이스트소프트에 따르면, “최근 3.20 해킹을 주도했던 조직들이 사용한 악성파일과 유사한 형태의 파일이 발견되었다”며 “이번에 발견된 악성파일은 공격적 파괴기능을 보유하지는 않았으나, 감염된 컴퓨터의 각종정보를 수집해 외부로 유출하는 기능으로 분석된다. 사전 정보수집 및 잠입침투 활동을 수행하는 것으로 의심되고 있다. 일종의 기밀 자료들을 수집하는 일련의 스파이 활동으로 추정된다”고 밝혔다.
 
즉 “이들은 기존에 알려져 있지 않은 악성파일과 제로데이 등 보안취약점을 이용해서 꾸준히 주요 웹 사이트 침투, 자료수집, 공격수행(DDoS 공격, 자료파괴) 등의 활동을 반복하며 은밀하게 각종 기밀자료를 확보해 정보전의 기초자료로 활용하고 있는 상태”라고 주장하고 있다.
 
이와 관련, 이스트소프트는 며칠 전 3. 20 전산망 테러조직들과 연관된 것으로 의심되는 이상징후를 최초 포착했고, 잉카인터넷의 사이버테러 분야 전문가와 합동으로 면밀한 조사를 진행했다고 한다. 분석결과, 악성파일 형태와 공격기법 등이 기존 3. 20 전산망 테러조직들이 과거부터 이용했던 코드구조와 거의 일치한다는 결론을 도출했다는 것.
 
업체 관계자는 “3. 20 전산망 테러조직들이 이용하는 악성파일 형태로 분석된 이후 잉카인터넷과 이스트소프트 양사의 보안전문가들은 국가적 보안위협은 기업간의 이념과 경쟁을 초월해 합동대응이 필요하다는 공통적 신념아래, 이례적으로 양사합동으로 온라인 연합팀을 특별 구성해 긴급 조사작전을 진행했다”며 “그 과정에서 규명된 신규 악성파일과 최신 공격기법을 유관기관에 빠르게 통보해, 사이버 테러조직들의 신종 악성파일 전파와 최신 공격기법 상황을 조기에 탐지하고 차단 조치하기 위해 노력했다”고 밝혔다.
 
이들 업체 합동팀은 이번에 발견된 악성파일은 코드가 새롭게 변형되었지만, 3. 20 전산망 마비를 포함해서 그 이전부터 이용된 바 있는 악성파일의 흔적과 기법이 거의 동일해 해당조직이 개발한 것으로 최종결론을 내린 상태이다. 한편 설치되는 악성파일은 지난 5월 30일과 31일에 제작된 사실도 분석된 상태다.
 
업체 관계자는 “3.20 테러조직들은 각종 정보수집 활동을 최근까지도 은밀하게 이어가고 있다는 것을 예상할 수 있고, 언제든지 사이버 공격을 감행할 수 있다는 점에 주목하고 철저한 대비와 관심이 필요하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com