북한의 소행으로 의심되는 악성코드가 발견돼 정부와 보안업체가 대응에 나섰다.
4일 보안업계와 정부 등에 따르면 지난주부터 북한 추정 악성코드 2종이 발견돼 즉각 차단 조치가 취해졌다. 이 악성코드는 지난 3.20 사이버테러에 이용된 악성코드와 유사한 패턴으로, 배후가 북한으로 추정되고 있다.
보안업계 관계자는 "'북한 제작 추정 악성코드'라고 볼 수 있는 것은 악성코드가 지난 사이버공격에서 즐겨 사용하는 형태를 갖고 있고, 공격자와 (악성코드의) 통신시 사용하는 고유한 인자값(프로그램 구동에 대한 옵션) 패턴이 동일하기 때문"이라고 말했다.
이번 악성코드는 테스트 목적과 원격명령 및 정부유출 목적 두가지 종류로, 테스트 목적의 경우 감염된 PC의 시스템 정보를 수집하는 기능을 한다. 원격명령 및 정보유출 목적의 악성코드는 일단 감염되면 공격자가 통신을 통해 원격으로 감염된 PC에서 정보수집, 유출 등 공격명령을 내릴 수 있다.
특히 조사 결과, 악성코드와 공격자 간 통신을 위한 C&C(Command & Control )서버도 5개 발견됐다.
이번 공격은 3개 사이트를 경유지로 이용하고 있으며, 한 인터넷 뉴스 사이트에 접속하면 다른 파일공유 사이트로, 이 파일공유 사이트에서는 정보통신 공제조합 사이트로 접속이 유도된다. 정보통신공제조합에 숨어 있는 악성코드가 접속자의 PC를 감염시키는 것으로 보인다.
현재 서버 침해를 당한 업체는 이 사실을 포착하자 마자 보안조치를 취해 완료된 상황이다.
보안업체 관계자는 "현재 추가적인 감염 사례가 발견되지 않았으며, 변종에 대한 모니터링을 강화하고 있다"며 "이번 경우 정부차원의 신속한 조치로 C&C 서버가 차단돼 감염이 확산되지 않을 수 있었다"고 말했다.
yjjoe@fnnews.com 조윤주 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지