16일 민·관·군 합동대응팀은 북한 소행으로 결론난 3·20 사이버테러와 동일한 공격 수법이 이번 6·25 사이버공격에소 나타났고, 북한 IP가 사용됐다는 점에서 이번 공격도 북한 소행으로 판단했다.

북한은 청와대 홈페이지를 변조시키고 방송·신문사의 서버를 파괴한 '6·25 사이버공격'을 위해 최소 6개월 전부터 국내 인기 웹사이트를 사전에 해킹해 공격 목표를 치밀하게 분석한 것으로 나타났다.

특히 국제 해커집단 '어나니머스'로 위장하는 방법으로 공격주체 판단에 혼란을 일으키는 교활함도 드러냈다.

북한은 지난달 25일부터 이달 1일까지 청와대, 국무조정실, 언론사 등 69개 기관을 해킹하기위해 많은 사람이 이용하는 국내 P2P·웹하드 서비스, 웹호스팅 업체 등을 사전에 해킹한 것으로 조사됐다.

북한은 6·25 공격에 종전보다 치밀하고 진화한 방법을 다양하게 사용했다. 먼저 해킹 근원지 추적을 방해하기 위해 오랫동안 준비를 한 것으로 나타났다. 공격한 서버의 하드디스크를 파괴하고 공격 IP를 숨겼으며 로그파일을 삭제했다. 이 때문에 대응팀은 데이터 복구하는 과정에서 비로소 북한 IP를 찾아낼 수 있었다.

좀비PC를 이용해 디도스 공격뿐만 아니라 해외로부터의 서비스 응답으로 위장한 공격방법을 사용하는 등 고도의 위장전술도 동원[003580]했다.

정부부처의 홈페이지를 종합적으로 관리하는 정보통합전산센터의 DNS 서버를 공격해 여러 부처의 인터넷 서비스를 일시에 마비시키려 한 것은 7·7 디도스 공격 때의 사용된 수법이었다.