[이지경제=이어진 기자] 정부가 6.25 사이버공격의 배후로 북한을 지목했다. 3.20 전산망 마비 사건 때와 공격 수법이 비슷하고 북한 IP가 노출됐다는 것을 근거로 들었다. 북한의 소행으로 추정되는 사이버공격만 3년 간 4번째 일로, 정부의 허술한 대책이 다시 논란이 될 전망이다. 

민관군 합동대응팀은 16일 “지난 6월25일부터 7월1일 사이에 총69개 기관 및 업체 등에 대한 연쇄적인 사이버 공격이 3.20 사이버테러 등을 일으킨 북한의 해킹 수법과 일치한다”고 밝혔다. 

합동대응팀은 이번 6.25 사이버공격에서 북한 IP가 발견됐다는 점을 가장 큰 증거로 꼽았다. 정부는 지난 3.20때에도 북한의 IP가 노출됐다는 점을 들어 북한의 소행이라고 단정했었다. 

한국인터넷진흥원 전길수 사이버침해사고대응단장은 “3.20 때와 마찬가지로 이번에도 북한 IP가 일부 악성코드 경유지에서 발견됐다. 그 부분이 가장 결정적” 이번 6.25 사이버공격은 파괴 행위가 같이 이뤄졌기 때문에 복구하는 과정에서 일부로그를 채취했으며 로그 중 북한 대역으로 알고 있는 IP가 추출됐다”고 설명했다. 

또 합동대응팀은 서버를 다운시키기 위한 부팅영역 파괴, 시스템 주요 파일 삭제, 해킹 결과를 전달하기 위한 공격상황 모니터링 방법, 악성코드 문자열 특징이 3.20 사이버 테러와 동일하다는 점도 북한의 소행이라고 추정하는 근거로 들었다. 

전길수 단장은 북한의 공격이 계속되는데도 불구하고 사전에 이를 막지 못했다는 지적들에 대해 막는 것이 사실 어렵다는 입장을 피력했다. 공격자들은 특정 업체 혹은 기관을 해킹하기 위해 사전탐지가 되지 않도록 여러 장치들을 마련하고, 악성코드를 개발하는 반면, 수비하는 입장에서는 모든 가능성을 다 열어둬야 하기 때문이다. 

전길수 단장은 “공격 자체가 탐지된다면 좋은 일이지만, 공격자 입장에서는 사전탐지가 어렵도록 하고 있다. 어떤 대상이 공격 대상이 될지 여부를 사전에 파악하는 것은 굉장히 어렵다. 이상징후를 발견하고 빠른 조치를 취하는데 주력했다”며 “국가 기관 외에 소규모 업체들이 보안에 다소 허술한 것은 사실이다. 민간에도 보안조치를 강화해야한다”고 밝혔다.