경찰은 공격 주체와 근원지를 규명하기 위해, 피해 신문제작시스템, 보안시스템 접속기록, 악성코드(6개)를 분석하고, 공격에 이용된 국내경유지 서버(2대)와 10여개 국가에 분산된 해외경유지 서버(17대)를 발견하여 공조수사를 통해 일부 확보ㆍ분석하는 한편, 최근 발생한 유사 사이버테러 사건과도 비교 분석하였고
공격자는 최소한 ’12. 4월경부터 중앙일보 피해 신문제작시스템에 접속하여 정보 수집을 한 것으로 확인되었으며, 공격 2일 전 중앙일보 관리자 PC를 해킹하여 신문제작시스템 서버관리 정보를 유출하였고, 특히 6. 9경 집중적으로 시스템을 삭제하였었다.
경찰의 중앙일보의 모든 피해시스템들과 통신한 해외 경유지 서버를 공조수사를 통해 확보하여 분석한 결과, 북한이 사용하는 IP대역에서 ‘ISONE’ 이라는 PC명으로 접속한 사실이 확인되었다.
경찰의 조사과정에서 지난 3․4디도스 및 농협전산망해킹 사건 당시 이용되었던 해외 경유지 서버(1대)가 이번 사건에서도 동일하게 사용된 사실이 발견되었으며 또한 지난 7․7디도스 또는 고려대 E메일 악성코드 유포사건에서 사용된 것과 동일한 기능의 악성코드가 본 건에서 발견되었으며, 일부 악성코드는 제작 알고리즘이나 키값까지 동일한 것도 발견되었다.
경찰의 보안시스템 접속기록 분석 결과, 지난해 4월 중순 이후 북한이 사용하는 IP주소 대역으로부터 접속권한이 없는 언론사측 주요 피해 서버에 집중적으로 접속한 사실이 발견되고 북한이 사용하는 IP주소 대역으로부터의 접속 추이가 북한이 일부 국내 언론사에 대한 공격 협박을 표명하거나 재 표명한 시기와 부합한다는 점도 확인되었으며 또 공격 직후, 변조 시킨 홈페이지 서버에 직접 접속하여 공격상황을 점검한 흔적도 발견되었다.
향후 경찰은 향후 발생 가능성이 있는 추가적인 사이버공격에 대비하기 위해 유관기관․정보보호기관․해외 법집행기관과도 공조체계를 강화할 것이며 공격자가 추가 공격을 예고하고 있음에 따라 여타 언론사에 대하여도 사이버 공격 등 피해 대비에 만전을 기할 것을 권고하였다.
저작권자 © 서울시정일보 무단전재 및 재배포 금지