[김국배기자] 북한으로 추정되는 사이버 공격 징후가 나타났다는 분석이 제기됐다.
순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 최근 북한에 의해 제작된 것으로 추정되는 악성코드를 발견했다고 17일 밝혔다.
센터에 따르면 이번에 발견된 악성코드는 북한 소행으로 알려진 7·7 디도스(2009), 3·4 디도스(2011), 농협 전산망 마비(2011), 중앙일보 해킹(2012) 시 사용된 악성코드와 매우 유사한 변종 악성코드의 최신 버전이다.
북한 해커들은 디도스 공격·하드 파괴 등 실질적인 피해를 입히는 좀비 악성코드를 유포하기에 앞서 이를 제어할 수 있는 봇넷을 먼저 구축하는데, 이번 악성코드는 초기 봇넷 구축에 사용된다. 현재 구축된 봇넷의 크기는 아직 미미하나 상황 변화를 주시할 필요가 있다는 센터 측 설명이다.
이 악성코드의 주요 기능은 암호화된 통신을 통해 공격자의 명령을 수행하는 것이다. 특히 공격자가 원하는 주제의 키워드를 전송 받아 해당 키워드를 포함하고 있는 파일을 수집하는 기능을 보유하고 있다.
이는 지난 북한 추정 사건들의 악성코드에서 발견된 기능과 동일한 것이기도 하다. 7·7 디도스 공격 초기 봇넷 구축 당시에도 이 기능을 통해 국방 전자자료유출방지체계, '작계5029'와 같은 군사기밀을 유출하려는 시도가 있었다.
또한 해당 악성코드를 비교 분석한 결과, 악성코드가 사용하는 애플리케이션 프로그램 인터페이스(API) 그룹 및 순서, 통신 암호화 방식, 공격 명령 함수 등 전체적인 코드 방식이 북한 악성코드들과 유사하다는 게 센터 측 분석이다.
센터에 따르면 현재 전세계 모든 백신들은 해당 악성코드를 진단하지 못하고 있어서 주의가 요구되는 상황이다. 이에 추후 발생할 수 있는 추가 사고를 미연에 방지하고자 협력 기관들과 신속히 정보를 공유해 조치할 예정이다.
염흥열 센터장은 "이번 악성코드가 단순히 봇넷 구축 단계에서 끝날지 아니면 대규모 사이버 테러로 발전할지는 아직 미지수"라며 "혹시 대형 사이버 테러로 연결될 수 있기 때문에 상황을 예의주시할 필요가 있다"고 말했다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기