소니 해킹 멀웨어 '3.20 사이버테러와 유사점 발견…​ 역시 북한소행?'

아주경제 장윤정 기자 = 최근 소니를 해킹한 공격과 관련, 지난해 국내 3.20 사이버테러 시 사용된 악성코드 공격 분석 결과 기술적인 유사점이 발견됐다.

당시 국내 정부는 3.20, 6.25사이버테러를 북한의 소행으로 지목한 바 있어 이번 소니 해킹 역시 배후에 북한이 있을 가능성이 더욱 높아졌다. 

글로벌 보안업체 시만텍은 '백도어.데스토버(Backdoor.Destover)'가 과거 한국을 겨냥한 표적 공격과 연관되어 있다고 8일 밝혔다.

데스토버는 최근 소니 해킹 공격 시 사용된 멀웨어(malware)다. 데스토버는 특히 감염된 컴퓨터를 완전히 파괴시킬 수 있을 만큼 강력한 멀웨어로 알려졌다. 

데스토버의 일부 샘플이 보고된 C&C(Command-and-control) 서버는 과거 한국을 타깃으로 공격하기 위해 설계된 트로이목마 볼그머(Trojan.Volgmer)가 사용한 서버와 동일한 것으로 조사됐다. C&C 서버를 공유한다는 것은 두 공격의 배후에 동일한 조직이 있는 것으로 볼 수 있다는 것이 시만텍의 분석이다.

특히 주목할 것은 데스토버와 C&C서버를 공유하는 볼그머 버전은 한국 내 특정 대상을 표적 공격하도록 설정됐으며, 한국어를 지원하는 컴퓨터에서만 공격이 진행된다는 점이다.

즉 감염된 컴퓨터의 지역이 한국이 아닌 경우 실행을 종료하도록 설정됐다. 

데스토버 공격자들은 파일명 등 2013년 한국을 공격한 조크라 공격과 유사한 기법과 컴포넌트를 사용하고 있다. 3.20 사이버테러 당시 조크라 공격은 국내 은행과 방송국의 서버는 물론 통신사의 홈페이지를 마비시켰다.

지난해 시만텍은 조크라 공격이 사이버공격집단 '다크서울'에 의해 사용된 도구라고 밝힌 바 있다. 다수의 전문가들에 따르면 '다크서울'의 배후 집단을 특정하기는 어렵지만 일부는 배후에 북한이 있다고 지목하는 분위기다.

시만텍에 따르면 '다크서울'이 6.25 사이버 공격을 포함해 지난 4~5년간 국내에서 발생한 주요 공격을 주도해 왔으며, 지난해 3월 국내 주요 은행과 방송사의 컴퓨터 하드 드라이브를 삭제하며 엄청난 피해를 입힌 조크라 3.20 공격과 5월에 발생한 국내 금융기관 대상의 사이버 공격도 '다크서울'과 관련있다는 분석 결과를 내놓은 바 있다. 

그러나 시만텍측은 소니 해킹의 배후에 북한이 있다는 직접적인 지목은 피하고 있다. 

시만텍의 한 관계자는 "국내 정부가 3.20, 6.25의 공격 배후를 북한이라고 지목한 이유는 북한에서 사용한 특정 IP때문"이라며 "과거 3.20, 6.25사이버테러 공격 시 사용된 악성코드 분석 결과 기술상의 유사점이 발견된 것 뿐 배후를 북한이라고 단정짓기는 어렵다"고 북한을 특정한 언급을 피했다. 
 

지난 4~5년간 다크서울이 주도한 사이버공격 [자료 = 시만텍 ]