이번에 발견된 악성코드는 북한 소행으로 알려진 7.7 디도스(2009년), 3.4 디도스(2011년), 농협 전상망 마비(2011년), 중앙일보 해킹(2012년)에 사용된 악성코드와 매우 유사한 변종 악성코드의 최신 버전이다. 북한 악성코드들의 유사성을 비교·탐지하는 시스템을 통해 수집됐으며, 비교 분석 결과 악성코드가 사용하는 API그룹 및 순서, 통신 암호화 방식, 공격 명령 함수 등 전체적인 코드 방식이 유사한 것으로 드러났다.
센터 측에 따르면 북한 해커들은 디도스 공격 및 하드 파괴 등의 피해를 입히는 좀비 악성코드를 유포하기에 앞서 좀비 악성코드를 제어할 수 있는 봇넷을 먼저 구축한다. 이번에 발견된 악성코드는 초기 봇넷 구축에 사용된다. 특히 이 악성코드는 공격자가 원하는 주제의 키워드를 전송 받아 해당 키워드를 포함하고 있는 파일을 수집하는 기능을 포함하고 있다. 지난 7.7 디도스 공격 때도 해당 기능을 통해 국방 전자자료유출방지체계와 군사기밀을 유출하려는 시도가 있었다.
센터 측은 추가 사고를 방지하기 위해 센터와 협력을 맺은 기관에 해당 악성코드를 신속히 공유해 조치할 예정이다. 센터장 염흥열 교수는 “이번 악성코드가 단순히 봇넷 구축 단계에서 끝날지, 아니면 대규모 사이버 테러로 발전할지는 아직 미지수”라며 “혹시 대형 사이버 테러로 연결될 수 있기 때문에 상황을 예의주시할 필요가 있다”고 강조했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
