20일 방송·은행 전산망이 마비되는 초유의 사태는 중국 서버IP에 심어놓은 ‘트로이 목마’가 침투해 발생한 것으로 분석됐다.
사이버위협 민·관·군 합동대응팀은 이번 해킹 사건에 이용된 악성코드를 분석한 결과 피해 6개 기업 모두 동일 조직에 의한 공격이라 추정했고 '트로이 목마'가 침투에 이용됐다고 지목했다.
트로이 목마는 정상적으로 보이는 프로그램으로 위장해 컴퓨터 시스템을 공격하는 악성코드다.
지목된 트로이 목마의 특성상 짧게는 수일부터 길게는 수개월 전에 이미 악성코드를 침투시켜야 하기에 해커들은 이 사태를 사전에 치밀하게 준비했다고 볼 수 있다.
해커가 중국 IP를 거쳐 업데이트 관리 서버에 접속한 후 악성파일을 생성한 사실은 피해 업체 중 하나인 농협에서 확인됐다. 중국을 거쳤다는 점에서 북한의 과거 해킹 사례와 공통점이 있기에 북한의 소행이라는데 더 큰 무게가 실린다. 그러나 최초 공격지점과 공격자 등 구체적인 공격 경로는 아직 확인되지 않고 있다.
대응팀은 현재까지 확인된 사실을 토대로 악성코드 분석과 피해 PC 복구 등을 통해 해커 실체 규명에 주력하고 있다. 피해 복구 이후 시스템이 정상화되기까지는 최소 4∼5일이 걸릴 전망이다.
박재문 방통위 네트워크정책국장은 “중국 IP가 발견돼 여러 추정이 나오게 됐지만 현 단계에서는 모든 가능성을 열어놓고 해커 실체 규명에 최선을 다하고 있다”고 말했다.
![[찐코노미] 외국인이 삼성전자 파는 이유는 '이것'…저점 매수 나설까?](https://img.etoday.co.kr/crop/320/200/2077528.jpg)