7.7 DDoS 대란을 일으킨 악성코드가 정보수집 기능이 있는 것으로 알려진 가운데, 초기 정보수집대상은 주로 게임이었던 것으로 파악되고 있다.

보안뉴스가 수집한 자료에 따르면, 초기 정보수집 에이전트에는 온라인게임이 포함돼 있는 것을 확인할 수 있었다. 수집되는 정보의 리스트 중에는 PC의 주요파일과 아울러, 주요 온라인 게임과 패키지 게임의 이름이 포함돼 있었다. 특히 특정 게임은 한글로 된 파일이나 폴더를 지칭하고 있어 국내 실정을 잘 아는 사람에 의해 작성된 것으로 파악되고 있다.

이 리스트는 5월 14일 제작된 것으로 추정되는 파일에서 드롭 되는 파일중 하나인 ‘rasmcv.dll’파일을 분석한 자료로써, rasmcv.dll은 정보수집을 하는 것으로 알려진 ‘netlmgr.dll’과 ‘sysvmd.dll’의 초기 변종 버전으로 추정된다.

netlmgr.dll과 sysvmd.dll은 DDoS 공격의 이전 버전 파일들로 DDoS 공격에 이용된 악성코드 파일이 해당 파일들을 지우는 것으로 나타났다.

온라인게임이 주요 정보수집 대상이었다는 사실은 여러 가지 의미로 해석되고 있다. 특히 공격자로 거론되고 있는 북한과 아울러 국내나 중국 사이버범죄자에 의한 공격이었을 가능성도 제기되고 있다. 이런 가능성은 그동안 중국이나 조선족 사이버범죄자들이 국내 온라인 게임을 대상으로 한 악성코드 배포가 꾸준히 있어왔기 때문.

한 보안전문가는 “공격의도와 공격자는 악성코드를 분석하는 것만으로는 파악하기 힘들다”며 “악성코드분석으로 알 수 있는 부분이 있고 수사기관만이 할 수 있는 부분이 있기 때문에 섣부른 추측은 힘들다”며 언급을 자제했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>