지난해 8월부터 현재까지 진행중...‘공작’ 표현 써 대규모 조직 추정  

[보안뉴스 권 준] 지난해 8월부터 현재까지 ‘좀비류포, HWP공작’이라는 작전명으로 한국을 대상으로 악성코드가 무작위가 유포되는 것으로 드러나 한국이 사이버공격의 ‘공습’ 경보 상태라는 우려가 커지고 있다.

디도스 공격 등의 추가 악성코드 유포는 물론 화면 원격감시가 가능한 좀비 악성코드가 대규모로 유포되고 있는 정황이 포착된 것이다.  

이러한 대규모 좀비 악성코드 공습 작전의 전모를 파악해 악성코드 제작자들을 추적 중인 하우리 최상명 선행연구팀장은 “미국, 홍콩, 우리나라에 위치해 있는 C&C 서버에 좀비PC를 만들 수 있는 악성코드를 업로드하고, 이를 통로로 국내 PC 사용자들에게 무작위로 유포시키고 있다”고 설명했다.

최상명 팀장에 따르면 유포 경로는 크게 두 가지로, 첫 번째는 한글 제로데이 취약점이며, 두 번째는 웹에서 대형 포털사이트의 툴바 업데이트를 위장해 악성코드를 유포하고 있는 것으로 나타났다. 더욱이 이번에 발견된 좀비 악성코드는 윈도우 7 및 64비트 환경에서도 동작할 수 있도록 만들어진 것으로 분석됐다.

특히, 현재 ‘한글’ 프로그램(HWP)에서 원격 코드실행 취약점 2종이 발견된 상황이고, 작전명에 HWP공작이 포함된 것으로 보아 한글 취약점을 통해 이번 작전에 활용된 악성코드가 유포됐을 가능성이 높다.

악성코드 제작자들이 공작이란 표현을 쓰고 있는 것으로 보아 일반적인 사이버범죄자보다는 특정 집단의 대규모 사이버공격이라고 볼 수 있어 정부, 기업, 개인 모두 현재 상황을 예의주시하고, 적극적인 보안대책을 마련할 필요가 있다는 것. 

더욱이 이번 공격은 특정 타깃을 대상으로 한 APT 공격이 아닌 대규모 좀비PC를 확보하기 위한 무작위 공격이라고 할 수 있다. 이에 추후 좀비PC를 활용한 대규모 디도스 공격은 물론 다른 악성코드의 추가 유포를 통한 여러 악성행위 수행이 가능해 2차 공격을 위한 물밑작업의 일환일 수 있다는 게 최 팀장의 설명이다.

이번 사태의 대응과 관련해 하우리 최상명 팀장은 “일단 PC 사용자들은 윈도우 및 한글 프로그램의 보안 업데이트를 수행하고, 의심스러운 웹사이트는 방문을 자제해야 하며, 항상 백신을 실시간 활성화하고 업데이트를 해야 한다”며, “특히, 이번 경우처럼 특정 조직에 의해 장기간 지속적으로 발생하는 보안위협에 대해서는 꾸준히 이를 분석하고 추적·관리해 해당 조직에 의해 추후 발생할 수 있는 보안위협들에 대한 대응활동이 원활히 이루어질 수 있도록 해야 한다”고 강조했다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>