• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

3.20 사이버테러 사건의 정부발표 상세해설 2013.04.12

이슈메이커스랩 분석, 경유지·악성코드·개발경로 정부발표와 동일

 

[보안뉴스 특별취재팀] 본지가 9일 단독보도한 3.20 사이버테러에 대한 이슈메이커스랩의 분석 가운데 북한 IP에서 직접 접속한 로그기록만 제외하고는 정부발표와 모두 동일것으로 나타나 관심이 집중되고 있다.

지난 10일 오후 2시 한국인터넷진흥원(KISA) 전길수 단장은 경기도 과천 미래창조과학부 청사에서 3.20 사이버테러 수사결과에 대해 공식 브리핑을 가졌다.


이번 3.20 사이버테러는 북한 정찰총국 소행으로 주요 방송사 및 금융기관의 사이버테러에 이어 25일 ‘날씨닷컴’ 사이트를 통한 악성코드 유포, 26일 대북보수단체 홈페이지 자료삭제,  YTN 계열사 홈페이지 자료서버 파괴 등이 모두 북한 해커조직의 소행이라고 발표했다.

그에 따른 근거로 합동대응팀은 다음과 같은 사항을 제시했다. 첫째, 북한 내부에서 국내 공격경유지에 수시 접속하며 장기간 공격준비를 한 점 둘째, 공격경유지가 과거 사용했던 경유지와 동일한 점 셋째, 악성코드 재활용 넷째, 개발경로 등이다.

 

그렇다면 이슈메이커스랩이 확인한 내용과 얼마나 동일할까? 직접 북한 IP에서 접속한 로그기록 내용 외에는 정부에서 발표한 내용과 모두 동일한 것으로 확인됐다. 


1. 북한 내부에서 국내 공격경유지에 수시 접속, 장기간 공격준비
북한 내부에서 국내 공격경유지에 수시 접속해 장기간 공격을 준비했다는 사실은 국내 경유지(C&C 서버)에 접속한 북한 IP에서 접속한 로그가 남은 것을 정부발표를 통해 확인된 내용이다.

로그기록 확인과 관련해 이슈메이커스랩 측은 “로그기록 확인은 C&C 서버 등을 수거해 직접 분석이 필요한데, 이는 권한을 가진 기관만이 수행할 수 있어 확인할 수 있는 사항이 아니다”라고 밝혔다. 그러나 북한 IP의 확인여부를 제외하고, 나머지 2012년 6월 28일부터 해커조직 악성코드를 유포한 분석결과는 이슈메이커스랩의 분석과 정확히 일치한 것으로 나타났다.

  ▲ 2012년 6월부터 피해기관 침투시점 동일

 

2. 공격경유지가 과거 사용했던 경유지와 동일

공격경유지가 과거 사용했던 경유지 분석내용에  있어서도 정부 발표와 이슈메이커스랩이 동일한 것으로 나타났다. 이번 피해기관의 공격 경유지(1차 C&C 서버)인 2013년 2월에 사용된 www.ma**********ce.co.kr과 2013년 3월에 사용된 su***ha.com 등은 각각 2010년 5월, 2011년 3월 등에 사용된 바 있다.

그 밖에 m**a.co.kr, la*********er.co.kr 등 여러 경유지들이 해당 악성코드 시리즈가 정형화된 2세대 버전이 사용되기 시작한 2009년 초부터 해당조직에 의해 여러 차례 사용된 것으로 이슈메이커스랩도 확인했다.

3. 악성코드 재활용

악성코드 재활용의 경우 감염PC의 식별번호 8자리와 감염신호 생성코드에 대해서도 이슈메이커스랩이 분석한 내용과 모두 동일한 것으로 확인됐다. 합동대응팀에 따르면 북한 해커만 고유하게 사용 중인 감염 PC의 식별번호 8자리 및 감염신호 생성코드의 소스프로그램 중 과거와 동일하게 사용됐다고 밝혔다.

(1) 감염PC의 식별 번호(8자리) 생성코드
합동대응팀이 발표한 내용 중 2013년 2월에 3.20 사이버테러 피해기관에서 사용된 악성코드와 이슈메이커스랩에 의해 추적되어 정리된 악성코드(2009년 3월 발견)도 동일하게 감염 식별번호를 생성하는 코드가 포함한 것으로 드러났다.

또한, 해당 감염 PC 식별번호 생성코드는 이슈메이커스랩이 보유한 2007년 초에 발견된 1세대 초기 악성코드 버전에서도 동일하게 발견됐다. 이것은 해당 조직이 2007년부터 6년간 계속해서 우리나라를 대상으로 사이버전을 수행했다는 중요한 증거이기도 하다.

▲ 북한 해커가 고유하게 사용중인 감염 PC 식별번호(8자리) 소스코드가 동일

 

(2) 감염신호 생성코드

감염신호 생성코드도 마찬가지다. 합동대응팀의 발표와 동일하게 이슈메이커스랩이 보유한 2세대 정형화된 악성코드부터 이번 3.20 사이버테러 악성코드까지 감염된 PC의 악성코드가 C&C 서버로 감염신호를 보내는데, 이때 사용하는 URI 인자 및 데이터 형태가 동일한 것으로 밝혀졌다.

  ▲ 북한해커만 고유하게 사용중인 감염신호 생성코드가 동일


특히, id와  ‘sn인자값을 각각 2번씩 연결한 MD5 값을 구해 ‘sc인자로 전송하는 형태는 2009년부터 해당조직이 제작한 모든 악성코드가 동일한 것으로 분석됐다. 그에 따른 데이터 증거로 이슈메이커스랩 측은  C&C 명령 제어 채널에서 감염시 보내는 감염신호의 URI 인자코드 및 데이터가 같다고 지난 9일 본지를 통해 제시한 바 있다.

  ▲ 지난 9일 이슈메이커스랩이 감염신호가 동일하다고 발표한 내용. 11일 정부발표와 일치


4. 개발경로  

개발경로에 있어서도 합동대응팀의 발표와 동일했다. 정부가 동일한 조직의 소행의 증거로 밝힌 악성코드 개발경로인 ‘Z:\Work\Make Troy’에 대해 이슈메이커스랩 측도 동일한 조직의 소행으로 밝혔다. 더 나아가 이슈메이커스랩 측은  ‘Z:\Work\Make Troy’ 개발경로를 가진 악성코드를 다운로드하는 상위의 악성코드 개발경로인 ‘Op\1Mission’까지 확인했다.

이에 따라 이슈메이커스랩은 해커조직이 사용한 경로명을 참조하여 그들이 자행한 3.20 사이버테러를 ‘1Mission’ 이라는 작전명으로 명명했다.

 ▲ 정부가 밝힌 악성코드 개발경로가 이슈메이커스랩이 밝힌 개발경로와 일치.


이렇듯 본지를 통해 이슈메이커스랩 측이 밝힌 분석자료가 정부 발표와 동일한 것으로 입증되면서 분석내용의 신뢰성이 더욱 높아지고 있다.

 

이번 합동대응팀의 3.20 수사결과 발표에 대해 이슈메이커스랩 측도 “10년 이상의 악성코드 분석경력을 가진 이슈메이커스랩 전문가들도 정부의 이번 발표를 신뢰하고 지지한다”고 밝혔다.

[보안뉴스 특별취재팀(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>