지난 3.20 전산망 마비에 대해 체크포인트도 기존에 발견된 악성코드 '다크서울'의 변종일 가능성이 있다는 의견을 제시했다.
박성복 체크포인트 코리아 지사장은 3일 서울 강남구 삼성동에서 기자간담회를 갖고 20일 사고 당일 이스라엘 본사의 악성코드 정보 데이터베이스(DB)에 변종이 저장돼 있었다는 내용을 확인했다고 밝혔다.
앞서 외국 보안회사 소포스는 지난 20일 자사 보안관련 블로그 네이키드시큐리티를 통해 우리나라 3.20 사고를 다루며 지난해 '다크서울'이라고 명명한 악성코드와 유사한 기능을 가진 것으로 확인됐다고 밝혔다. 1년 전 이 회사는 안랩과 하우리의 백신프로그램 우회하는 기능이 다크서울에 첨부돼 있었다고 설명한 바 있다.
이에 대해 다른 외국계 보안회사들도 여러가지 진단명을 발표한 바 있다. 사고 발생 당일 시만텍은 보안대응팀을 통해 분석한 결과 자사의 악성코드 샘플 중 'Trojan Horse/Trojan.Jokra', 'WS.Reputation.1'과 비슷한 유형의 공격이 이뤄졌던 것으로 파악하고 있다고 밝힌 바 있다.
그러나 3.20에 사용된 악성코드가 실제로 다크서울의 변종인지에 대해서는 아직까지 직접 확인된 내용은 없다. 체크포인트 코리아 관계자는 쓰렛클라우드라는 위협정보 수집용 서버를 통해 전 세계 악성코드 정보를 수집하고 있으며, 다크서울의 변종이라고 확증할 만한 증거가 나온 것은 아니다라며 다만 개연성이 높은 것은 사실이라고 밝혔다.
관련기사
- APT 라이프사이클로 본 전산망 마비2013.04.03
- 전산망 마비, 외국보안회사들 시각2013.04.03
- [전산망 마비]"백신회사 로그에 ID가 없다"2013.04.03
- [전산망 마비]美서 1년 전 백신우회 악성코드 발견2013.04.03
체크포인트는 쓰렛클라우드를 통해 악성코드 정보를 수집한 뒤 이를 고객사의 게이트웨이단에 적용해 위험을 실시간 감지, 조치하고 있다.
이 회사는 쓰렛클라우드에 더해 쓰렛 에뮬레이션을 통해 사용자가 자신의 PC에서 의심되는 파일을 직접 실행하는 대신 자신의 PC와 똑같은 가상머신환경에서 미리 실행해 악성여부를 판별하는 기술로 지능형 공격을 막고 있다고 설명했다.