작년 중앙일보 신문제작 서버 해킹은 북한 소행

지난해 6월 중앙일보 신문제작 서버를 해킹한 주체가 북한으로 드러났다. 경찰청 사이버테러대응센터 정석화 수사실장은 16일 “지난해 6월 9일 중앙일보 신문제작 서버를 사이버 공격한 것은 북한 소행으로 최종 확인됐다”고 말했다. 북한이 국내 홈페이지 등을 사이버 공격하다 적발된 것은 2009년 7월과 2011년 3월 정부기관 등 국내 주요 사이트에 대한 디도스 공격, 2011년 4월 농협 전산망 해킹, 2011년 11월 고려대 e-메일 악성코드 유포에 이어 다섯 번째다.

　해킹 당일인 지난해 6월 9일 오후 6시30분부터 중앙일보 뉴스사이트(www.joongang.co.kr)에 접속하면 입을 가리고 웃는 고양이 사진과 함께 녹색 코드가 나열된 화면이 떴다. 화면에는 ‘이스원이 해킹했다(Hacked by IsOne)’는 문구가 적혀 있었다.

　중앙일보의 수사 의뢰를 받은 경찰은 7개월간 수사 과정에서 국내 서버 2대와 10여 개 국가에 분산된 해외 서버 17대가 해킹의 경유지로 사용된 사실을 파악했다. 이 중 6개국의 서버 9대를 해당 국가로부터 제공받아 집중 분석한 경찰은 유일하게 접속 기록이 남아 있는 1대의 서버에서 ‘이스원(IsOne)’이라는 이름의 PC를 찾아냈다. 이어 해당 PC가 북한 체신성 산하 조선체신회사(KPTC)가 사용하는 IP로 접속한 사실을 확인했다. 북한은 이 서버를 경유해 중앙일보 신문제작 서버에 접속했다. 특히 이 서버는 북한이 2011년 3월 디도스 공격과 같은 해 4월 농협 전산망 해킹 당시 경유지로 이용한 서버와 동일한 것으로 확인됐다.

　정 실장은 “북한이 과거 해킹 때 사용한 서버를 중앙일보 해킹에 다시 이용한 것”이라며 “서로 다른 해커가 전 세계 약 40억 개의 서버 IP주소 가운데 한 IP를 동일한 경유지로 이용할 확률은 ‘0’에 가깝다”고 말했다. 북한이 과거 해킹 때 사용한 것과 동일한 악성코드도 발견됐다. 북한은 이번 중앙일보 해킹에서 2011년 3월 디도스 공격과 같은 해 11월 고려대 악성 e-메일 유포 사건에 사용했던 악성코드를 이용했다. 악성코드의 16자리 암호해독 키값이 세 사건 모두 동일했다.

　북한은 해킹 공격을 치밀하게 준비했다. 지난해 4월 21일 처음으로 중앙일보 서버에 접속했다. 당시 북한은 김일성 100회 생일(4월 15일) 이후 대남 규탄 대회를 열었고 일부 국내 언론에 대한 특별행동을 경고했다. 42일 뒤 북한 소년단 66주년 창립행사(6월 3일) 직후에도 중앙일보·조선일보·KBS·MBC 등에 대한 공격을 예고했다. 이어 7일 서버 관리자 PC를 해킹했고, 공격 당일인 9일 신문제작 서버를 집중적으로 삭제했다.

　중앙일보 서경호 커뮤니케이션 팀장은 “북한이 중앙일보 제작 시스템을 해킹한 것은 언론 자유와 국민의 알 권리를 침해한 행위로서 용납될 수 없다. 북한의 해킹은 또한 남북관계 발전을 바라는 국민 여망을 저버리는 것으로서 중앙일보는 북한이 다시 그런 행위를 하지 않기를 촉구한다. 중앙일보는 북한의 해킹에도 불구하고 신속한 대처로 신문을 정상적으로 발행했으며 그 과정에서 독자 여러분께서 보내주신 성원에 깊이 감사드린다”고 말했다.