LG U+ 디페이스 악성파일과 지난해 중앙일보 파일과 매우 유사

[보안뉴스 김태형] 3.20 전산망 사이버테러의 공격주체가 LG유플러스 그룹웨어를 해킹하고 디페이스(Deface)했던 ‘후이즈(whois)’와 동일조직일 가능성이 제기됐다. 그러나 현재 LG유플러스 측은 그 가능성을 일축하고 있는 상태다.

잉카인터넷 측은 이번 3.20 전산망 사이버테러와 관련된 악성파일을 분석하던 중 LG유플러스의 그룹웨어에 접속했을 때 발생했던 디페이스(Deface) 현상과 관련된 악성파일을 확인했다고 밝혔다.

이번 해킹 공격으로 디페이스된 LG유플러스 그룹웨어에는 다음과 같은 내용이 포함되어 있었다.

Hacked By Whois Team

Who is Whois?

We have an Interest in Hacking. This is the Beginning of Our Movement. User Acounts and All Data are in Our Hands. Unfortunately, We have deleted Your Data. We┖ll be back Soon(우리는 해킹에 관심 있다. 이것은 우리 행동의 시작이다. 사용자 계정과 데이터는 우리 손에 있다. 불행하게도 우리는 데이터를 삭제했다. 우리는 곧 다시 돌아온다).

잉카인터넷 측은 “위의 화면에 사용된 코드를 보유하고 있는 악성파일이 확인됐는데, 이번 전산망 테러에 사용된 악성파일과 연관된 것으로 의심되고 있어 실제 디페이스를 한 공격자가 이번 공격에도 가담했을 가능성을 염두에 두고 분석을 진행했다”면서 “이 과정에서 이번 디페이스와 관련된 악성파일이 발견됐고 이는 지난 2012년 6월 9일 오후 6시 30분 경부터 발생했던 중앙일보 뉴스사이트의 디페이스 형식과도 매우 유사하다”고 설명했다.

이 같은 내용이 사실이라면 이번 공격의 주체도 북한이라고 추측할 수 있다. 하지만 정확한 판단을 위해서는 모든 분석이 끝나야 알 수 있을 것으로 보인다.

지난해 중앙일보 해킹 당시에는 ‘Hacked by Is One’라는 문구가 포함되어 있었다. 이와 관련 지난 2013년 1월 16일 경찰청 사이버테러대응센터에서는 지난해 중앙일보 서버를 공격한 것은 북한소행으로 최종 확인됐다고 공식 입장을 발표한 바 있다.

중앙일보의 수사 의뢰를 받은 경찰은 약 7개월간의 수사과정에서 국내 서버 2대와 10여개의 국가에 분산된 해외 서버 17대가 해킹의 경유지로 사용된 사실을 파악했다.

이 중 6개국의 서버 9대를 해당 국가로부터 제공받아 집중 분석한 경찰은 유일하게 접속 기록이 남아 있는 1대의 서버에서 이스원(IsOne)이라는 이름의 PC를 찾아냈다.

이어 해당 컴퓨터가 북한 체신성 산하 조선체신회사(KPTC)가 사용하는 IP 주소로 접속한 사실을 확인했다. 북한은 이 서버를 경유해 중앙일보 신문제작 서버에 접속했고 이 서버는 2011년 3월 디도스 공격과 같은 해 4월 농협 전산망 해킹 당시 경유지로 이용됐던 서버와 동일한 것으로 확인됐다고 발표한 바 있다.

잉카인터넷 측은 “이와 함께 이번 공격에 가장 큰 피해를 입은 KBS의 영문사이트가 3월 21일 경 디페이스(Deface) 공격 피해를 입었고 화면에는 ‘Hastati’ 라는 문구가 포함되어 있었다. 해당 문구는 국내 언론사와 금융사 등에 MBR 파괴기능을 수행했던 악성파일의 문구와 동일한 것”이라고 밝혔다.

           

한편, 이 웹페이지 하단에 포함된 링크에는 또 다른 국내 언론사의 미국 사이트로 연결되도록 했다. 이러한 정황으로 일각에서는 2차 공격이 진행되는 것 아니냐는 의심을 하고 있지만 이를 예단하기에는 아직 이른 것으로 보인다. 

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>