| 南北 긴장국면 최고조! 사이버戰은 이미 진행중? | 2013.03.17 |
안보관련 매체·모임 사이트 방문자 타깃 악성코드 공격 포착!
북한 주요사이트도 접속장애 발생...남·북한간 사이버전 시작 우려
현재 국내 인터넷 환경에서의 주목할만한 특징은 안보관련 협회나 매체 방문자를 대상으로 하는 악성코드 공격이 발견됐다는 점과 주말에 집중되던 사이버공격이 주중으로 확대되고 있다는 점, 그리고 원격조정이 가능한 백도어 유형의 악성코드 유포가 계속되고 있다는 점이다. 현재 국내외 도메인 180만여 개 이상에서의 대량 악성코드 유포상황을 PCDS(Pre Crime Detect Satellite) 시스템을 이용해 모니터링하고 있는 빛스캔에 따르면 안보관련 매체 및 모임 사이트의 웹 서비스 변조 후, 접속자에 대한 악성코드 감염을 시도하는 사례들이 포착된 것으로 분석됐다. 악성코드 유포가 확인된 두 개의 사이트 모두 악성링크는 러시아 도메인을 이용했으며, 기존의 자동화된 공격형태와 달리 블랙홀 익스플로잇 킷(BlackHole Exploit kit)과 유사한 취약성 공격을 활용했다는 것. 이와 관련 빛스캔 관계자는 “최근 주말에만 높게 발생되는 대량 감염 공격이 주중에도 계속 발생되는 특성을 띠고 있다”며 “특히, 지난 3월 11일부터 15일까지는 원격조정이 가능한 백도어로 추정되는 특정파일 형태만을 지속적으로 유포했고, 국내 주요백신은 계속 우회할 수 있는 상태로 변경해 악성코드 감염비율이 상당히 높을 것”이라고 예측했다. 최근 안보관련 사이트에서 발견된 악성파일들은 다운로더 기능으로도 동작하기 때문에 추가 악성파일을 받을 수도 있다. 지난 3월 8일부터 현재까지 빛스캔 측이 발견한 악성파일과 악성링크들은 다음과 같다. ▲3월 8~10일 주말기간 발견된 최초 다운로드 악성파일명(대량감염 기준) ▲3.11일 이후 현재까지 사용자 PC에 최초 다운로드 되는 악성파일명(대량감염 기준) Sad.exe(3.11~3.12), down.exe(3.13~3.14), v3lite.exe(3.15) - 모두 백도어와 트로이목마 xxx.ru:8080/forum/links/news.php - 안보매체 웹 서비스에 추가된 악성링크 xxx.ru/new/dvd/h/hwpjava.html - 안보관련 모임 웹 서비스에 추가된 악성링크 xxx.ru/new/dvd/h/hwp.html - 안보관련 모임 웹 서비스에 추가된 악성링크
▲안보관련 매체를 통해 실행된 악성링크 내용 - 난독화된 상태 이와 관련 빛스캔의 문일준 대표는 “남북한 간의 긴장이 격화됨에 따라 안보와 관련된 특정 대상을 타깃으로 한 악성코드 유포 시도가 발견되고 있으며, 특정목적에 악용될 수 있는 동일 유형의 악성코드들이 대량 유포되고 있다”며, “현재도 악성코드 감염은 계속되고 있고, 과거 3.4와 7.7 디도스 대란과 같은 사건이 재발할 수 있는 조건은 이미 완성돼 있는 상태”라고 우려했다. 한편, 북한도 지난 13일부터 노동신문과 조선중앙통신 등 주요 관영매체들의 인터넷 접속이 원활치 않았고, 북한 당국은 이를 우리나라의 사이버공격 때문에 발생한 것이라며 집중 비난을 퍼붓고 있다. 이렇듯 남북한의 긴장감이 최고조에 달하면서 사실상 남북한 간의 사이버전쟁이 시작되지 않았느냐는 관측도 나오고 있다. 이와 관련 한 보안전문가는 “북한에 대한 사이버공격이 국내 해커들에 의한 조직적인 공격이라고 단언할 수는 없지만, 서로 공방을 주고받는 상황으로 접어든 만큼 사이버전의 성격을 띠고 있다고 할 수 있다”며, “이미 물밑에선 치열한 사이버전이 벌어지고 있다고 해도 과언이 아닐 것”이라고 우려했다. [권 준 기자(editor@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
[보안뉴스 권 준] 북한의 핵미사일 발사실험과 한미 양국의 키리졸브 훈련 등으로 인해 남북 간의 긴장국면이 최고조로 접어들면서 사이버 상에서도 이상 징후가 계속 포착되고 있다. 이로 인해 남북한 간의 사이버전은 이미 시작된 게 아니냐는 우려가 나오고 있다. 