6월 25일 정부기관 대상 DDoS 공격을 유발한 악성코드가 웹하드 2곳(심XXX, 송XX)에서 유포됐다. 이에 하우리 선행연구팀 최상명 팀장은 “송XX에서는 최초 19일부터 해당 악성코드가 유포됐고 심XXX에서는 25일 00시부터 유포됐다”고 분석했다.
 
그는 “19일부터 관련 악성코드가 여러 번 변경되면서 유포된 것으로 분석됐다. 즉 공격자들은 적어도 6일 전부터 이번 공격을 준비한 것으로 추정할 수 있다”며 “한국 정부기관의 DNS 주소까지 모두 알고 있었다는 것은 예전부터 많은 준비를 해오고 있었다는 증거”라고 설명했다.

 
또 “이번에 공개된 새누리당 정보도 과거 명단인 것으로 보면 이미 예전에 해킹한 것을 이번에 공개한 것으로 판단되고 청와대도 25일 당일날 해킹한 것이 아니라 수개월 전부터 준비해서 이미 해킹에 성공한 후 6.25에 맞춰 이미지 변조만 한 것으로 보인다”고 덧붙였다.
 
◇3.20과 6.25 사이버공격은 동일 조직의 소행일 가능성 커=한편 이번 6.25 공격과 지난 3.20 사이버 공격 간의 연관성에 대해 “악성코드만 봤을 때는 사용된 인스톨러 구조가 3.20때 사용한 메커니즘과 유사한 것을 알 수 있다. 그리고 3.20 공격자들도 CNC서버(중간명령제어서버)를 IceWarp 웹메일 서버를 뚫어서 이를 CNC서버로 사용했다. 지난 5월 30일 공격도 IceWarp 서버를 CNC서버로 사용했으며 이번 6.25 공격에서도 IceWarp 서버를 CNC서버로 활용해 DDoS 공격을 가했다. 즉 공격자들은 IceWarp 서버의 취약점을 가지고 있다는 것이 명백하다. 그래서 매번 공격할 때마다 IceWarp 서버를 CNC서버로 활용해 공격을 하고 있다”며 3.20과 이번 공격이 동일한 공격조직에 의한 소행으로 추정했다.
 
즉 “3.20 사이버테러가 북한의 정찰총국 소행인지 아니면 다른 조직의 소행인지 명확하게 말 할 수는 없지만 3.20 공격과 이번 6.25 사이버공격은 동일한 조직에서 자행한 공격일 가능성이 크다”고 밝혔다.
 
그 근거로 악성코드 유포 방식에서도 유사점이 발견된 점이다. 최 팀장은 “악성코드 유포 방식만 봐도 유사성을 알 수 있다. 즉 웹하드 업체 파일다운로드 프로그램을 바꿔치기 해 유포한 방식도 7.7과 3.4 그리고 3.20 때와 유사하다”며 한편 “악성코드 자체에 DDoS 공격 타이머를 내장한 것도 7.7이나 3.4때와 유사하다는 것을 알 수 있다”고 설명했다.
 
◇악성코드에 실행압축 프로그램 더미다 사용=또한 악성코드 분석결과 3.20 때와 다른 점도 드러났다. 바로 이번 6.25 사이버공격용 악성코드에 실행압축 프로그램 더미다(Themida)를 사용했다는 점이다.
 
최 팀장은 “일반적으로 악성코드 공격자들이 실행압축 프로그램인 Themida(더미다)를 사용하는 이유는 분석을 어렵게 하기 위해서다. 하지만 북한은 실행압축을 거의 사용하지 않았다. 왜냐하면 분석가들로부터 악성코드로 의심을 살 수 있기 때문”이라며 “하지만 최근에 변화가 생겼다. 북한 공격자들이 실행압축을 지난 4월부터 사용하기 시작했다. 이를 지난 4월부터 계속 분석해 왔다”고 밝혔다.
 
최근 북한 공격자들이 실행압축을 사용하는 이유에 대해 그는 “3.20때 너무 많은 악성코드들이 노출됐기 때문에 악성코드 분석되는 것을 보호하려는 차원도 있을 것이고 6.25 공격처럼 단기전에는 실행압축이 악성코드로 의심을 받더라도 분석이 어렵기 때문에 바로 공격 성공이 가능하기 때문일 것이다. 3.20처럼 장기적인 계획을 세우고 공격하려 했다면 실행압축을 사용하지 않았을 것이다. 즉 공격자들의 악성코드 개발이 점점 발전하고 있다는 것을 알아야 한다. 이번 악성코드만 보면 7.7이나 3.4 그리고 3.20과 유사성을 발견하기 힘들 수도 있다. 하지만 지난 6~7년간 북한 공격자들의 악성코드를 분석해 온 결과 이번 공격도 3.20 사이버테러 공격조직과 동일하다는 것을 추정할 수 있다”고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com