Tor C&C 봇넷 사전모니터링 단계에서 디도스 악성코드 유포 탐지
을지연습과 관련된 기밀정보 절취 및 대형 사이버테러 시도 가능성 

[보안뉴스 권 준] 을지프리덤가디언 연습기간 중인 20일 오전 6.25 사이버테러 조직이 디도스(DDoS) 악성코드를 추가로 유포한 것이 확인됐다.

보안전문기업 하우리(대표 김희천, www.hauri.co.kr)에서 최초로 확인했고, 본지에서 지속적으로 그 위험성을 경고했던 일이 실제 벌어진 셈이다.  

하우리는 지난 7일 한·미 합동군사훈련인 을지프리덤가디언(UFG) 연습을 앞두고 6.25 사이버테러를 수행한 동일 조직이 익명네트워크인 토르(Tor) 기반의 C&C(명령제어 서버) 봇넷을 구축하고 있음을 최초로 확인한 바 있다.

이에 을지프리덤가디언 훈련이 시작되는 19일을 전후하여 해당 조직이 목표로 하는 디도스 공격, 시스템 파괴, 기밀정보 절취 등을 위한 추가 활동을 취할 것으로 예상해 Tor C&C 서버에 대한 지속적인 모니터링을 수행해왔다는 게 하우리 측의 설명이다.

그 결과 20일 오전 9시 23분 19초에 6개의 Tor C&C 서버 중 1대가 오픈됐으며, 해당 C&C 서버를 통해 11시 13분 37초에 체코에 위치한 서버로부터 디도스 악성코드를 다운로드한 것을 발견한 것이다.

Tor C&C 서버를 통해 유포된 악성코드는 다양한 악성행위를 수행하는 명령어들이 존재하며, 특정 타깃에 대한 디도스 공격, 키로깅, 화면 캡처, 추가 악성코드 다운로드 및 실행 등의 악성행위들을 수행하는 것으로 알려졌다.

특히, 해당 악성코드가 기존에 국방 부문에서 종종 발견되던 악성코드의 변종 시리즈로 확인됐다는 점이다.

이와 관련 하우리 선행연구팀 최상명 팀장은 “현재 해당 악성코드를 가장 빠르게 탐지해 정부당국과 정보를 공유했으며, 이번 악성코드 유포 사실을 조기에 발견해낼 수 있었던 것은 Tor C&C 서버에 대해 지난 7일부터 지속적으로 모니터링 해왔기에 가능했던 성과”라며, “앞으로도 조기 탐지 및 모니터링 체계를 구축하여 신속한 사전대응이 가능하도록 최선을 다할 것”이라고 밝혔다.

하우리 최상명 팀장이 지난 7일 최초 발견한 이번 악성코드는 지난 번 6.25 사이버테러에서 DNS DDoS 악성코드를 유포하기 위해 구성한 봇넷(Botnet)과 동일하게 익명 네트워크인 토르(Tor) 기반의 C&C를 사용하며, 악성코드의 모든 구조와 설치방식 등이 매우 유사한 것으로 분석된 바 있다. 

이번 악성코드 발견은 6.25 사이버테러를 일으킨 조직이 을지프리덤가디언 연습과 관련해 군사정보 등의 기밀정보를 절취하거나 이번 연습을 빌미로 또 한 번의 대규모 사이버테러를 준비하려다 조기에 탐지돼 그 피해를 최소화했다는 점에서 큰 의미를 지닌다고 볼 수 있다.   

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>