3.20 사이버테러 악성코드 변종 유포...북한발 IP로 확인

을지프리덤가디언 훈련에 따른 북한의 정보수집 가능성 높아    

[보안뉴스 민세아] 오는 18일부터 21일까지 실시되는 ‘2014 을지연습’과 69주년 광복절을 앞두고 지난해에 이어 올해도 북한의 사이버공격으로 추정되는 악성코드 유포 정황이 포착됐다.

해당 악성코드를 유포한 IP 주소는 북한으로 확인되고 있으며, 지난해 방송·금융망 마비를 일으킨 3.20 사이버테러 사태에 이용된 악성코드의 변종으로 드러났다. 이번에 발견된 악성코드는 지난 5월부터 8월까지 꾸준히 유포되고 있으나, 지난 7월 7일, 7월 26일, 8월 6~12일 사이에 특히 높은 수치를 보였다는 게 보안전문업체 하우리 측의 분석이다.

해당 악성코드는 △하드디스크에 있는 자료를 수집해 C&C 서버로 전송하고 △해커가 추가적으로 명령을 내릴 경우 그에 대한 명령을 수행하며 △추가적인 악성코드를 다운로드해 실행하는 등의 악성행위를 수행하는 것으로 알려졌다.  

이번 악성코드 유포는 을지연습과 이와 동시에 진행되는 한미연합군사훈련인 을지프리덤가디언(이하 UFG) 훈련에 위협을 느낀 북한의 정보수집 목적일 가능성이 높다는 지적이다. 

지난해에도 UFG 훈련을 앞둔 상황에서 6.25 사이버테러를 수행한 북한 추정 해커조직이 익명네트워크인 토르(Tor) 기반의 C&C(명령제어 서버) 봇넷을 구축한 사실이 발견된 바 있다.

UFG 훈련은 한반도 우발상황을 가정해 매년 실시하는 한미연합군사훈련으로, 북한은 UFG훈련을 자신들에 대한 군사적 도발행위라며, 맹비난 하고 있는 상황이다. 더욱이 UFG 훈련을 실시하면 강력한 대응조치가 뒤따를 것이라는 위협이 나온 가운데 악성코드 유포정황이 포착돼 더욱 긴장감이 고조되고 있는 것이다.

이와 관련 하우리 최상명 차세대보안연구센터장은 “해당 악성코드가 과거 3.20 사이버테러 당시 국내 전자결제 모듈과 액티브X 취약점을 이용했던 점에 미루어볼 때 액티브X로 설치된 국내 소프트웨어 제품과 백신을 최신 버전으로 업데이트하는 것이 악성코드 위험에서 벗어날 수 있는 최선의 방법”이라고 강조했다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>