하우리 "3.20 사이버테러 후 진화"… 정부 사이버위기경보 단계 상향
6.25 정부기관망을 겨냥한 디도스(DDoS) 공격에 악용된 악성코드가 북한 해커들의 제작기법과 유사하다는 분석결과가 나왔다.
25일 보안 전문가들에 따르면, 이날 국가정보통신망(정부기관망)을 겨냥해 디도스 공격을 수행한 악성코드 샘플을 분석한 결과, 제작기법과 구현방식 등에서 북한 해커들이 주로 사용해왔던 유사패턴이 발견됐다.
최상명 하우리 선행연구팀장은 "3. 20 사이버테러 이후 지난 4월부터 북한발 악성코드들이 진화한 패턴이 이번 디도스 공격용 악성코드에도 그대로 적용됐음을 확인했다"고 밝혔다.
가령, 악성코드를 설치하는데 필요한 설치파일 패키지가 북한 해커들의 고유방식이 적용됐으며, 암호화 알고리즘 역시 최근 발견된 북한발 악성코드와 동일하다는 설명이다. 아울러 이번 악성코드는 25일 오전 10시부터 일시에 특정 서버에 공격을 가할 수 있도록 타이머 기능을 내장했는데, 이 또한 3.20 사이버 테러 당시와 비슷하다.
이번 악성코드는 국내 웹하드 서비스의 웹사이트를 통해 유포된 것으로 확인됐다. 이 또한 과거 북한발 악성코드가 유포돼왔던 방식과 유사하다는 지적이다.
최 팀장은 "3.20 사이버테러 발생 이후 악성코드에 암호화 알고리즘을 적용하거나 새로운 기능을 추가하는 등 스타일이 크게 바뀌어왔다"며 "이번에 발견된 코드도 이의 연장선으로 보인다"고 밝혔다.
최상명 팀장은 지난 5년간 북한과 중국발 악성코드를 집중 연구해왔던 보안 전문가다.
한편, 정부는 이날 오후 3시40분부로 사이버 위기 경보를 '주의' 경보로 한단계 상향 조정했다.
이에 앞서 국가 사이버위협 합동대응팀은 정부기관 및 언론사, 방송사 등에 대한 인터넷 서버 침투, 홈페이지 변조 등 해킹공격에 대응해 피해기관에 대해 긴급복구에 나서는 한편, 악성코드 유포지와 경유지를 차단하고, 유출된 개인정보 유포사이트 3곳을 차단 조치했다.
현재 합동대응팀은 피해기관을 대상으로 해킹원인 및 경로 규명 등 원인조사 중이다.