<검찰 수사 결과> ○ 노트북은 2010. 9. 4.경 악성코드에 감염되어 좀비PC가 됨 - 범인들은 2010. 9.경 S웹하드 사이트에 위 사이트 업데이트 프로그램으로 위장된 악성코드를 유포하였는데 노트북은 2010. 9. 4.경 이에 감염 - 노트북에서 삭제된 프로그램 복구결과 이 사건 준비, 실행, 범행 은폐 등을 위해 사용된 악성코드는 발견된 것만 무려 81개임(그림 1 참조) ※ 악성코드가 기능별로 별도 파일로 나뉘어져 있었고 노트북 구석 구석에 분산 은닉되어 있어서 복구 분석이 매우 어려웠음 ○ 7개월 이상 집중 모니터링으로 각종 정보 유출 - 범인들은 그 무렵 확보한 좀비PC들로부터 각종 데이터를 빼내가 검토한 후 그 중 이 사건 노트북이 은행시스템 관리자가 사용하는 것으로 판단하여 7개월 이상 이 사건 노트북을 집중적으로 관리하여 왔음(그림 2 참조) - 범인들은 사용자에게 발각되지 않은 채 노트북에 필요한 악성코드를 삽입하고 노트북에서 정보를 빼내기 위해 해킹프로그램(일명 백도어: backdoor)을 설치한 다음, 노트북에 있는 각종자료와 노트북에 입력되는 모든 내용을 빼내가는 한편 도청 프로그램까지 사용하여 노트북 사용자의 일거수일투족을 치밀하게 감시함으로써 공격대상 IP와 최고관리자 비밀번호 등을 획득하였음(그림 3 참조) ※ 복수 공격대상에 대한 공격인 디도스 사건과 달리 이번 사건은 1개 특정 공격대상에 대한 공격이기 때문에 구체적인 정보 획득을 위해 키로깅과 도청프로그램까지 사용한 점에 특색이 있으며, 최근 1달간 키로깅으로 취득한 정보만 해도 A4용지 1,073 페이지 분량임 ※ 범행에 사용된 악성코드의 종류, 설계 및 유포 기술, 범행 준비기간, 준비 방법 등 제반 정황에 비추어 상당한 규모의 인적, 물적 뒷받침이 없이 실행하기 불가능한 범죄임 ○ 공격은 원격에서 인터넷을 통해 노트북에 내려졌음 - 범인들은 2011. 4. 12. 08:20:14 공격명령 파일을 노트북에 설치하고, 16:50:10 인터넷을 이용한 원격제어로 위 공격명령 프로그램을 실행, 이후 순차적으로 2차, 3차 공격이 이행됨으로써 총 587대 서버 중 273대 서버가 피해를 입었음(그림 4, 5, 6 참조) - 공격 성공 여부를 노트북에 설치된 모니터링 프로그램을 통해 원격에서 실시간으로 지켜보다가 성공사실 및 파괴된 서버수까지 확인하고 17:20경 노트북에 있는 공격 프로그램 등 관련 증거를 삭제하여 범인 추적을 곤란하게 함 ○ 피해확산을 막기 위해 서버 운행을 중단하여야 할 정도로 강력한 테러였음 - 1회 공격명령을 내리면 공격에 사용된 각종 프로그램이 유기적으로 연결되어 공격이 순차적으로 자동실행되는 구조로 설계되어 있고, 공격의 내용도 서버의 모든 데이터를 완전히 삭제하여 0으로 만들어버리도록 되어 있어 - 서버의 운행을 중단함으로써 추가 피해를 막을 수 있었을 정도로 강력한 테러였음 ○ 7․7 디도스, 3․4 디도스 사건과 동일한 집단의 소행(별도 표 참조) ▶ 7․7 디도스, 3․4 디도스와 대단히 유사한 독특한 프로그래밍 기법 사용 - 악성코드들이 발각되지 않도록 암호화하는 방식이 3․4와 거의 일치하고(그림 7 참조), - 삭제프로그램에서 호출하도록 되어 있는 30여개 파일의 확장자(예, .hwp는 한글 파일 확장자임)의 종류뿐만 아니라 그 순서마저 3․4와 완전히 동일하고 7․7과 대단히 유사하며(그림 8 참조) - 프로그램 분석을 곤란하게 만들기 위해 프로그램 특정 부분을 알아보기 어렵도록 일정한 규칙에 따라 다른 문자로 치환하여 표기한 방식이 7․7과 동일함(그림 9 참조) ▶ 악성코드 유포 경로, 유포 방식 및 좀비에 설치하는 방법도 동일 - 악성코드를 동영상 파일에 숨겨 배포하는 등의 방식이 아니라 웹하드 사이트의 업데이트 프로그램인 것처럼 위장하여 배포하였으며, - 배포된 악성코드가 좀비에 구체적으로 설치되는 과정과 악성코드 명명 방식 등이 디도스 사건과 대단히 흡사하고, ※ 일부 악성코드는 이름도 3․4와 동일함 - 악성코드를 운영하기 위한 백도어 기능과 좀비에 명령을 내리는 서버목록이 1개의 프로그램이 아니라 별도 파일로 제작된 점 등이 디도스 사건과 매우 유사함 ▶ 좀비를 조종하는 서버 IP 1개도 동일 - 노트북에서 발견된 공격명령서버 IP 1개가 3․4디도스 사건에 이용된 것과 동일한 것임 ▶ 노트북은 2010. 9.경부터 북한이 특별 관리하여 온 좀비PC임 - 노트북 복구 분석 결과 발견된 자료 및 관계기관과의 합동 조사 결과 등에 의하면, 북한은 노트북에 장착된 무선랜카드의 맥어드레스를 좀비 ID로 확보하고 이 사건 노트북을 특별 관리하여 온 것으로 확인됨 ※ 7․7 디도스 사건 : 2009. 7. 7.~9. 61개국 435대 서버를 활용, 한․미 주요기관 등 총 35개 사이트를 디도스 공격, 공격근원지가 중국에 소재한 북한 체신성으로 확인 ※ 3․4 디도스 사건 : 2011. 3. 3.~5. 70개국 746대 서버를 활용, 국내 주요 40개 사이트를 디도스 공격, 디도스 공격체계 및 방식이 동일하고 악성코드의 설계방식 및 통신방식이 일치하며 해외 공격명령서버 일부가 동일한 점 등에 비추어 7․7 디도스 공격자와 동일범으로 판단 ※ 농협은 7․7 디도스, 3․4 디도스 사건에서도 공격대상에 포함되어 있었음 |