올해 6월 유럽에 있었던 공격, 팔로 알토가 멀웨어 분석
다크 서울 때 사용되었던 멀웨어와 상당히 흡사 - 과연 북한?

[보안뉴스 문가용] 2013년, 우리나라의 방송국, 금융기관, 정부기관들의 전산망이 해킹 공격으로 인해 대규모로 마비되는 일이 발생했다. 당시 이 사건은 보안 업체에 따라 다크 서울(Dark Seoul) 혹은 트로이 작전(Operation Troy)이라고 불리며 대서특필되었고 단지 정보를 빼돌리는 것이 아니라 마스터 부트 기록까지 지우는 기능을 가진 멀웨어가 사용되었다는 사실이 발견되면서 ‘남한에 악감정을 가지고 있는 북한’이 배후 세력으로 지목되었다(물론 이것이 북한을 지목하는 이유의 전부는 아니다).


이 공격을 분석하던 맥아피(McAfee)는 이 공격에서 티드랍(TDrop)이라는 이름의 멀웨어를 발견했다. 탐지도구를 회피하는 기능을 가진 것이었다. 하지만 의혹은 의혹으로만 남았을뿐 북한이 계속해서 자신들은 범인이 아니라고 부정을 하는데 명확한 증거도 없이 북한을 몰아붙일 수도 없었고, 다크 서울 공격은 그 후로 2년 동안 재발하지 않았다.

그러나 2015년 6월 주로 유럽에 있는 유통회사 및 교통 관련 기관들에 가해진 공격을 수사하던 팔로알토 네트웍스(Palo Alto Networks)는 이 티드랍과 아주 비슷한 멀웨어를 발견했다. 자세한 내용은 팔로 알토의 블로그에 나와 있다. 그것을 바탕으로 팔로 알토는 “2013년 다크 서울을 감행했던 조직이 다시 돌아왔다”고 주장하고 있다. 팔로 알토는 이번에 발견한 멀웨어에 티드랍2라는 이름을 붙였다. “두 멀웨어의 기능과 행동패턴이 흡사합니다. 베이스64 알파벳을 사용하고 있으며 복호화 과정 역시 비슷합니다. 네트워크 커뮤니케이션 방식은 완전히 동일했고요. 독특한 POST separator string인 6e8fad908fe13c 역시 두 멀웨어 모두에서 발견되었습니다.”

그러나 팔로 알토는 ‘북한’이라고 지목하는 것에는 조심스러운 입장이다. “멀웨어가 비슷하다고 해서 2013년 맥아피가 지목한 그룹과 이번 그룹이 동일한 세력이라고 결론 내릴 수는 없습니다. 비슷한 부분도 존재하는 만큼 차이점도 분명히 있기 때문입니다. 예를 들어 공격의 표적이 바뀌었다는 건 대단히 중요한 차이점이죠. 다만 저희는 차이점보다 유사성이 더 많다는 입장입니다.”

또한 팔로 알토는 “원래 대중에게 알려진 후에 해킹 단체가 수년 간 공격을 멈추었다가 표적을 바꾸어 다시 나타나는 건 흔히 있는 일입니다. 그러나 비슷한 툴을 해킹 단체끼리 서로 나눠 쓰거나 돌려쓰는 일은 거의 없습니다”라며 은근히 배후 세력을 가리키며 보고서를 마무리 지었다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>