시만텍, “최근 4년간 전산망 공격 배후는 동일 집단”

지난 25일 발생한 전산망 공격의 배후가 3.20 당시 언급된 ‘다크서울’과 관련이 있는 것으로 보이는 징후가 포착됐다. 심지어 이들은 수년 전부터 지속적으로 활동해온 것으로 알려져 충격을 주고 있다.

 

시만텍은 6.25 전산만 공격과 관련한 분석 결과를 내놓으면서 대한민국 정부 웹사이트를 겨냥한 디도스(DDoS) 공격 가운데 하나가 다크서울 공격집단 및 ‘카스토브(Castov)’ 트로이 목마와 관련이 있다고 밝혔다.

 

특히 시만텍은 다크서울을 지난 4년간 국내에서 발생한 주요 해킹 공격을 주도해온 세력으로 지목했다. 지난 3월 20일 국내 주요 은행과 방송사의 PC 하드드라이브를 삭제하며 엄청난 파장을 일으켰던 ‘조크라(Jokra)’ 공격과 5월에 발생한 국내 금융기관 대상 전산망 공격도 다크서울과 관련이 있다고 분석했다. 이들의 행적은 2009년 7.7 디도스 사태로까지 거슬러 올라간다.

 

▲최근 4년간 다크서울이 주도한 사이버 공격(자료= 시만텍).

 

다크서울의 전산망 공격 패턴을 살펴보면 역사적으로 중요한 날짜에 디도스 공격을 감행하고 하드드라이브를 삭제하는 유사한 공격 방식을 취하고 있다는 분석이다. 이전에도 다크서울은 미국 독립 기념일에 디도스 공격과 데이터 삭제 공격을 감행한 바 있다.

 

다크서울이 주도한 공격에 대해 시만텍이 분석한 주요 특징은 ▲국내 주요 기관 및 시설을 겨냥한 조직적인 다단계 공격 ▲하드드라이브 데이터 삭제 및 역사적으로 중요한 날짜에 실행되도록 설정된 디도스 공격과 같은 파괴적인 페이로드 ▲정치적 성향의 문구로 디스크 섹터 덮어쓰기 ▲조직 내 네트워크를 통한 확산을 위해 합법적인 제 3자의 소프트웨어 업데이트 매커니즘 이용 ▲특정 암호화 및 난독화 방식 이용 ▲유사한 명령제어(C&C) 구조 이용 등이다.

 

다크서울이 실행한 공격들은 고도의 인텔리전스와 조직적인 협력을 필요로 하며, 일부 공격들은 기술적 정교함을 보여주고 있다. 정부는 그 배후에 북한이 있다고 지목하고 있으나 현재까지는 다크서울의 배후 집단을 특정하기란 어려운 상황이다.

 

시만텍은 다크서울과 북한의 연관성에 상관없이 이들이 정치적 동기에 기인하고 있고, 국내 주요 기관들에 대한 사이버사보타주 행위를 지속하기 위해 필요한 금융 지원을 받고 있는 것으로 의심되는 만큼 앞으로도 다크서울의 공격이 지속될 수 있다고 경고했다.

 

윤광택 시만텍코리아 이사는 “국가 규모의 사이버사보타주 공격은 매우 드물며 기존에 알려진 국가 규모의 사이버사보타지 공격으로는 ‘스턱스넷’ 및 ‘샤문(Shamoon)’ 공격을 들 수 있다”며 “하지만 다크서울은 수년간 주요 기관 및 시설에 피해를 입힐 만큼 독보적인 공격 능력을 갖추고 있다는 점에서 지속적인 주의와 대응 태세가 요구된다”고 말했다.

 

노동균 기자 yesno@it.co.kr

상품지식 전문뉴스 미디어잇