- ‘다크서울’이  6.25 사이버공격 포함, 과거 7.7디도스 공격, 3.4디도스 공격 등을 주도한 것으로 밝혀져

[디지털데일리 이민형기자] 지난 25일 정부기관 홈페이지를 공격한 해킹그룹 중 하나가 ‘다크서울(DarkSeoul)’과 깊은 관련이 있는 것으로 조사됐다.

시만텍(www.symantec.co.kr)은 최근 청와대 홈페이지 변조, 디도스(분산서비스거부, DDoS) 공격과 관련해 추가적인 분석 결과를 공개했다.

시만텍은 ‘다크서울’이 6.25 사이버 공격을 포함해 지난 4년간 국내에서 발생한 주요 공격을 주도해 왔으며, 지난 3.20 전산망해킹과 5월 금융회사 대상 사이버공격도 ‘다크서울’과 관련이 있다고 분석했다.
 
‘다크서울’의 사이버 공격을 살펴보면 역사적으로 중요한 날짜에 디도스 공격을 감행하고 하드디스크를 삭제하는 유사한 공격 방식을 취하고 있다. 이전에도 ‘다크서울’은 미국 독립기념일에 디도스 공격과 데이터 삭제 공격을 감행하기도 했다.

시만텍이 분석한 ‘다크서울’이 주도한 사이버 공격들의 특징을 살펴보면 ▲국내 주요 기관 및 시설을 겨냥한 조직적인 다단계 공격 ▲하드디스크 데이터 삭제 ▲역사적으로 중요한 날짜에 실행 ▲정치적 성향의 문구로 디스크 섹터 덮어쓰기 ▲조직내 네트워크를 통한 확산을 위해 합법적인 제3자의 소프트웨어 업데이트 매커니즘 이용 ▲특정 암호화 및 난독화 방식 이용 ▲유사한 명령제어(Command & Control) 구조 이용 등이다.

‘다크서울’이 실행한 공격들은 고도의 인텔리전스와 조직적인 협력을 필요로 하며, 일부 공격들은 기술적 정교함을 보여주고 있다. 현재 ‘다크서울’의 배후 집단을 특정하기는 어렵지만 일부에서는 그 배후에 북한이 있다고 지목하고 있는 상황이다.

시만텍은 ‘다크서울’이 북한을 위해 공격하냐에 상관없이 정치적 동기에 기인하고 있고 남한 주요 기관들에 대한 사이버사보타주(Cybersabotage) 행위를 지속하기 위해 필요한 금융 지원을 받고 있는 것으로 의심되는 만큼 앞으로도 ‘다크서울’의 공격이 지속될 수 있다고 경고했다.

이 회사 윤광택 이사는 “국가 규모의 사이버사보타주 공격은 매우 드물며, 기존에 알려진 국가 규모의 사이버사보타지 공격으로는 ‘스턱스넷’ 및 ‘샤문(Shamoon)’ 공격을 들 수 있다”며, “하지만 ‘다크서울’은 수년간 주요 기관 및 시설에 피해를 입힐 만큼 독보적인 공격 능력을 갖추고 있다는 점에서 지속적인 주의와 대응태세가 요구된다”고 강조했다.

‘다크서울’ 공격에 대한 보다 자세한 정보는 시만텍 보안 블로그(http://goo.gl/6Ehyu)를 통해 확인할 수 있다.

<이민형 기자>kiku@ddaily.co.kr