6.25 사이버테러를 일으킨 것으로 추정되는 조직이 을지훈련 기간 중 DDoS 악성코드를 추가로 유포한 정황이 포착됐다.  하우리(대표 김희천 www.hauri.co.kr)는 19일부터 시작된 을지프리덤가디언(UFG) 연습 기간 중인 20일 오전, 6.25 사이버테러 조직이 DDoS 악성코드를 추가로 유포한 것을 확인했다고 밝혔다.
 
하우리는 지난 7일 한미합동군사훈련인 을지프리덤가디언(UFG) 연습을 앞두고 6.25 사이버테러를 수행한 동일 조직이 Tor C&C 봇넷을 구축하고 있음을 확인한 바 있다. 을지프리덤가디언 훈련이 시작되는 19일을 전후하여 해당 조직이 목표로 하는 DDoS 공격, 시스템 파괴, 기밀정보 절취 등과 같은 어떠한 액션을 취할 것으로 예상하여 Tor C&C 서버에 대한 지속적인 모니터링을 수행하였다.
 
그 결과, 20일 오전 9시 23분 19초에 6개의 Tor C&C 서버 중 1대가 오픈 되었으며, 해당 C&C 서버를 통해 11시 13분 37초에 체코에 위치한 서버로부터 DDoS 악성코드를 다운로드한 것을 발견했다.
 
Tor C&C 서버를 통해 유포된 악성코드는 다양한 악성행위를 수행하는 명령어들이 존재하며 특정 타깃에 대한 DDoS 공격, 키로깅, 화면 캡쳐, 추가 악성코드 다운로드 및 실행 등 악성행위들을 수행하는 것으로 조사됐다.
 
또한 해당 악성코드는 기존에 국방 관련 섹터에서 발견되던 악성코드의 변종 시리즈로 확인되었다.
 
하우리 선행연구팀 최상명 팀장은 “현재 해당 악성코드를 가장 빠르게 탐지해 정부당국과 정보를 공유하였으며, 이번 악성코드 유포에 대한 조기 발견은 Tor C&C 서버에 대한 지난 7일부터 지속적인 모니터링 결과의 성과”라며 “앞으로도 꾸준히 조기 탐지 및 모니터링 체계를 구축하여 신속한 사전대응이 가능하도록 힘을 쓰겠다”고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com