지난해 6월 발생한 중앙일보 해킹 사건에 대해 경찰청 사이버테러대응센터는 지난해 6월9일 발생한 중앙일보 해킹 사건을 수사한 결과 사이버공격의 근원지가 북한으로 확인됐다고 지난 16일 밝혔다.
중앙일보 뉴스사이트는 사이버 공격을 받아 사이트에 접속하면 입을 가리고 웃는 고양이 사진과 함께 녹색 코드가 나열된 화면이 떴고 화면에는 ‘이스원이 해킹했다(Hacked by IsOne)’는 메시지가 등장했다. 아울러 신문제작시스템의 데이터도 삭제돼 당시 중앙일보는 신문 제작에 차질을 빚은 것으로 알려졌다.
특히 조사 초반부터, 해킹이 시작된 시기가 북한이 국내 일부 언론사에 대해 ‘특별행동’을 개시하겠다고 공언한 시점과 일치해 의도적인 사이버테러일 가능성이 큰 것으로 분석되어 온 해당 사건은 경찰이 중앙일보 신문제작시스템과 보안시스템 접속기록, 악성코드, 공격에 이용된 국내 경유지 서버 2대와 10여 개국으로 분산된 경유지 서버 17대 등을 분석해 사이버테러 공격의 진원지가 북한인 것을 확인하면서 밝혀졌다.
특히 경찰은 북한 체신성 산하 통신회사인 조선체신회사가 중국회사로부터 임대한 IP 대역을 통해 ‘이스원(IsOne)’이라는 이름의 PC가 접속한 사실을 확인했다며 이유를 밝혔다. 공격 당시 해당 도메인에는 북한 홈페이지가 운영되고 있었다.
그동안 북한이 우리나라 웹사이트에 사이버테러를 감행하다가 적발된 건은 이번 사건 포함 5건으로 2009년 7·7 디도스 공격, 2011년 3·4 디도스 공격, 같은 해 농협 전산망 해킹과 고려대 이메일 악성코드 유포사건이 있다.
이와관련 3·4 디도스 공격 및 농협 전산망 해킹 사건 때 이용된 해외 경유지 서버 1대가 이번 사건에 동일하게 사용된 점도 당시 공격 주체로 분석된 북한이 중앙일보 해킹도 저지른 것으로 보는 근거가 되었다. 경찰은 전 세계 IP주소 약 40억 개 중에서 한 IP가 우연히 서로 다른 3개 사건에 동시에 공격 경유지로 사용될 가능성은 제로에 가깝다고 설명했다.
또한 경찰은 7·7 디도스 공격과 고려대 이메일 악성코드 유포사건에 사용된 악성코드와 같은 코드(16자리 암호해독 키값도 동일)가 이번 공격에 사용된 것도 확인했다.
북한 체신성 IP를 통해 중앙일보 사이트에 집중적인 접속이 시작된 시점은 지난해 4월21일로, 이는 북한이 대규모 대남 규탄 집회를 열고 일부 언론사 등에 특별행동을 감행하겠다고 한 시기와 일치한다.
2개월간의 준비과정을 거친 해커는 공격 이틀 전인 6월7일 중앙일보 관리자 PC를 해킹했고 9일에 시스템을 집중적으로 삭제한 것으로 추정된다고 경찰은 밝혔다.
경찰청 관계자는 “여러 정황으로 미뤄볼 때 의도적인 공격일 가능성에 무게를 싣고 있다”며 “유사한 방식의 추가 공격을 감행할 가능성이 농후해 여타 언론사도 피해 대비에 만전을 기해야 한다”고 조언했다.
중앙일보는 “북한이 제작 시스템을 해킹한 것은 언론 자유와 국민의 알 권리를 침해한 행위로서 용납될 수 없다”면서 “북한이 다시는 그런 행위를 하지 않기를 촉구한다”고 밝혔다.
한편 지난 17일에는 대통령직인수위원회가 “북한이 인수위 기자실을 해킹한 게 포착됐다”고 밝혔다1시간 만에 번복 “해킹이 있었는지 없었는지 알 수 없다”는 모호한 입장을 내놓으면서 위중한 안보 사안에 오락가락하며 혼선을 초래했다는 비판이 받은 바 있다.
