[보안뉴스 권 준] 정보보안 전문기업인 잉카인터넷(대표 주영흠)은 25일 청와대 홈페이지를 비롯한 정부기관, 정당, 언론사 등에 대한 공격용으로 사용된 악성파일(Trojan/W32.KRDDoS)이 국내 특정 파일공유(웹하드) 사이트 2곳의 설치프로그램 변조를 통해서 유포된 것을 확인했다고 밝혔다.

더불어 청와대 홈페이지에는 “Hacked by Anonymous. 통일대통령 김정은장군님 만세!” 라는 정치적 문구와 특정기관의 개인신상 정보가 링크되어 있어 마치 어나니머스가 해킹을 한 것처럼 보여지도록 만들었으나, 공격수법이 2009년 7.7 DDoS, 2011년 3.3 DDoS 공격 때와 마찬가지로 웹하드 설치프로그램을 변조하여 이용자들이 악성파일에 동시 노출되도록 유도한 부분이 일치하는 등 이번 공격은 어나니머스를 사칭한 북한의 소행일 가능성이 매우 높을 것으로 문종현 잉카인터넷 대응팀장은 전망했다.

웹하드 설치프로그램으로 위장하여 숨겨져 있는 악성파일이 실행되면, 국내의 특정 고시원 및 자취생 커뮤니티 사이트에 숨겨져 있는 c.jpg 또는 d.jpg 파일이 다운로드 되어 설치된다. 이 파일은 그림파일처럼 위장하고 있지만, 실제로는 실행 가능한 EXE 악성파일이다. 더불어 해당 사이트에는 또 다른 악성파일이 숨겨져 있고, 악성파일 분석가들이 쉽게 분석을 하지 못하도록 고의적으로 코드를 조작한 것으로 나타났다.

c.jpg 파일은 임시폴더(Temp)에 웹하드 파일처럼 위장하여 생성되고 실행된다. 그 이후에 감염 시스템에 실행되어 있는 프로세스 파일 중에 하나의 파일명을 임의로 선정하여 악성파일의 복사본을 생성하여 작동된다. 이 때문에 파일명만 봐서는 정상파일로 오인할 수 있다.

문종현 대응팀장은 “악성파일 중 일부는 2013년 06월 25일 이른 새벽시간 대에 제작됐고, 다양한 변종이 발견됐다. 또한, 다량의 네트워크 패킷 쿼리를 정부전산정보관리소(*.gcc.go.kr) DNS 서버로 전송하여 정부기관의 웹 사이트 접속을 고의적으로 방해하도록 제작되어 있다”고 강조했다.

잉카인터넷 대응팀은 이번에 발견된 악성파일들을 nProtect Anti-Virus 제품에 긴급 업데이트하는 한편 관련 정보를 잉카인터넷 대응팀 공식 블로그(http://erteam.nprotect.com)에 상세하게 업데이트 중이다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>