2022-08-12 05:40 (금)
“3.20 연관 악성코드 공격, 이미 5월 5일부터 시작”
상태바
“3.20 연관 악성코드 공격, 이미 5월 5일부터 시작”
  • 길민권
  • 승인 2013.06.04 20:25
이 기사를 공유합니다

빛스캔 “5월 31일 사전에 차단했다는 악성코드, 5월 23일부터 출현”
3.20 사이버테러와 연관된 악성코드가 5월 31일 이전인 5월 5일부터 감지됐다는 주장이 제기됐다.
 
빛스캔(대표 문일준) 측은 “지난 5월 29일, 국내 보안기업의 전문가가 단독 인터뷰를 통해 3월 20일 국내 방송사와 금융사를 공격했던 사이버 해킹 조직이 활동을 재개했다고 밝힌 바 있다. 이러한 주장의 배경에는 다운로드되는 악성파일, 감염된 PC가 연결하는 C&C 네트워크 정보, 해킹 조직이 사용하는 고유한 식별번호 8자리 숫자 등이 있다”고 설명했다.
 
또한 “6월 4일 다수의 언론에서 3.20과 유사한 악성코드가 발견 되었고 5.31일 발견과 동시에 연결 주소를 차단하여 사전 차단의 귀감이라는 기사가 발표되고 있다”며 “개인 SNS 페이지를 통해 공개된 C&C 주소를 비교한 결과 이 공격이 최초 5월 5일부터 감지가 되었으며, 최근 국가 기관 및 보안 업체가 5월 31일 사전에 차단했다고 밝힌 악성코드 또한 5월 23일부터 출현하기 시작한 것임을 확인했다”고 밝혔다.  
 
◇초기 공격 동태=빛스캔 측에 따르면, 5월 5일 자정 직전에 국내 xxx 웹사이트에 최초 유포된 것이 관찰되었으며, 전체적으로 최소 1곳 이상의 웹사이트에서 악성코드를 유포했다고 한다.
 
◇본격적 공격 동태=5월 23일 오후 10시 경에 국내 일반 민간 웹사이트에 최초 유포된 것이 관찰되었으며 군 관련 모임 사이트를 포함해 전체적으로 최소 19곳 이상의 웹사이트에서 악성코드를 유포했다는 것.
 
더불어 “일부 언론에 따르면 모 백신업체가 5월 30일 해당 악성코드를 입수 및 분석하고 정부기관과 공조하여 백신이 대응할 수 있도록 업데이트, C&C 네트워크와의 연결 차단 등의 대책을 성공적으로 마무리하였다고 자평하고 있다”며 “하지만 최초 공격 시점과는 약 25일, 본격적인 공격으로부터는 약 7일 정도의 시간적 차이가 있음을 알 수 있다. 이를 통해 악성코드를 효과적으로 수집 및 대응하는 절차 상에 빈틈이 있을 수 있다는 반증이기도 하다. 이 점은 지난 3.20 사이버 테러 발생 때에도 동일하게 재현되었다”고 말했다.
 
빛스캔 측은 “당사는 이러한 사실을 바탕으로 5월 4주차에 인터넷 위협 수준을 경고로 상향 조정해 정보제공 서비스 가입 기관/기업에게 정보를 제공 하고 있으며, 심각한 사안에 대해서는 공개용으로 정보를 제공하고 있다”며 “위협레벨 상향이후 이미 확인된 C&C에 대한 정보들중 일부를 5월 30일자로 공개를 한바 있다. 이중에는 3.20 공격과 연관된 악성코드가 명령을 받는 것으로 알려진 C&C 주소도 일부 포함 되어 있다. 공개 목록은 본 자료의 상세 자료와 5월 30일 2차 정보공유시에 공개된 목록을 확인해 보면 경고 등급 상향 이후 수집된 정보에 포함되어있음을 확인 할 수 있다”고 전했다.    
 
데일리시큐 길민권 기자 mkgil@dailysecu.com