[헤럴드경제=최정호 기자]김정은을 소재로 한 영화 상영과 관련, 소니를 향했던 해킹 공격에 사용된 서버가, 과거 우리정부를 공격했던 것과 같은 서버를 사용했다는 분석이 나왔다.

시만텍은 8일 백도어.데스토버(Backdoor.Destover)가 과거 한국을 겨냥한 표적 공격과 연관되어 있다고 밝혔다. 데스토버는 최근 소니 해킹과 관련해서 미국 FBI가 경보를 발효할 정도로 파괴적인 멀웨어(malware)다. 데스토버의 일부 샘플이 보고된 C&C(Command-and-control) 서버는 과거 한국을 타깃으로 공격하기 위해 설계된 트로이목마 볼그머(Trojan.Volgmer)가 사용한 서버와 동일한 것으로 조사됐다. C&C 서버를 공유한다는 것은 두 공격의 배후에 동일한 조직이 있는 것으로 볼 수 있다는 것이 시만텍의 분석이다.

볼그머는 공격 목표물을 가진 악성코드로, 공격의 첫 번째 단계에서 정찰(reconnaissance) 툴과 같이 제한적 범위에서 사용되어 왔다. 또한 시스템 정보 취득 및 실행을 위한 추가 파일 다운로드를 위해 사용되었을 가능성도 있다. 특히 데스토버와 C&C서버를 공유하는 볼그머 버전은 한국 내 특정 대상을 표적 공격하도록 설정되었으며, 한국어를 지원하는 컴퓨터에서만 공격이 진행된다는 점이다.

데스토버는 지난 2013년 한국을 겨냥한 조크라(Jokra) 공격 당시 나타난 일부 기법과 컴포넌트 명칭이 동일한 것으로 나타났다. 다만 시만텍은 데스토버와 조크라 두 공격의 연관성을 증명해주는 확실한 증거는 없으며, 유사한 모방공격(copycat operation)의 가능성 또한 배제할 수 없다고 덧붙였다.

시만텍은 데스토버의 일부 샘플이 과거 변종 볼그머에 사용된 C&C서버와 연계되어 있음을 확인했다. 볼그머는 감염된 컴퓨터에서 백도어를 열 수 있으며, C&C 서버와의 통신을 통해 시스템 정보 취득 및 커맨드 실행, 실행 파일 업로드와 다운로드가 가능하다.

또 데스토버와 C&C서버를 공유한 변종 볼그머를 분석한 결과, 감염된 컴퓨터의 지역이 “한국”이 아닌 경우 실행을 종료하도록 설정되었다는 것이다.

윤광택 시만텍 SSET(Symantec Security Expert Team)총괄 이사는 “현재 미국에서 큰 이슈가 되고 있는 해킹 사건과 과거 한국에서 발생한 사이버 공격이 연관되어 있다는 점에서 주목할 만하다”며 “시만텍은 한국 및 전세계 대응센터를 통해 앞으로도 발빠르게 공격을 감지하고, 신속한 분석을 통해 대응방안을 제공하기 위해 노력할 것”이라고 말했다.

choijh@heraldcorp.com