北소행 의심 악성코드, 군 관련 홈피에 유포

일반입력 :2013/03/15 17:12    수정: 2013/03/15 17:28

손경호 기자

이주 초부터 북한 소행으로 의심되는 분산서비스거부(DDoS) 공격 기능을 가진 악성코드가 지속적으로 유포되고 있어 주의가 필요한 상황이다.

15일 빛스캔은 이와 같은 유형의 공격이 지난 11일부터 현재까지도 지속적으로 탐지되고 있다고 밝혔다. 금융정보나 게임정보 탈취를 목표로 한 공격과는 달리 주로 군 관련 사이트들을 노리고 있다는 점, 같은 종류의 악성코드가 지속적으로 유포되고 있다는 점, 군 관련 모임을 노리고 있다는 점에서 정보유출과 함께 좀비PC를 동원한 DDoS 공격을 초래할 수 있을 것으로 예상된다.

주로 대상이 된 사이트는 군 관계자들의 모임과 군에서 후원하는 인터넷 매체다. 이들 사이트에는 주로 군 관계자들이 방문하며, 방문자 PC에 같은 종류의 트로이목마 바이러스와 백도어가 설치되는 것으로 나타났다.

기존 금융, 게임정보 탈취용 공격과 다른 점은 보안관리가 소홀해지는 주말이 아니라 주중에도 일주일째 공격이 지속되고 있다는 점이다. 감염된 PC는 원격에서 조종할 수 있도록 좀비PC가 되기 때문에 공격자의 명령에 따라 DDoS 공격을 일으킬 수 있다.

빛스캔은 지난 8일부터 10일까지 주말동안 외부파일을 다운로드 받고(다운로더), 원격접속을 허용하는(백도어) 악성코드를 설치한다고 밝혔다. 악성파일명은 Bull.exe, Sun.exe ,asd.exe,38.exe ,39.exe 등이다.

이후 11일부터 현재까지는 백도어와 트로이목마 기능을 가진 파일들이 설치되고 있으며 악성파일명은 Sad.exe(3.11~3.12) , down.exe(3.13~3.14),, v3lite.exe (3.15) 등이다.

공격자들은 주로 러시아 도메인(.ru)을 사용했다. xxx.ru:8080/forum/links/news.php(안보매체 웹서비스에 추가된 악성링크), xxx.ru/new/dvd/h/hwpjava.html(안보관련 모임 웹서비스에 추가된 악성링크), xxx.ru/new/dvd/h/hwp.html(안보관련 모임 웹서비스에 추가된 악성링크) 등이 주소명이다.

관련기사

전상훈 빛스캔 이사는 안보관련매체의 경우 지난해 2월 최초로 공격이 발견돼 악성링크가 추가된 사례가 있었으나 이후 1년 간 공격이 이뤄지지 않았다고 밝혔다. 최근 들어 남북 간 긴장이 고조되는 가운데 군 관련 사이트를 대상으로 공격이 이뤄지고 있다는 점에서 북한의 소행으로 의심된다는 설명이다.

이 회사는 해당 내용을 군에 알렸으며, 과거 7.7 DDoS와 같은 사건이 발생할 수 있는 조건은 이미 완성된 상태라고 밝혔다.