이스트소프트·잉카인터넷, 공동 대응 통한 선제적 조치

지난 3.20 방송사·금융사에 대한 전산망 마비사고가 약 2개월 가량 지나고 있는 가운데 최근 해당조직들이 사용했던 악성파일과 유사한 형태의 파일이 발견됐다.

이스트소프트에 따르면 이번에 발견된 악성파일은 공격적 파괴기능을 보유하지는 않았으나 감염된 컴퓨터의 각종정보를 수집해 외부로 유출하는 기능으로 분석됨에 따라 사전 정보수집 및 잠입침투 활동을 수행 하는 것으로 의심되고 있다. 말하자면 일종의 사이버 고정간첩으로 평상시에 기밀 자료들을 수집하는 일련의 스파이 활동으로 추정된다.

이들은 기존에 알려져 있지 않은 악성파일과 보안취약점(Zero-Day)을 이용해 꾸준히 ▲주요 웹 사이트 침투 ▲자료수집 ▲공격수행(DDoS 공격, 자료파괴) 등의 활동을 반복하며 은밀하게 각종 기밀자료를 확보해 정보전의 기초자료로 활용하고 있는 상태다.

이스트소프트는 며칠 전 3.20 전산망 테러조직들과 연관된 것으로 의심되는 이상 징후를 최초 포착했고 잉카인터넷(대표 주영흠)의 사이버테러 분야 전문가와 합동으로 면밀한 조사를 진행했다고 전했다.

이와 같은 신속한 조사 진행의 결과로 악성파일 형태와 공격기법 등이 기존 3.20 전산망 테러조직들이 과거부터 이용했던 코드구조와 거의 일치한다는 결론을 도출할 수 있었다는 것.

3.20 전산망 테러조직들이 이용하는 악성파일 형태로 분석된 이후 민간보안업체 잉카인터넷과 이스트소프트 양사의 보안전문가들은 국가적 보안위협은 기업간의 이념과 경쟁을 초월해 합동대응이 필요하다는 공통적 신념아래 기존의 고정틀을 깨고 이례적으로 양사합동으로 온라인 연합팀을 특별 구성해 긴급 조사작전을 진행했다. 그 과정에서 규명된 신규 악성파일과 최신 공격기법을 유관기관에 빠르게 통보해 사이버 테러조직들의 신종 악성파일 전파와 최신 공격기법 상황을 조기에 탐지하고 차단 조치할 수 있었다고 양사는 설명했다.

수년 전부터 사이버 테러 조직들이 이용하는 악성파일들은 불특정 다수를 대상으로 무차별적으로 감염시켜 금전적인 이득을 노리는 사이버 범죄 형태와는 구분돼 있다. 그들은 대체로 특수한 조건과 환경이 성립되어야만 감염이 이뤄지는 지능화된 표적 공격기법을 다양하게 활용하는 것이 주요 특징이며 감염된 컴퓨터에 보관돼 있는 조직 내 기밀정보들을 수집하고 은밀하게 외부로 유출시킨 후 추가적인 공격 교두보를 확보하는 기능을 수행하고 있다.

이번에 발견된 악성파일은 코드가 새롭게 변형됐지만 3.20 전산망 마비를 포함해서 그 이전부터 이용된 바 있는 악성파일의 흔적과 기법이 거의 동일하여 해당조직이 개발한 것으로 최종결론을 내린 상태다. 아울러 설치되는 악성파일은 2013년 5월30일과 31일에 제작된 사실도 분석된 상태다.

이것을 분석 결과를 미뤄 짐작해 본다면 테러조직들은 각종 정보수집 활동을 최근까지도 은밀하게 이어가고 있다는 것을 예상할 수 있고 언제든지 사이버 공격을 감행할 수 있다는 점에 주목하고 철저한 대비와 관심이 필요할 것으로 보인다.

현대화된 사이버 테러는 매우 치밀하게 준비된 계획을 통해서 일시에 동시다발적으로 공격이 감행된다. 지난 번 공격피해를 입었던 방송사와 금융사는 공격 직후 최대한 빠르게 대처하는 모습을 보여주었지만 이미 많은 피해를 입은 상태였기 때문에 그 피해는 고스란히 사회적인 혼란으로 이어졌다.

만약 최초 공격시간을 미리 예측해 사전방어를 할 수 있다면 좋겠지만 그것은 현실적으로 쉽지 않다. 사이버 테러의 경우 사고가 발생한뒤 정상으로 복구하는데 많은 인력과 예산이 소요되기 때문에 그 피해는 상상을 초월한다. 따라서 사이버 테러 등 이상 징후를 포착하게 되면 빠르게 초동 대처를 진행해 공격흐름을 조기에 차단하고 유사공격에 대비하는 노력이 필요하다고 양사는 강조했다.