침해사고/위협동향

시만텍 “소니픽처스 해킹, 한국의 대형사건과 연관성 있어”

이민형

[디지털데일리 이민형기자] 지난달 발생한 소니픽처스 해킹 사고가 지난해 발생한 3.20, 6.25 사이버테러와 유사성이 있다는 국내 보안업체들의 주장에 이어 시만텍도 ‘동일한 조직의 소행’이라는 분석을 내놨다.

시만텍(www.symantec.co.kr)은 소니픽처스를 공격한 악성코드인 ‘백도어.데스토버(Backdoor.Destover)’가 과거 한국을 겨냥한 표적 공격과 연관돼 있다고 8일 밝혔다.

시만텍은 데스토버가 발견된 명령제어(C&C) 서버는 과거 한국 전산망을 교란하기 위해 설계된 트로이목마 볼그머(Trojan.Volgmer)가 사용한 서버와 동일함을 밝혀냈다. C&C 서버를 공유한다는 것은 두 공격의 배후에 동일한 조직이 있는 것으로 볼 수 있다는 것이 시만텍의 분석이다.

볼그머는 공격 목표물을 가진 악성코드로, 공격의 첫 번째 단계에서 정찰(reconnaissance) 툴과 같이 제한적 범위에서 사용돼 왔다. 또한 시스템 정보 취득 및 실행을 위한 추가 파일 다운로드를 위해 사용됐을 가능성도 있다.

특히 주목할 것은 데스토버와 C&C서버를 공유하는 볼그머 버전은 한국 내 특정 대상을 표적 공격하도록 설정됐으며, 한국어를 지원하는 컴퓨터에서만 공격이 진행된다는 점이다.

이처럼 악성코드의 행위가 유사하다는 것에 추가로 C&C서버도 일치하는 결과가 나타남에 따라 소니픽처스 해킹은 북한발임이 기정사실되고 있는 상황이다.

이달 초 국내 보안전문가들은 이번 소니픽처스 해킹에 사용된 악성코드의 행위가 3.20 전산망해킹, 6.25 사이버테러를 감행한 악성코드와 유사하다는 조사결과를 발표했다. 감염시 마스터부트레코드(MBR)를 파괴하는 점과 한국어를 지원하는 PC만 공격한다는 점이다.

보안업계 관계자는 “소니픽처스 해킹은 웹사이트를 변조(디페이스)하는 수법이나 MBR 등 저장매체를 파괴하는 방식 등이 과거 우리가 겪은 것과 매우 유사하다”며 “북한에서는 이를 부정하고 있으나 이미 많은 정황이 드러난 상황”이라고 설명했다.

시만텍의 SSET(Symantec Security Expert Team)를 총괄하는 윤광택 이사는 “현재 미국에서 큰 이슈가 되고 있는 해킹 사건과 과거 한국에서 발생한 사이버 공격이 연관되어 있다는 점에서 주목할 만하다”며 “시만텍은 한국 및 전세계 대응센터를 통해 앞으로도 발빠르게 공격을 감지하고, 신속한 분석을 통해 대응방안을 제공하기 위해 노력할 것”이라고 말했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널