lazarusholic

Everyday is lazarus.dayβ

2012. 6월 중앙일보 해킹 근원지는 북한

2013-01-16, KRNPA
https://www.korea.kr/common/download.do?fileId=183340407&tblKey=GMN
ììì¼ë³_íí¹_ê¼ìì.hwp, 327.0 KB
#Joongangilbo #IsOne

Contents

’12. 6월 중앙일보 해킹 근원지는“북한”

- 4월경 부터 공격 준비, 10여개 국가 서버 경유하여 공격 -


□ 사 건 개 요

’12. 6. 9.(土) 18:13경 ‘IsOne’이라는 별칭을 사용하는 공격자가 ‘중앙일보’의 홈페이지를 변조하고, 신문제작시스템에 침입하여 일부 데이터를 삭제함

※ 당시 공격자는 향후 추가적인 공격을 할 것임을 암시하는 메시지를 남김

□ 수 사 경 과

◯ 경찰은 공격 주체와 근원지를 규명하기 위해, 피해 신문제작시스템, 보안시스템 접속기록, 악성코드(6개)를 분석하고, 공격에 이용된 국내경유지 서버(2대)와 10여개 국가에 분산된 해외경유지 서버(17대)를 발견하여 공조수사를 통해 일부 확보ㆍ분석하는 한편, 최근 발생한 유사 사이버테러 사건과도 비교 분석하였음

※ 과거 북한 소행 사이버테러 사건으로는 7․7디도스(’09), 3․4디도스 사건(’11)과 농협전산망해킹사건(’11), 고려대 E메일 악성코드 유포사건(’11)이 있음

◯ 공격자는 최소한 ’12. 4월경부터 중앙일보 피해 신문제작시스템에 접속하여 정보수집을 한 것으로 확인되었으며, 공격 2일 전 중앙일보 관리자 PC를 해킹하여 신문제작시스템 서버관리 정보를 유출하였고, 특히 6. 9경 집중적으로 시스템을 삭제하였음


□ 공격 근원지는 북한사용 IP로 확인

◯ 북한 체신성 IP 확인