북한 추정 사이버공격 징후 발견...7.7 디도스 유사한 신규 악성코드
SCH사이버보안연구센터 “초기 봇넷 구축, 군사기밀 유출시도 우려” 
정부 경고 이어 봇넷 구축 시도 확인, 대형 사이버테러 연결 가능성

[보안뉴스 권 준] 민족 최대의 명절 설날을 앞둔 16일 북한에서 설 명절을 계기로 상호비방을 중지하자는 메시지를 보내온 가운데 북한으로 추정되는 해커조직의 사이버공격 징후가 발견돼 관심이 집중되고 있다.
 

이번에 발견된 악성코드는 북한 소행으로 알려진 2009년 7.7 디도스 대란, 2011년 3.4 디도스 대란, 2011년 농협 전산망 마비, 2012년 중앙일보 해킹 시 사용된 악성코드와 매우 유사한 변종 악성코드의 최신 버전으로 확인됐다.

이는 순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)에서 최근 북한에 의해 제작된 것으로 추정되는 악성코드를 발견했다고 밝히면서 알려졌다.

SCH사이버보안연구센터에 따르면 북한 해커들은 디도스 공격 및 하드 파괴 등의 실질적인 피해를 입히는 좀비 악성코드를 유포하기에 앞서 좀비 악성코드들을 제어할 수 있는 봇넷을 먼저 구축하는데, 이번 악성코드는 초기 봇넷 구축에 사용된다는 설명이다. 현재 구축된 봇넷의 크기는 아직 미미하나 상황 변화에 주시할 필요가 있다는 것.

주요 기능으로는 암호화된 통신을 통해 공격자의 명령을 수행하는 기능이 포함되어 있다. 특히 공격자가 원하는 주제의 키워드를 전송 받아 해당 키워드를 포함하고 있는 파일을 수집하는 기능을 보유하고 있는데, 이 기능은 지난 북한 추정 사건들의 악성코드에서 발견된 기능과 동일하다. 7.7 디도스 공격 초기 봇넷 구축 당시에도, 이 기능을 통해 국방 전자자료 유출 방지체계 및 ‘작계5029’와 같은 군사기밀을 유출하려는 시도가 있었다는 게 센터 측의 설명이다.

또한 해당 악성코드는 센터에서 북한 악성코드들의 유사성을 비교하여 탐지하는 시스템을 통해 수집됐으며 비교 분석 결과, 악성코드가 사용하는 API 그룹 및 순서, 통신 암호화 방식, 공격 명령 함수 등 전체적인 코드 방식이 유사하다고 밝혔다. 그러나 현재 전 세계 모든 백신들은 해당 악성코드를 진단하지 못하고 있어서 주의가 요구되는 상황이다.

센터 측은 현재 봇넷이 구축되는 초기에 악성코드를 발견하여 확인을 했기에 추후 발생할지 모를 추가 사고를 미연에 방지하고자 센터와 협력을 맺은 기관들에 신속히 공유하여 조치할 예정이다.

센터장 염흥열 교수는 “이번 악성코드가 단순히 봇넷 구축 단계에서 끝날지, 아니면 대규모 사이버테러로 발전할지는 아직 미지수”라면서도 “혹시 대형 사이버테러로 연결될 수 있기 때문에 상황을 예의주시할 필요가 있다”고 말했다.

이렇듯 최근 들어 북한의 사이버공격 징후가 여러 차례 발견되고 있다. 지난 14일에는 정부에서 북한해킹 조직이 안보관련 기관 주요 인사들을 대상으로 행사 초청장 등 수신자의 업무와 관심사를 반영한 해킹 메일을 지속 유포해오고 있다고 주의를 당부했다. 또한, 하우리와 잉카인터넷 등 보안업체에서도 한글문서의 보안취약점을 악용한 북한 사이버 침투 활동이 증가하고 있다고 여러 차례 경고한 바 있다.

한편, 순천향대 SCH사이버보안연구센터는 최근 지능화된 사이버전 보안위협에 대응하고자 신설된 연구센터로, APT공격 등 사이버전 관련 사이버위협 및 악성코드 분석, 악성코드 및 사이버 공격자 추적, 국내외 유관기관과의 공동 연구는 물론 유관기관과의 사이버 위협 정보 공유 등을 수행하기 위해 지난해 12월 4일 공식 발족했다. 

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>