해외경유지 서버(17대)를 발견하여 공조수사를 통해 일부 확보ㆍ분석하는 한편, 최근 발생한 유사 사이버테러 사건과도 비교 분석하였음
※ 과거 북한 소행 사이버테러 사건으로는 7․7디도스(’09), 3․4디도스 사건(’11)과 농협전산망해킹사건(’11), 고려대 E메일 악성코드 유포사건(’11)이 있음
◯ 공격자는 최소한 ’12. 4월경부터 중앙일보 피해 신문제작시스템에 접속하여 정보수집을 한 것으로 확인되었으며, 공격 2일 전 중앙일보 관리자 PC를 해킹하여 신문제작시스템 서버관리 정보를 유출하였고, 특히 6. 9경 집중적으로 시스템을 삭제하였음
□ 공격 근원지는 북한사용 IP로 확인
◯ 북한 체신성 IP 확인
중앙일보의 모든 피해시스템들과 통신한 해외 경유지 서버를 공조수사를 통해 확보하여 분석한 결과, 북한이 사용하는 IP대역에서 ‘ISONE’ 이라는 PC명으로 접속한 사실이 확인되었음
◯ 해외 경유지 서버 동일
지난 3․4디도스 및 농협전산망해킹 사건 당시 이용되었던 해외 경유지 서버(1대)가 이번 사건에서도 동일하게 사용된 사실이 발견되었음
※ 전세계 IP주소 약 40억개 중에서, 한 IP주소가 우연히 서로 다른 3개의 사건에서 동시에 동일 용도의 공격 경유지로 이용될 가능성은 1/40억3 확률로, 동일 공격 주체에 의해 재사용된 것이 분명
◯ 악성코드 동일
지난 7․7디도스 또는 고려대 E메일 악성코드 유포사건에서 사용된 것과 동일한 기능의 악성코드가 본 건에서 발견되었으며, 일부 악성코드는 제작 알고리즘이나 키값까지 동일한 것도 발견되었음
※ 악성코드 알고리즘 키값(문자+숫자+특수문자 조합 16자리)은 제작자가 임의로 부여한 값으로서 동일 공격자만이 알 수 있는 정보임
◯ 북한 체신성 IP주소 접속기록 추이와 북한측 동향 일치
◦ 보안시스템 접속기록 분석 결과, 지난해 4월 중순 이후 북한이 사용하는 IP주소 대역으로부터 접속권한이 없는 언론사측 주요 피해 서버에 집중적으로 접속한 사실이 발견되고,
◦ 북한이 사용하는 IP주소 대역으로부터의 접속 추이가 북한이 일부 국내 언론사에 대한 공격 협박을 표명하거나 재표명한 시기와 부합한다는 점도 확인되었음
◦ 공격 직후, 변조 시킨 홈페이지 서버에 직접 접속하여 공격상황을 점검한 흔적도 발견되었음
□ 향후 계획
◯ 경찰은 향후 발생 가능성이 있는 추가적인 사이버공격에 대비하기 위해 유관기관․정보보호기관․해외 법집행기관과도 공조체계를 강화할 것임
◯ 공격자가 추가 공격을 예고하고 있음에 따라 여타 언론사에 대하여도 사이버 공격등 피해 대비에 만전을 기할 것을 권고 함
[부패방지뉴스 박병호기자]