한국에서 만들어진 것으로 추정되는 해킹프로그램이 러시아 우주과학기술연구소를 공격한 정황이 나타나 충격을 주고 있다. '산니(Sanny)'라고 불리는 이 해킹프로그램은 러시아 이동통신회사, 정보기술회사는 물론 우주과학기술연구소 임직원들의 웹사이트 로그인 정보를 탈취하는 것으로 알려졌다.
지난 12일(현지시간) 영국 더레지스터는 러시아어로 된 악성 마이크로소프트(MS) 워드 문서파일을 발견했으며, 이를 실행하면 감염된 PC에서 정보를 수집해 한국의 무료 인터넷 게시판에 전송한 것으로 확인됐다고 보도했다.
보안회사 파이어아이에 따르면 해커는 이를 통해 감염된 PC에 악성코드를 유포하고 백도어를 설치하며, 이 PC를 악성코드 유포를 위한 네트워크인 봇넷으로 만드는 것으로 나타났다.
한국산 프로그램으로 추정되는 근거는 해커가 악성코드를 유포하는 등 감염된 PC에 특정한 명령을 내리도록 만들어진 C&C서버가 우리나라에서 발견됐다는 점 때문이다. 파이어아이는 이 C&C서버가 한국 '엔보드닷넷(nboard.net)'이라는 무료 인터넷 게시판 호스팅 회사로부터 발견됐다고 밝혔다. 엔보드닷넷의 게시판 서버를 이용해 이 같은 공격이 이뤄졌다는 것이다.
또한 해커는 게시판을 통해 악성코드를 유포하는 일이 불가능해질 경우를 대비해 야후 이메일 주소로 접속을 시도했다. 파이어아이는 여기에 사용된 야후 이메일 주소 중 하나가 한국에서 발견됐다는 점도 한국 해커의 소행이라는 유력한 근거로 제시됐다.
공개 게시판에 올라온 데이터를 추출해 본 결과 희생자들의 MS 아웃룩 로그인 정보와 파이어폭스 웹브라우저, 핫메일, 페이스북 등 온라인 서비스의 개인정보가 모두 포함됐다.
더구나 게시판에 올라온 포함된 내용은 'victim_region', 'victim_locale' 등과 같이 지역별, 위치별 사용자의 정보까지 담고 있는 것으로 나타났다.
관련기사
- 노키아 엔지니어 "윈도8 게임 해킹된다"2012.12.17
- ITU, 인터넷 통제 표준안 마련 중 해킹 당해2012.12.17
- 가상자산, 미국은 변하는 데 한국은 왜 안 바뀌나2024.11.25
- 폐지 앞둔 단통법, 효과는 물음표2024.11.25
지금까지 감염이 확인된 곳은 러시아 우주기술과학연구소, 일부 러시아 소재 대학교, 이타르타스 통신, 러시아 기반 뉴스 사이트 등이다.
파이어아이 알리 이슬람 연구원은 아직 명확한 증거는 없으나 우리는 많은 정황을 통해 공격의 근원지가 한국일 것으로 가능성이 높다고 주장했다.