뉴델리 
도쿄 -
- 檢 “농협 해킹, 7개월 전부터 치밀하게 준비된 北의 사이버테러”
-
-
檢 “농협 해킹, 7개월 전부터 치밀하게 준비된 北의 사이버테러”
-
기사승인 2011. 05. 03. 10:50
파일 확장자 7·7 디도스와 93%ㆍ3·4 디도스와 100% 일치
1개의 특정 공격대상 겨냥한 새로운 형태의 공격
[아시아투데이=최석진 기자] 농협 전산망 장애 사태는 지난 2009년 7·7 디도스(DDoS:분산서비스거부) 공격과 올해 초 발생한 3·4 디도스 공격을 시도한 집단과 동일한 북한관련 공격집단이 7개월 전부터 치밀하게 준비해 실행한 사이버테러로 최종 확인됐다.
서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 3일 농협 전산망을 마비시킨 공격집단은 지난해 9월 좀비PC로 사용된 노트북에 악성코드와 해킹프로그램을 삽입한 뒤 7개월 이상 집중 관리하며 비밀번호 등 필요한 정보를 확보해 원격공격을 감행했다는 수사결과를 발표했다.
검찰에 따르면 범인들이 좀비 PC로 사용한 유지보수업체 직원의 노트북은 지난해 9월 S웹하드 사이트에서 범인들이 업데이트 프로그램으로 위장해 유포시킨 악성코드에 감염됐으며, 사용된 악성코드의 수만도 81개에 달했다.
검찰 관계자는 “기존 복수의 공격대상에 대한 디도스 사건들과는 달리 이번 사건은 1개의 특정 금융기관을 공격대상으로 한 새로운 형태의 공격”이라며 “범인들은 구체적인 정보를 획득하기 위해 키로깅(Keystroke logging의 준말. 사용자가 키보드로 PC에 입력하는 내용을 낚아채는 것)과 도청 프로그램까지 사용했고 1달간 키로킹을 통해 취득한 정보만도 A4용지 1073페이지에 이른다”고 말했다.
이 관계자는 “하지만 아직까지 이번 공격을 통해 개인정보나 거래정보가 탈취된 정황은 확인되지 않았다”고 밝혔다.
검찰은 국가정보원, 한국인터넷진흥원 등의 협조를 받아 노트북을 복구해 분석한 결과 북한이 노트북에 장착된 무선랜카드의 맥 어드레스를 좀비 ID로 확보한 뒤 이번 공격에 사용된 노트북을 특별 관리해 온 사실을 확인했다.
또 검찰 수사 결과 악성코드가 발견되지 않도록 암호화하는 방식이 3·4 디도스 공격 때와 거의 일치했고, 삭제프로그램에서 호출하도록 돼있는 30여개 삭제 대상 파일의 확장자 종류가 7·7 디도스 공격 때와는 93%(23개), 3·4 디도스 공격 때와는 100%(31개) 일치했다.
한편 이번 사태의 피해가 확산된 데에는 농협 측의 허술한 비밀번호 관리와 외부 보수업체 직원 관리 등 부실한 보안관리가 원인이 됐던 것으로 확인됐다.
농협 측은 지침상 매월 변경하도록 돼있는 접속 계정 비밀번호를 바꾸지도 않은 채 대장에만 변경한 것으로 기록하고 비밀번호를 파일로 작성해 외부 업체 직원들과 공유했다.
또 외부의 보수업체 직원들이 노트북을 통해 농협 직원과 동일하게 농협 전산망에 접속해 자유롭게 외부 인터넷 등에 접속할 수 있었다.
검찰은 이번에 새롭게 발견된 악성코드들을 백신업체에 제공해 백신개발 및 공급이 이뤄지도록 조치하는 한편 관공서와 금융기관 등 주요 전산망 관리 PC에 대한 전수조사를 관계기관에 의뢰할 방침이다.
*맥 어드레스(Mac Adress) : 네트워크 통신을 위해서 랜카드에 부여된 하드웨어주소
-m500373_67499.jpg) |
| 농협 전산망 장애 사태 수사결과를 발표 중인 김영대 부장검사 |
서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 3일 농협 전산망을 마비시킨 공격집단은 지난해 9월 좀비PC로 사용된 노트북에 악성코드와 해킹프로그램을 삽입한 뒤 7개월 이상 집중 관리하며 비밀번호 등 필요한 정보를 확보해 원격공격을 감행했다는 수사결과를 발표했다.
검찰에 따르면 범인들이 좀비 PC로 사용한 유지보수업체 직원의 노트북은 지난해 9월 S웹하드 사이트에서 범인들이 업데이트 프로그램으로 위장해 유포시킨 악성코드에 감염됐으며, 사용된 악성코드의 수만도 81개에 달했다.
