방글라데시은행 해킹도 소니와 동일범 소행?

인터넷입력 :2016/05/16 11:10

손경호 기자

지난 3월 방글라데시 은행이 해킹으로 인해 8천100만달러(약955억원)가 유출됐던 사건과 관련 2014년 소니픽쳐스 해킹, 최근 밝혀진 베트남 상업은행 해킹 사건이 동일범 소행이라는 의혹이 제기됐다.

3가지 사건에서 모두 유사한 공격 패턴이 발견됐기 때문이다.

영국 보안회사 BAE시스템스 세르게이 세브첸코, 안드리안 니시 보안연구원은 최근 자사 블로그를 통해 소니픽쳐스 해킹 때 쓰인 악성파일인 'msoutc.exe'이 작동하는 것과 거의 같은 파일삭제수법이 다른 사건들에서도 공통적으로 악용됐으며, 이들 사건 모두 비쥬얼스튜디오 C++ 6.0에서 악성코드가 개발됐다는 점, 공격에 일부 영어 철자를 잘못 표기하고 있다는 점을 들어 동일범 혹은 동일 해킹그룹의 소행일 가능성이 높다고 주장했다.

소니픽쳐스 해킹과 최근 방글라데시 은행, 베트남 상업은행 해킹 사건이 같은 개발환경에서 개발된 거의 동일한 악성코드가 쓰였다는 점이 확인됐다. 이들 사건이 모두 동일범 혹은 동일한 악성코드 제작자가 연루됐을 가능성이 크다는 분석이다.

소니픽쳐스 해킹에 파일 삭제 기능을 제공했던 msoutc.exe는 대상 파일들을 삭제하기 전에 이들 파일 내에 임의 데이터를 집어넣은 뒤 삭제하는 방법을 쓴다. 이를 통해 당시 공격 상황을 확인해야하는 보안분석가들의 추적을 어렵게 하는 것이다.

세 사건에 쓰였던 여러 악성코드들은 모두 비쥬얼C++ 6.0 환경에서 제작됐다는 점도 특징이다. 이 소프트웨어개발툴은 1998년도에 처음 공개된 것으로 처음 공개된 지 거의 20년이 다 돼가는 구버전이다.

관련기사

악성코드 내에 삽입한 문자열의 철자가 틀렸다는 점도 세 사건의 공통점이다. 소니픽쳐스 해킹에서는 'Mozilla' 대신 'Mozillar'가 방글라데시 은행 건에서는 'already' 대신 'alreay', 베트남 은행 건에서는 'foundation'이 아니라 'fandation'이라는 문구가 각각 쓰였다.

이를 분석한 연구원들은 블로그를 통해 "이러한 분석이 다른 가설로 이어질 가능성도 있지만 확실한 것은 이들 공격의 중심에 같은 악성코드 제작자가 있다는 점"이라고 강조했다.