[디지털데일리 홍하나기자] 최근 북한이 개성 남북연락사무소를 철수하면서 한반도 정세에 긴장감이 조성되고 있다. 일각에서는 남측에 빅딜 입장을 고수하고 있는 미국을 설득하라는 메시지와 함께 미국을 향한 경고의 메시지라는 분석이 이어지고 있다.

이러한 외교적 분위기와 관계없이 사이버 상에서 북한의 공격은 한결같다. 최근 북한 해킹조직 김수키가 국내 공격 대상 범위를 넓히고 있는 가운데 북한의 백신 프로그램이 악성코드 공유 사이트인 바이러스토탈에 올라온 것으로 나타났다. 국내 보안기업의 분석결과 이곳에 등록된 북한 백신 프로그램은 새로운 악성코드로, 배후와 의도는 미궁이다.

24일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 바이러스토털 사이트에 북한에서 제작된 백신 프로그램 ‘실리왁찐’이 등록된 것으로 확인됐다. 분석결과 이곳에 등록된 실리왁찐은 백신 프로그램을 사칭한 악성파일인 것으로 나타났다.

실제로 북한에서도 대표적인 컴퓨터 보안 프로그램 중 하나인 백신 프로그램을 개발하고 있다. 북한에서는 백신을 왁찐이라고 표현한다. 대표적으로 ‘클락새’라는 백신 프로그램이 있다. 벌레를 잡아먹는 새라는 의미로 컴퓨터에 존재하는 악성코드를 제거한다는 뜻이다. 이밖에도 신기, 클락새 등 윈도우용 백신 프로그램이 있다.

문종현 이스트시큐리티 이사는 “고위급 인사들이 주로 인터넷을 쓰는만큼, 외부에서 들어오는 자료를 통해 악성코드에 감염될 수 있다”며 “북한에서 백신 프로그램을 사용한지는 오래됐다”고 설명했다.

이번에 발견된 실리 왁찐의 경우 지난해 5월 이스라엘 보안기업 체크포인트가 보고서를 통해 공개한 바 있다. 여기에 따르면 실리 왁찐은 트렌드 마이크로의 2005년도 엔진을 도용해 개발됐다.

실리왁찐 압축파일은 바이러스토탈에 지난 3월 15일 업로드됐다. 압축파일 내부의 ‘실리 안티 바이러스 스캐너.exe' 파일은 지난 13일 10시 3분에 제작됐다. 파일이 제작된지 얼마 지나지 않아 누군가 북한 지역에서 인터넷을 통해 파일을 업로드한 것으로 추측된다.

ESRC는 이 악성코드가 실행되면 ‘평양 광명 정보 기술사’ 표시로 현혹 됐다는 점과 북한에서 발견됐다는 점을 종합해 ‘오퍼레이션 다크 평양’으로 명명했다.

이 파일이 실행되면 실제 프로그램과 거의 흡사한 화면이 나오며 '스타트 스캔' 버튼이 보인다. 이 버튼을 클릭할 경우 검사 진행바가 동작하기 때문에 시스템을 검사하는 것처럼 보인다. 하지만 보안기능이 없으며, 추가 악성 파일을 컴퓨터에 드롭해 지정 시간마다 악성파일이 자동으로 실행되도록 설정한다. 이후 컴퓨터의 정보 탈취 기능이 수행된다.

무엇보다 ESRC는 이 악성파일이 북한 지역에서 업로드됐다는 점에 주목했다. 외부 네트워크 접속이 자유롭지 않은 북한에서 인터넷 망을 통해 최신 악성파일을 외부 웹사이트로 등록했기 때문이다. 게다가 파일의 악성 여부를 검색하는 컴퓨터 보안 서비스에 올렸다는 것이 의미하는 바가 있다고 분석했다.

다만 이번에 식별된 파일이 북한 내부 실제 침해사고와 관련성이 있는지, 다른 보안 제품 악성여부 탐지 테스트를 한 것인지는 불분명하다.

ESRC는 이번 악성 파일의 위협배후에 다양한 가능성을 열어두고 있다. 이 악성코드 식별 후 지속적으로 자체 조사를 진행하고 있으며 유사한 악성코드 추적도 함께 진행 중이다.

문종현 이사는 북한지역에서 이 악성파일을 올린 것은 확실하나, 의도는 분명치 않다고 밝혔다. 문 이사는 “내부 침해사고에서 발견된 것인지 진단 테스트로 올린 것인지는 아직 파악할 수 없다”며 “다만 인터넷을 쓸 정도의 권한이 있는 사람이 올린 것”에 주목했다.

<홍하나 기자>hhn0626@ddaily.co.kr