검찰 관계자는 “기존 복수의 공격대상에 대한 디도스 사건들과는 달리 이번 사건은 1개의 특정 금융기관을 공격대상으로 한 새로운 형태의 공격”이라며 “범인들은 구체적인 정보를 획득하기 위해 키로깅(Keystroke logging의 준말. 사용자가 키보드로 PC에 입력하는 내용을 낚아채는 것)과 도청 프로그램까지 사용했고 1달간 키로킹을 통해 취득한 정보만도 A4용지 1073페이지에 이른다”고 말했다.
이 관계자는 “하지만 아직까지 이번 공격을 통해 개인정보나 거래정보가 탈취된 정황은 확인되지 않았다”고 밝혔다.
검찰은 국가정보원, 한국인터넷진흥원 등의 협조를 받아 노트북을 복구해 분석한 결과 북한이 노트북에 장착된 무선랜카드의 맥 어드레스를 좀비 ID로 확보한 뒤 이번 공격에 사용된 노트북을 특별 관리해 온 사실을 확인했다.
또 검찰 수사 결과 악성코드가 발견되지 않도록 암호화하는 방식이 3·4 디도스 공격 때와 거의 일치했고, 삭제프로그램에서 호출하도록 돼있는 30여개 삭제 대상 파일의 확장자 종류가 7·7 디도스 공격 때와는 93%(23개), 3·4 디도스 공격 때와는 100%(31개) 일치했다.
한편 이번 사태의 피해가 확산된 데에는 농협 측의 허술한 비밀번호 관리와 외부 보수업체 직원 관리 등 부실한 보안관리가 원인이 됐던 것으로 확인됐다.
농협 측은 지침상 매월 변경하도록 돼있는 접속 계정 비밀번호를 바꾸지도 않은 채 대장에만 변경한 것으로 기록하고 비밀번호를 파일로 작성해 외부 업체 직원들과 공유했다.
또 외부의 보수업체 직원들이 노트북을 통해 농협 직원과 동일하게 농협 전산망에 접속해 자유롭게 외부 인터넷 등에 접속할 수 있었다.
검찰은 이번에 새롭게 발견된 악성코드들을 백신업체에 제공해 백신개발 및 공급이 이뤄지도록 조치하는 한편 관공서와 금융기관 등 주요 전산망 관리 PC에 대한 전수조사를 관계기관에 의뢰할 방침이다.
*맥 어드레스(Mac Adress) : 네트워크 통신을 위해서 랜카드에 부여된 하드웨어주소
댓글
많이 본 뉴스
연예가 핫 뉴스
![[飛上 대한항공] “세계서 가장 안전한 항공사로”…새 패..](https://img.asiatoday.co.kr/webdata/content/2024y/04m/17d/20240417010009594_77_50.jpg?c=202404180910?1)
![[단독] 마약 후 승객 태운 택시기사 ‘집유’…대중교통..](https://img.asiatoday.co.kr/webdata/content/2024y/04m/17d/20240417010009686_77_50.jpg?c=202404180910?1)
오늘의 주요뉴스
- 한미일 재무장관 “원·엔화 평가절하 과도…긴밀히 협력”
- 美 상원 군사위원장 “주한미군 감축·철수 들은 적 없어”
- 尹, 기시다와 통화…“한일·한미일 협력으로 역내 평화”
- 바이든, 中 철강·알루미늄 관세 25%로 3배 인상 추진
- 마약 취해 승객 태운 택시기사 ‘집유’…국민안전 빨간불
- 삼성그룹, 위기 속 비상경영…계열사 임원 ‘주 6일 근무’
- 박영선·양정철 기용설에 與 내부 술렁…“당 정체성 부정”
- 檢, ‘마약 투약 혐의’ 前 야구 국가대표 오재원 구속기소
- 압구정·여의도·목동·성수 토지거래허가제 1년 또 연장
- 국민연금 개혁안, 고갈 연장 고작 7년···“재정투입 필요”
-
-
회사소개 | 광고안내 | 구독신청 | 콘텐츠구매 | 제보24시 | 고충처리 | 인재채용 | 사이트맵
회원약관 | 개인정보취급방침 | 청소년보호정책 | 저작권규약
등록번호 : 서울 아00160 | 등록일 : 2006년 1월 18일 | 제호 : 아시아투데이 | 회장ㆍ발행인ㆍ편집인 : 우종순
서울시 영등포구 의사당대로1길 34 인영빌딩 | 발행일자 : 2005년 11월 11일 | 대표전화 : 02) 769-5000 | 청소년보호책임자 : 성희제
아시아투데이는 인터넷신문위원회 윤리강령을 준수합니다.
Copyright by ASIATODAY Co., Ltd. All Rights Reserved
