2019-12-08 17:41 (일)
북한추정 악성코드, 선행조치는 완료…변종 주시중!
상태바
북한추정 악성코드, 선행조치는 완료…변종 주시중!
  • 길민권
  • 승인 2013.06.04 19:56
이 기사를 공유합니다

테스트 목적용과 원격명령 및 정보유출 목적 2종류로 분석
3.20과 연관된 것으로 보이는 북한추정 악성코드가 다시 이슈가 되고 있다. 보안업체들은 3.20과 연관된 악성코드가 다시 움직이고 있으며 3.20 사이버테러를 일으킨 것으로 추정되는 조직이 다시 정보수집에 나서고 있다고 발표한 때문이다.
 
이에 안랩은 “최근 다양한 미디어에서 언급한 ‘북한 제작 추정 악성코드는 ‘테스트 목적’과 ‘원격명령 및 정보유출 목적’의 2가지 종류”라며 “이번 악성코드의 제작자를 구분할 수 있었던 것은 악성코드 제작자가 공격 시 즐겨 사용하는 형태를 유지하고 있고, 공격자와 악성코드의 통신시 사용하는 고유한 인자값 패턴이 동일하다는 점 때문”이라고 설명했다.
 
각각의 악성코드에 대한 내용은 다음과 같다.
◇테스트 목적 악성코드=이 악성코드의 주요 기능은 감염된 PC의 시스템 정보(컴퓨터 이름 등등)를 수집하는 기능이다. 이외의 기능은 없다. 악성코드 유포 및 감염 경로는 확인 된 바 없다.
 
◇원격명령 및 정보유출 목적 악성코드=이 악성코드에 감염되면 공격자가 통신을 통해 원격으로 감염된 PC 에서 정보수집, 유출 등 공격 명령을 내릴 수 있다. 또한 악성코드-공격자 간 통신을 위한 C&C 서버도 5개가 발견되었다.
 
또 “해당 악성코드의 유포 과정은 서버 침해->서버 내 악성코드 설치->해당 프로그램 실행 시 악성코드 자동 다운로드 순으로 이루어졌다”며 “현재 서버 침해를 당한 업체는 해당 내용 확인 즉시 보안조치가 완료되었다”고 덧붙였다.  
 
이 두 가지 악성코드에 대해 안랩은 국가기관과 공조해 해당 악성코드 입수 즉시 대응 및 엔진 업데이트를 5월 31일자에 적용 완료했다고 전했다.
 
또한 지난 주 해당 악성코드 대응을 위한 엔진 업데이트를 마친 후 현재까지 추가적인 감염로그가 발견되지 않아 전혀 악성코드가 확산되지 않았음을 확인했다.
 
이번의 경우 정부차원의 신속한 선행조치로 C&C 서버(악성코드 제작자와 악성코드 간 통신을 위한 서버. 이 서버를 통해 악성코드 제작자는 악성 행위 명령 및 제어를 실행함)등이 차단되었고 감염이 확산되지 않은 것으로 분석하고 있다.
 
안랩은 “사용자 관점에서 피해 최소화를 위한 과학적 분석과 신속한 대응이 무엇보다 중요하다고 생각하며 불필요한 사회 불안을 야기하지 않는다는 원칙을 가지고 있다”며 “안랩을 비롯한 보안회사는 매일 새롭게 쏟아지는 15~50만개의 악성코드에 대한 대응을 하고 있으며, 피해확산 조짐이나 위험이 보이지 않거나 선제조치가 된 경우 통상적인 악성코드 대응으로 판단하고 외부에 알리지 않는다”고 입장을 밝혔다.
 
현재 악성코드가 확산되지 않고 차단되었기 때문에 변종에 대한 모니터링을 강화하고 있다고 전했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com