체크포인트코리아는 3일 삼성동 오크우드 호텔에서 가진 기자간담회에서 3ㆍ20 사이버테러가 발생한 당일 이스라엘 본사로부터 공격 주체로 악성코드가 유력하다는 보고를 받았다고 밝혔다. 체크포인트는 방화벽을 개발한 이스라엘 보안 기업으로 널리 알려져 있다.
박성복 지사장은 “본사 차원에서 내부 클라우드 모니터링 시스템을 활용해 분석한 결과 다크서울 공격이 변종된 형태라고 파악했다”며 “이 같은 유형의 악성코드는 해외에서는 제법 알려졌지만, 국내의 경우 생소한 것으로 알고 있다”고 말했다.
특히 체크포인트가 대란 당일 다크서울 변종이란 분석 결론을 바로 도출했다는 점에서 눈길을 끌고 있다. 정부 합동 대응팀과 국내 보안업체들이 신속하게 공격 유형에 대해 이렇다할 진단을 내리지 못한 것과 상반되는 대목이다.
글로벌 보안기업 맥아피도 사건 당일 “지난해 8~10월 이미 ‘다크서울(Dark Seoul)’을 발견해 대응하고 있었다”고 발표했었다.
사건 다음달 캐나다 보안업체인 소포스도 다크서울을 원인으로 지목했었다. 소포스는 “이번 악성코드가 특별히 정교한 것은 아니다, 1년 전에 소포스 백신이 이 악성코드를 감지했다”고 설명했다.
다크서울 공격은 기업이나 공공기관의 중대형 컴퓨터 프로그램 업데이트 서버 PMS(Patch Management System)를 타고 들어오면서부터 시작된다. 이후 잠복해 있다가 정해 놓은 날짜가 되면 활동을 시작, 부팅을 관장하는 서버 컴퓨터의 MBR(Master Boot Record)를 파괴한다.
지난해 발견된 이 악성코드는 백신 프로그램으로 위장해 윈도 같은 컴퓨터 운영체제에 침입해 사전 탐지가 어려운 새로운 공격 행태로 알려져 있다.
killpass@heraldcorp.com
