[보안뉴스 김경애] 지난 3.20사이버테러로 인한 방송사 및 금융권의 전산망 마비사고가 약 2개월 가량 지나고 있는 가운데, 최근 해당조직들이 사용했던 악성파일과 유사한 형태의 파일이 발견됐다.

이번에 발견된 악성파일은 공격적 파괴기능을 보유하지는 않았으나, 감염된 컴퓨터의 각종정보를 수집하여 외부로 유출하는 기능으로 분석됨에 따라, 사전 정보수집 및 잠입침투 활동을 수행 하는 것으로 의심되고 있다. 말하자면 일종의 사이버 고정간첩으로 평상시에 기밀 자료들을 수집하는 일련의 스파이 활동으로 추정된다.

이들은 기존에 알려져 있지 않은 악성파일과 보안취약점(Zero-Day)을 이용해서 꾸준히 △주요 웹 사이트 침투, △자료수집, △공격수행(DDoS 공격, 자료파괴) 등의 활동을 반복하며, 은밀하게 각종 기밀자료를 확보하여 정보전의 기초 자료로 활용하고 있는 상태이다.

이와 관련하여 이스트소프트(대표 김장중)는 며칠 전 3.20사이버테러조직들과 연관된 것으로 의심되는 이상 징후를 최초 포착했고, 잉카인터넷(대표 주영흠)의 사이버테러 분야 전문가와 합동으로 면밀한 조사를 진행했다고 밝혔다. 이와 같은 신속한 조사 진행의 결과로 악성파일 형태와 공격기법 등이 기존 3.20 사이버테러조직들이 과거부터 이용했던 코드구조와 거의 일치한다는 결론을 도출할 수 있었다고 밝혔다.

3.20사이버테러조직들이 이용하는 악성파일 형태로 분석된 이후 민간보안업체 잉카인터넷과 이스트소프트 양사의 보안전문가들은, 국가적 보안위협은 기업간의 이념과 경쟁을 초월해 합동대응이 필요하다고 판단해 양사합동으로 온라인 연합팀을 특별 구성해 긴급 조사 작전을 진행했다고 밝혔다. 그 과정에서 규명된 신규 악성파일과 최신 공격기법을 유관기관에 빠르게 통보하여, 사이버 테러조직들의 신종 악성파일 전파와 최신 공격기법 상황을 조기에 탐지하고 차단 조치할 수 있었다는  것.

수년 전부터 사이버 테러 조직들이 이용하는 악성파일들은 불특정 다수를 대상으로 무차별적으로 감염시켜 금전적인 이득을 노리는 사이버 범죄 형태와는 구분되어 있다. 그들은 대체로 특수한 조건과 환경이 성립되어야만 감염이 이뤄지는 지능화된 표적 공격기법을 다양하게 활용하는 것이 주요 특징이며, 감염된 컴퓨터에 보관되어 있는 조직 내 기밀정보들을 수집하고 은밀하게 외부로 유출시킨 후 추가적인 공격 교두보를 확보하는 기능을 수행하고 있다고 양사는 설명했다.

이번에 발견된 악성파일은 코드가 새롭게 변형되었지만, 3.20사이버테러를 포함해서 그 이전부터 이용된 바 있는 악성파일의 흔적과 기법이 거의 동일하여 해당조직이 개발한 것으로 최종결론을 내린 상태이다. 아울러 설치되는 악성파일은 지난 5월 30일과 31일에 제작된 사실도 분석된 상태다.

이것을 분석 결과를 미루어 짐작해 본다면 테러조직들은 각종 정보수집 활동을 최근까지도 은밀하게 이어가고 있다는 것을 예상할 수 있고, 언제든지 사이버 공격을 감행할 수 있다는 점에 주목하고 철저한 대비와 관심이 필요할 것으로 보인다.

현대화된 사이버 테러는 매우 치밀하게 준비된 계획을 통해서 일시에 동시다발적으로 공격이 감행된다. 지난 번 공격피해를 입었던 방송사와 금융사는 공격 직후 최대한 빠르게 대처하는 모습을 보여주었지만, 이미 많은 피해를 입은 상태였기 때문에 그 피해는 고스란히 사회적인 혼란으로 이어졌다.

만약 최초 공격시간을 미리 예측하여 사전방어를 할 수 있다면 좋겠지만, 그것은 현실적으로 쉽지 않다. 사이버 테러의 경우 사고가 발생한 뒤 정상으로 복구하는데 많은 인력과 예산이 소요되기 때문에 그 피해는 상상을 초월한다. 따라서 양사는 사이버 테러 등 이상징후를 포착하게 되면 빠르게 초동 대처를 진행하여 공격흐름을 조기에 차단하고 유사공격에 대비하는 노력이 필요하다고 강조했다. 

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>