시만텍이 백도어.데스토버(Backdoor.Destover)가 과거 한국을 겨냥한 표적 공격과 연관돼 있다고 밝혔다.

시멘텍에 따르면 데스토버는 최근 소니 해킹과 관련해 미국 FBI가 경보를 발효할 정도로 파괴적인 멀웨어(malware)로 데스토버의 일부 샘플이 보고된 C&C(Command-and-control) 서버는 과거 한국을 타깃으로 공격하기 위해 설계된 트로이목마 볼그머(Trojan.Volgmer)가 사용한 서버와 동일한 것으로 조사됐다.

C&C 서버를 공유한다는 것은 두 공격의 배후에 동일한 조직이 있는 것으로 볼 수 있다는 것이 시만텍의 분석이다.

볼그머는 공격 목표물을 가진 악성코드로 공격의 첫 번째 단계에서 정찰(reconnaissance) 툴과 같이 제한적 범위에서 사용돼 왔다. 또한 시스템 정보 취득 및 실행을 위한 추가 파일 다운로드를 위해 사용되었을 가능성도 있다.

특히 시만텍은 이번 사건에 주목할만 점으로 데스토버와 C&C서버를 공유하는 볼그머 버전은 한국 내 특정 대상을 표적 공격하도록 설정됐으며 한국어를 지원하는 컴퓨터에서만 공격이 진행됐다는 점을 꼽았다.

시만텍은 데스토버가 지난 2013년 한국을 겨냥한 조크라(Jokra) 공격 당시 나타난 일부 기법과 컴포넌트 명칭이 동일한 것으로 나타났다며 하지만 아직까지는 데스토버와 조크라 두 공격의 연관성을 증명해주는 확실한 증거는 없고 유사한 모방공격(copycat operation)의 가능성 또한 배제할 수 없다고 설명했다.

데스토버는 상용화된 동일 드라이버를 사용하고 있다는 점에서 샤문(Shamoon) 공격과의 연관성도 나오고 있지만 이 경우에는 동일한 조직이 배후에 있을 가능성은 매우 낮으며 데스토버 공격이 샤문 공격에서 사용된 기법을 흉내낸 것으로 보인다는 것이 시만텍의 분석이다.