[아이뉴스24 김국배기자] 2009년부터 현재까지 10년 가까이 군사기관 등 국내 주요 기관을 대상으로 군 정보를 노리는 특정 사이버 공격이 계속됐다는 분석이 나왔다.
관련 악성코드 특징 등을 미뤄볼 때 동일 해커 조직이 공격을 수행했거나 2개 이상의 그룹이 가담했을 가능성도 제기된다.
17일 안랩은 '오퍼레이션 비터 비스킷(Operation Bitter Biscuit) 분석보고서'를 공개했다.
안랩은 2009년부터 현재까지 군사기관, 방위산업체, IT업체 등 국내 기관을 대상으로 비소날(Bisonal), 덱스비아 (Dexbia) 등 악성코드를 사용해 발생한 공격을 '오퍼레이션 비터 비스킷(Operation Bitter Biscuit)'으로 이름붙였다.
2010년 처음 발견된 비소날 악성코드는 한국, 일본, 인도 등에서 공격이 확인됐지만 최근엔 한국에서만 나타나고 있다.
특히 2011년과 2012년 국내 기관에 공격이 집중됐으며, 2013년부터 2015년에 걸쳐 국내 기업과 군사기관으로 공격 범위가 확대됐다. 작년부터는 방위산업체와 연관기업에서까지 공격이 발생했다.
비소날 악성코드 초기 버전으로 추정되는 프리소날(Presonal)은 2009년을 시작으로 2013년까지 주로 국내에서 발견됐다.
보고서는 "공격에 사용된 악성코드 종류는 다소 차이가 있지만 명령제어(C&C) 서버를 사용하는 악성코드 공격이 지난 2009년부터 존재해온 점으로 미뤄볼 때 관련 공격 그룹이 오래 전부터 국내에서 활동했을 가능성이 있다"고 설명했다.
현재까지 확인된 오퍼레이션 비터 비스켓의 공격 방식은 공격 대상에 악성코드를 첨부한 이메일을 보내 감염을 시도하는 것. 문서 취약점보다는 실행파일(EXE)이나 악성 매크로를 포함한 문서를 첨부하는 방식을 주로 썼다.
악성 메일을 받은 사용자가 문서 파일로 위장한 파일을 착각해 악성코드를 실행하면, 악성코드가 해당 시스템에 백도어 프로그램을 설치하고 EXE를 삭제한 후 사용자에게 디코이(decoy) 문서 파일을 보여주는 공격 과정을 거친다. 지난 3월에는 마이크로소프트(MS) 오피스 매크로를 이용한 공격이 확인됐다.
오퍼레이션 비터 비스킷과 관련해 현재까지 확인된 비소날류 악성코드 수는 약 150개다. 바이오아지흐(Bioazih)를 포함한 비소날(Bisonal) 악성코드 변형이 70%로 가장 많으며, 덱스비아(Dexbia)는 17%를 차지한다. 2016년 이후에는 덱스비아가 출현하는 빈도가 더 잦아지고 있다.
비소날은 악성코드 내 'bisonal’과 같은 문자열을 포함하고 있어 붙은 이름이다. 2010년 제작된 변형에서 해당 문자열이 발견됐으며, 2009년 당시 초기 버전에는 특징적인 문자열이 없었다.
비소날 악성코드는 크게 백도어를 설치하는 드롭퍼와 백도어로 나뉜다. 악성코드가 실행되면 호스트명, IP주소, 운영체제(OS) 버전, 시스템 시간, 모든 폴더·파일 이름 등을 수집한다. 또한 C&C 서버에 접속해 명령을 받아 원격제어 기능을 수행한다.
공격자는 공격 대상 컴퓨터에 백도어를 감염시킨 후, 최종적으로 내부 시스템을 장악하고 정보를 유출하기 위해 포트 스캐너(Port Scanner), 정보 수집 프로그램, 정보 유출 프로그램 등 다양한 내부 침투도구를 사용한다.
차민석 안랩 시큐리티대응센터(ASEC) 책임연구원은 "공격자는 주로 국내 군사기관에 대한 정보를 수집하려 하고 있다"며 "비소날 악성코드는 중국 언더그라운드(지하) 시장에 소스코드가 공개됐다고 알려졌으나, 현재 확인된 공격 사례의 공격자들이 동일 그룹인지는 불분명한 상태"라고 말했다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기