3.20 사이버 테러범, 정보수집활동 재개 의심

일반입력 :2013/06/03 14:33

손경호 기자

지난 3.20 사이버 테러로 방송사와 금융사의 전산망을 마비시켰던 것과 유사한 형태의 악성파일이 다시 등장했다. 과거 사건에서처럼 내부 시스템의 부팅영역(MBR)을 파괴하는 기능은 포함되지 않았으나 감염된 PC에서 정보를 수집해 외부로 유출시키는 기능이 확인됐다. 사전에 정보수집, 잠입침투 활동을 수행하는 것으로 의심된다는 것이다.

이스트소프트(대표 김장중)는 지난 주말께 잉카인터넷과 공동 대응을 통해 이 같은 정황을 파악했다고 3일 밝혔다. 일종의 사이버 고정간첩으로 평상시에 기밀 자료들을 수집하는 일련의 스파이 활동으로 추정된다는 것이다.

이들은 기존에 알려져 있지 않은 악성파일과 제로데이 취약점을 이용해 ▲주요 웹 사이트 침투 ▲자료수집 ▲공격수행(DDoS 공격, 자료파괴) 등의 활동을 반복해왔다. 은밀하게 각종 기밀자료를 확보해 정보전의 기초자료로 활용하고 있는 상태다.

실제로 3.20 사이버 테러 때 사용됐던 코딩패턴과 최근 발견된 악성코드의 패턴이 거의 동일한 구조라 같은 조직의 소행으로 의심되는 상황이다.

두 회사는 온라인 연합팀을 구성해 신규 악성파일과 최신 공격 결과를 유관기관에 통보하고, 신종 악성파일 전파와 최신 공격기법 상황을 탐지해 차단조치를 취했다고 밝혔다.

사이버 테러 조직들이 이용하는 악성파일들은 불특정 다수를 대상으로 무차별적으로 감염시켜 금전적인 이득을 노리는 사이버 범죄 형태와는 구분된다. 이 조직은 대체로 특수한 조건과 환경이 성립돼야만 감염이 이뤄지는 지능화된 표적 공격기법을 다양하게 활용하는 것이 주요 특징이다. 감염된 컴퓨터에 보관돼 있는 조직 내 기밀정보들을 수집하고 은밀하게 외부로 유출시킨 후 추가적인 공격 교두보를 확보하는 기능을 수행하고 있다.

또한 설치되는 악성파일은 2013년 05월 30일과 31일에 제작된 사실도 분석했다고 이스트소프트는 설명했다.

관련기사

이스트소프트 관계자는 최근 분석팀에서 3.20 사이버 테러에 사용된 것으로 의심되는 악성파일이 유포된 정황을 파악해 태스크포스(TF)팀을 구성했고, 잉카인터넷 대응팀과 함께 분석한 결과 새로 발견된 악성파일은 코드가 새롭게 변형됐지만 3. 20 전산망 마비를 포함해서 그 이전부터 이용된 바 있는 악성파일의 흔적과 기법이 거의 동일하다고 판단해 해당 조직이 개발한 것으로 최종결론을 내린 상태라고 밝혔다.

이 관계자는 또한 최초 공격시간을 예측해 사전방어하기는 현실적으로 어렵기 때문에 사이버 테러 등 이상징후가 포착되면 빠르게 초동 대처해 공격 흐름을 조기에 차단하고 유사 공격에 대비하는 노력이 필요한 시점이라고 덧붙였다.