이번 3.20 사이버테러의 침입과정을 살펴보면 다음과 같이 요약할 수 있다. 첫째, 웹 서버를 해킹하고 악성코드를 심은 것. 해커조직은 사이버 공격을 위해 가장 먼저 정보수집에 주력했다. 정보수집 방법으로는 누구나 접근이 쉬운 날씨 관련 사이트나 주요 방송사 사이트의 게시판을 이용했다.

이는 사이트에 로그인만 하면 누구나 글을 남길 수 있는 게시판의 쉬운 접근성을 악용한 것이다. 접근성이 쉽다는 것은 웹사이트의 방문자에게는 악성코드에 쉽게 감염될 수 있고, 해커에게는 침입하기 쉬운 곳이다. 뿐만 아니라 많은 사람들이 접속하기 때문에 감염 유포지로 제격인 셈이다.

게시판의 이러한 취약점을 노린 해커는 웹서버를 통해 악성코드 유포페이지를 만들고, 악성코드를 심은 것이다. 그렇다면 어떤 방법이었을까? 국내 소프트웨어의 웹 ActiveX 모듈의 업데이트 경로를 변조하는 방법을 사용했다. 즉, 이렇게 변조된 웹사이트의 방문자는 업데이트 실행 시 악성코드에 감염된다.

둘째, 파일경로를 변조한 악성코드에 감염된 PC는 해커의 1차 C&C 서버로 이동된다. 그렇다면 왜 C&C 서버로 이동한 것일까? C&C 서버는 해커가 교신하는 서버로 명령·제어할 수 있다. 해커는 이번공격에 C&C 서버를 1차와 2차로 나눠 정보를 구분하고 그에 맞는 악성코드를 유포해 수집하는데 이용했다.

이때 수집되는 PC의 모든 목록정보는 텍스트 파일로 저장되고, 압축되는 과정에서 16자리 암호화가 진행됐다. 뿐만 아니라 암호화된 압축파일에 다시 한번 RSA 암호화해 유출된 정보는 해커만이 볼 수 있도록 하는 치밀함을 보였다.

셋째, 이렇게 수집된 정보는 1차 C&C 서버에서 해커가 주요방송사, 금융사 등과 같은 중요 정보를 구분하고, 2차 C&C 서버에서 특별관리된 것. 해커가 중요 정보를 보유한 PC에 대해서는 정보수집 악성코드와 백신 중앙관리 서버와 DB서버를 포트 스캔 할 수 있는 악성코드를 1차 C&C 서버에서 추가 유포했다.

넷째, 추가 유포된 악성코드에 감염된 PC는 2차 C&C 서버와 접속하게 된다는 것. 이를 통해 해커는 중앙관리 서버 위치를 파악하고, 중앙관리 서버의 취약점을 이용해 업데이트 파일을 악성코드로 변조시켰다.

결국 변조된 악성코드는 백신 에이전트 중앙관리 서버에서 각 개인의 PC로 전송 배포되고, 해커의 명령에 따라 작동하면서 정해진 시간에 하드디스크를 파괴된 것이다.

따라서 3.20 사이버테러는 C&C 서버를 이용해 악성코드를 무기로 사용한 사이버전의 모습을 가감 없이 보여줬다. 특히, 이번 공격이 북한의 정찰총국 소행으로 드러났고, 오랫동안 진행된 사이버테러중 하나인  1Mission이라는 얘기다.

이미 북한의 동일 해커조직은 2007년부터 치밀한 사전계획 하에 공격해 왔다. 따라서 2, 3차 미션으로 추후 다른 사이버전이 발생할 수 있는 확률이 높고, 이에 대비할 수 있는 대책이 시급할 것으로 보인다.

[보안뉴스 특별취재팀(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>