자료수집용 악성코드로 드러나...18개 IP 접속 흔적 포착

[보안뉴스 김경애] 대한민국 국방부 훈령상 가급 국가중요시설로 분류된 한국과학기술연구원(KIST) 웹사이트에 악성파일이 올라간 정황이 포착됐다. 더욱이 최근 한미합동훈련인 키 리졸브 연습과 독수리훈련으로 인해 북한의 반발이 커지고, 이에 따른 사이버공격 위협이 높아지고 있는 상황에서 발생한 일이라 더욱 예사롭지 않다는 지적이다.

악성파일은 지난 4일 오전 8시경 발견됐으며, 악성코드가 제작된 시간은 지난 2일 오후 5시 58분경쯤으로 파악됐다. 그러나 마지막으로 수정된 시간은 2일 오후 4시58분경으로 조작된 것으로 추정되며, 바이러스 토탈에 등록된 시간은 지난 5일 오후 3시 39분경으로 확인됐다.

이와 관련 한 보안전문가는 “KIST의 특정 웹페이지 접속시 악성파일을 다운로드 받을 수 있는 다른 KIST 웹페이지로 접속된다”며 “이는 공격자가 의도적으로 악성파일이 다운로드 되도록 이동시킨 것으로 악성파일에 감염되면 캐나다, 미국, 영국, 독일, 뉴질랜드 등 18개의 IP로 접속된다”고 설명했다.

그러면서 그는 “18개 IP로 접속된 곳이 C&C 서버로 운영되거나 경유지로 악용될 수 있다”며 “몇 개는 자료 전송용, 몇 개는 추가 악성코드 다운로드 등을 통해 시스템을 장악하거나 정보를 탈취할 수 있다”고 추측했다.

본지가 해당 악성파일을 백신업체 보안전문가에 의뢰·분석한 결과에 따르면 자료수집용으로 파악됐다. 즉, 악성코드에 감염되면 내부 시스템 자료가 18개 IP로 전송될 수 있다는 것.

이와 관련 한 보안전문가는 “해당 악성코드는 외부에서 접속하는 접속자를 감염시키는 드라이브 바이 다운로드(DBD) 방식이 아니”라며 “4일 발견되고, 해당 IP가 차단된 정황을 봐선 공격자가 이미 자료 탈취한 후 빠져나간 것으로 보인다”고 진단했다.

이에 대해 KIST 관계자는 5일 본지와의 통화에서 “웹서버 PC 1대에서 악성코드가 발견됐는데, 웹서버는 외부 공개용이라 개인정보나 중요 기밀문서는 포함돼 있지 않다. 이 때문에 중요 기밀문서가 빠져나갈 위험성은 낮다”며 “네트워크 차단 조치를 취했고, 현재 경찰에서 수사 중에 있다”고 설명했다.

하지만 이번 사태를 두고 쓴 소리가 적지 않다. 한 보안전문가는 “국가기관 웹사이트에 악성코드가 버젓이 업로드 되어 있는데, 모니터링을 통해 잡아내지 못한다는 것은 문제가 있다”며 “지난해 국방과학연구소와 재향군인회의 개인정보 유출사건을 경험하고도 달라진 게 없다”고 지적했다.

군 관계자는 “군 관련 기관의 경우 일정 수준 이상의 보안 시스템이 구축돼 있는 반면, 시스템을 효과적으로 운영할 수 있는 전문인력이나 기술력은 미흡한 실정”이라며 “이를 제대로 관리하지 못하기 때문에 보안이슈가 발생하는 것”이라고 지적했다.

한 보안업계 관계자는 “고도의 기술을 요하는 특별한 공격보다는 대부분 공격하기 쉬운 취약한 곳을 노리는 경우가 많다”며 “군 관련 기관의 경우도 의외로 취약한 부분이 많다”고 지적했다.

또 다른 보안전문가는 “공격자가 어떤 의도에서 악성파일을 올렸는지 알 순 없지만 만약 외부에서 악성코드를 올릴 수 있었다면 취약점이 있다는 것이며, 이럴 경우 단순히 악성코드만 제거할 게 아니라 근본적인 원인 분석을 통해 취약점을 해결해야 한다”고 밝혔다. 또한, 그는 “내부에서 정보유출 목적으로 올렸을 가능성도 배제할 수 없기 때문에 내부자 소행인지 외부 해커인지가 중요한 관건”이라며 경찰조사 결과를 지켜봐야 한다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>