오는 19일 시작되는 한미 연합 군사훈련 `을지 프리덤 가디언(UFG)`을 앞두고 지난 6월 25일 청와대와 정부 기관 등을 공격한 조직이 활동을 재개했다는 분석이 나왔다.
최상명 하우리 선행연구팀장은 지난 6·25 사이버 공격 당시 사용됐던 것과 유사 방식의 공격 준비 정황을 탐지했다고 12일 밝혔다.
이번 사례는 6·25 공격과 동일하게 익명 네트워크인 `토르(Tor)` 기반 명령제어(C&C) 서버를 사용했으며 악성코드의 인스톨러와 구조가 유사했다고 설명했다.
하지만 현재 악성코드가 광범위하게 유포되지는 않아, 사전 공격 준비 단계에서 발각된 것으로 풀이된다.
사이버 공격은 대개 제반 환경을 마련한 후 중요 기밀 정보를 빼내거나 시스템을 파괴하는 명령이 실행된다. 6·25 사이버 공격 역시 6월 9일부터 24일까지 구축된 토르 기반 C&C 서버와 봇넷을 통해 이뤄졌다.
공격자는 이를 토대로 25일 대전정부종합청사 서버(DNS)에 분산서비스거부(DDoS) 공격을 수행하는 악성코드를 배포해 피해를 입혔다.
6·25 사이버 공격 당시 이용된 토르 기반 C&C 서버는 총 10개였다. 이번에 발견된 악성코드가 사용한 토르 C&C 서버는 총 6개로 확인됐다.
최상명 하우리 선행연구팀장은 “악성코드를 분석한 결과 이달 초부터 준비 작업에 착수한 것으로 보인다”며 “6·25 공격 때도 15일 정도 잠복기간이 있었다는 점을 감안하면 한미군사훈련이 시작되는 19일을 전후해 DDoS나 기밀정보 탈취와 같은 공격에 나설 가능성이 있다”고 말했다.
윤건일기자 benyun@etnews.com
