Cyberattack last month traced to North Korea

Home > National > Politics

print dictionary print

Cyberattack last month traced to North Korea

South Korea’s National Police Agency concluded yesterday that North Korea was responsible for a three-day distributed denial-of-service (DDoS) attack that crippled 40 Web sites run by the government and private businesses on March 4.

“After scrutinizing computers affected by malicious code and overseas servers involved in the March DDos attack, we discovered the origin of the attack was the same as the July 7, 2009 attack,” said South Korea’s Cyber Terror Response Center, which is under the NPA.

According to the National Police Agency, the attack originated from the same IP address used for the July 2009 attack.

In October 2009, the National Assembly’s Intelligence Committee told the JoongAng Ilbo that South Korea’s National Intelligence Service had identified North Korea’s Ministry of Posts and Telecommunications as being behind the July 2009 cyberattacks, which paralyzed 21 Web sites in South Korea and 14 overseas including the United States.

Investigators said the method of the latest cyberattack was exactly the same as in 2009: Malicious code was distributed through peer-to-peer file sharing sites, transforming personal computers that downloaded the files into zombie computers that performed the DDoS attacks.

Investigators noted that some of the overseas servers used for the March attack were used in the 2009 attack.

“There are over 4.2 billion IP addresses in the world, and it would be impossible for the latest attack to be initiated by a different hacker because it used the same IP address as in the 2009 DDoS attack,” the Cyber Terror Response Center said.

The March attack infected over 100,000 personal computers across the country, making them “zombies.”

Nearly 750 servers in 70 countries controlled the infected computers to generate a large volume of traffic to overwhelm 40 Web sites and make them inaccessible to the public, according to police.


By Kim Mi-ju [mijukim@joongang.co.kr]

한글 관련 기사 [경향신문]

‘3·4 디도스 공격’ 北 소행 추정

경찰 “2009년 공격 때 中 소재 체신성 IP와 일치”

지난달 초 청와대와 국가정보원 등 주요 국가기관과 금융기관 등의 홈페이지를 대상으로 이뤄진 ‘3·4 디도스(DDos·분산서비스거부) 공격’이 2009년 7월 ‘7·7 디도스 공격’을 했던 동일범의 소행인 것으로 밝혀졌다. 경찰은 7·7 디도스 공격 근원지가 중국에 소재한 북한 체신성으로 확인된 것을 바탕으로, 이번 공격도 북측 소행으로 추정했다.

경찰청 사이버테러대응센터는 6일 “악성코드 유포 사이트와 외국 공격명령 서버 등을 정밀 분석한 결과 공격 체계와 방식, 악성코드 설계·통신 방식이 2009년 7월 발생한 디도스 공격과 일치했다”고 밝혔다.

경찰은 ‘동일범 소행’의 결정적 증거로 7·7 디도스 공격에서 활용된 악성코드 가운데 설계·통신 방식이 정확히 일치하는 코드 1개가 이번 공격에서도 발견됐다는 점을 들었다.

경찰 관계자는 “악성코드에도 사람의 지문처럼 설계자만의 고유한 특성이 반영되는데, 다른 사람은 도저히 흉내낼 수 없는 특성이 두 차례의 디도스 공격에서 동일하게 발견됐다”고 밝혔다.

경찰은 또 “공개되지 않은 ‘7·7 공격’의 해외 명령 서버와 동일한 IP가 이번에도 사용됐으며 이는 전 세계 IP 주소가 42억개 이상인 점에 비춰 동일범이 아니면 거의 불가능한 것”이라고 말했다. 경찰은 그러나 ‘북한의 소행’이라고 직접적으로 언급하지는 않았다. 경찰은 “중국 소재 북한 체신성의 IP를 제3자가 이용했을 가능성을 완전히 배제할 수 없어 중국 공안부에 수사공조를 요청한 상태”라고 밝혔다.

지난달 3~5일 발생한 디도스 공격은 파일공유 사이트의 업데이트 파일을 바꿔치기하는 수법으로 악성코드를 유포해 10만여대의 PC를 감염시킨 뒤 70개국 746개 공격명령 서버에서 실시간으로 이를 조종해 국내 주요 사이트 40곳을 한때 마비시켰다. ‘7·7 디도스 공격’은 2009년 7월4~9일 61개국에서 435대의 서버를 이용해 한국과 미국 주요 기관 35개 사이트를 해킹한 사건이다.

More in Politics

South's military overheard order to kill fisheries official

PPP condemns prosecution's decision clearing Choo, moves to appeal

Fisheries official was defecting, says Coast Guard

Moon calls for restoring communications with the North after killing at sea

North warns South not to violate NLL

Log in to Twitter or Facebook account to connect
with the Korea JoongAng Daily
help-image Social comment?
lock icon

To write comments, please log in to one of the accounts.

Standards Board Policy (0/250자)

What’s Popular Now