북한 소행으로 드러난 3.20 사이버테러에 사용됐던 악성파일과 유사한 형태의 파일이 최근 발견돼 당국이 C&C 서버를 차단하는 등 관련 조치를 취했다.

백신 프로그램을 개발·공급하고 있는 이스트소프트에 따르면 최근 감염된 컴퓨터의 각종정보를 수집해 외부로 유출하는 기능을 하는 악성파일이 발견됐다.

특히 이 악성파일은 공격적 파괴기능을 갖고 있진 않지만 사전 정보수집과 잠입침투 활동을 수행하는 것으로 의심되고 있다. 기밀 자료들을 수집하는 스파이 활동을 한다는 설명이다.

이들은 기존에 알려져 있지 않은 악성파일과 보안취약점(Zero-Day)을 이용해 ▲주요 웹 사이트 침투 ▲자료 수집 ▲ 공격수행(DDoS 공격, 자료파괴) 등의 활동을 반복하며 은밀하게 각종 기밀자료를 확보해 정보전의 기초자료로 활용한다.

이스트소프트 관계자는 "며칠 전 3. 20 전산망 테러조직들과 연관된 것으로 의심되는 이상징후를 최초 포착하고 잉카인터넷의 사이버테러 분야 전문가와 합동으로 면밀한 조사를 진행했다"며 "악성파일 형태와 공격기법 등이 기존 3. 20 전산망 테러조직들이 과거부터 이용했던 코드구조와 거의 일치한다는 결론을 도출했다"고 밝혔다. 

악성파일 제작 시점은 지난 5월30일과 31일인 것으로 분석됐다. 테러조직들이 각종 정보수집 활동을 최근까지도 은밀하게 이어가고 있었다는 것을 짐작할 수 있다는 게 이스트소프트 측 설명이다.

안랩 역시 해당 악성코드에 대한 분석 자료를 최근 발표했다. ▲감염된 PC의 시스템 정보를 수집하는 것 ▲PC를 감염시켜 공격자로부터 정보 수집·유출 등 원격 명령을 받는 것 등 총 2종의 악성코드와 C&C서버 5개가 발견됐다는 설명이다.

해당 악성코드 유포는 특정 프로그램의 서버 침해, 서버 내 악성코드 설치, 해당 프로그램 실행 시 악성코드 자동 다운로드 순으로 이뤄졌으며, 서버 침해를 당한 업체에는 즉시 보안 조치가 취해졌다고 안랩 측은 밝혔다.

안랩 관계자는 "이번 경우는 북한 소행으로 추정되는 3.20사태의 악성코드 제작자와 동일한 것으로 추정돼 관심을 끌었던 것으로 생각한다"며 "정부 차원의 신속한 선행조치로 C&C 서버 등이 차단됐고 감염이 확산되지 않은 것으로 분석되며, 현재 악성코드가 확산되지 않고 차단됐기 때문에 변종에 대한 모니터링을 강화하고 있다"고 전했다.

한편 보안업체들의 신고를 받은 한국인터넷진흥원(KISA)은 지난 주말 악성코드가 배포된 사이트에서 해당 악성코드들을 삭제했으며 C&C 서버의 IP를 차단하는 작업을 진행했다. 또한 악성파일을 다운로드 했을 것으로 예측되는 사용자들을 식별해 전용백신을 배포했다.

전길수 KISA 침해사고대응단장은 "악성코드 제작에 따르는 고유 특성들이 3.20 때와 유사하긴 하지만, 제작 방법이 동일하다고 해서 3.20 때와 동일조직의 소행이라 단정짓기는 어렵다"며 "누가 공격했는가보다 중요한 것은 (악성코드를) 빨리 차단해 피해가 확산되는 것을 막는 것"이라고 말했다.

현재 KISA는 3.20 사이버테러에 사용됐던 유사 악성코드와 유사 취약점 악용 공격들의 출현 여부를 주요 사이트 중심으로 집중 모니터링하고 있다.