이에 따라 그동안 중국 인터넷을 주로 이용하는 북한의 해킹 수법에 비춰 이번 해킹 사건도 북한의 소행일 가능성에 무게가 실리고 있다.
즉 아직 신원이 밝혀지지 않은 해커가 중국 인터넷을 경유해 피해기관의 백신SW를 배포하는 업데이트관리서버(PMS)에 접속, 악성파일을 심어놓은 뒤 정해진 시간에 하위 컴퓨터의 부팅영역을 파괴하도록 명령한 것으로 분석된다.
또 악성코드 분석에서 피해기관에 대한 공격주체는 동일 조직인 것으로 파악됐으나 구체적으로 누구인지는 아직 확인되지 않았으며, 지금까지 방송·금융기관 6개사의 PC·서버 3만2천여대가 피해를 당한 것으로 집계됐다.
합동대응팀은 피해서버·PC의 로그기록과 현장에서 채증한 악성파일에 대한 추가 분석을 통해 공격주체 파악에 주력하고 있다.