3.20 사이버테러와 유사 패턴...북한의 ‘사이버전’ 가능성 더 커져 

하우리·잉카인터넷, 하드 파괴 악성코드 발견...파괴전술 수행중! 

[보안뉴스 권 준] 6.25 사이버테러를 일으킨 북한 정찰총국 추정 해커조직이 지난 3.20 사이버테러 때 사용했던 하드디스크 파괴 악성코드 공격을 또 다시 감행한 것으로 알려지면서 정부부처 및 공공기관, 언론사 등의 PC 보호에 비상이 걸렸다.

하우리와 잉카인터넷 등 보안전문 업체들이 6.25 사이버테러와 관련해 일부 언론사 사이트 등을 대상으로 하드디스크 등의 시스템을 파괴시키는 악성파일들이 발견됐다고 밝힌 것.

하우리 최상명 선행연구팀장은 “6.25 사이버테러와 관련해 하드디스크를 파괴하는 악성코드가 속속 발견되고 있고, 현재도 유포 중인 것으로 보인다”며, “하드디스크 파괴 악성코드에 포함된 계정암호가 ‘highanon2013’이었다”고 밝혔다.

이와 함께 최 팀장은 이러한 하드디스크 파괴 유형의 악성코드에 의해 파일명이 변경되고 삭제된 파일들을 공개했다(아래 그림).

또한, 잉카인터넷의 문종현 팀장도 “6.25 사이버전을 일으킨 조직이 사이버전술 과정의 하나인 파괴전술을 수행 중인 것으로 보인다”며, “파괴전술은 MBR 등 하드디스크를 파괴하거나 중요한 개인 데이터를 유출·파괴시키는 것”이라고 밝혔다. 

이번에 발견되는 악성파일은 7.7 및 3.4 디도스 대란, 3.20 사이버테러 때와 마찬가지로 시스템의 중요한 파일들을 삭제하고, 하드디스크(HDD)의 마스터부트섹터(MBR)를 공격하는 기능도 기존과 동일하다고 잉카인터넷 측은 밝혔다.

이렇듯 지난 3.20 사이버테러 때 방송국 등에 큰 피해를 야기했던 하드디스크 파괴 악성코드가 또 다시 유포중인 것으로 확인됨에 따라 본지가 지난 6월 25일자 단독보도를 통해 밝힌 것처럼 6.25 사이버테러 조직이 3.20 사이버테러를 일으킨 것으로 알려진 북한 정찰총국 산하 해커조직일 가능성이 한층 더 커졌다.

이에 따라 해커조직이 오래 전부터 예고된 자칭 어나니머스 해커들의 북한 사이트 공격을 역이용해서 한국 주요 사이트의 공격계획을 바탕으로 진행해왔고, 미리 수립해놓은 사이버전 수행단계별로 ‘사이버전’을 진행 중이라는 예측을 뒷받침하고 있다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>