북한 대표 안티바이러스 솔루션이 외산 엔진을 도용해 만든 것으로 드러났다. 북한 보안 솔루션을 분석한 것은 이번이 처음이다.
포브스는 베일에 싸여 있던 북한 안티바이러스 '실리왁찐(SiliVaccine)'은 트렌드마이크로 엔진을 불법 복제해 개발됐다고 2일 보도했다. 이스라엘 보안 기업 체크포인트는 북한을 방문한 외국 언론인을 통해 실리왁찐을 입수, 분석했다. 체크포인트는 실리왁찐이 트렌드마이크로가 2005년에 내놓은 안티바이러스 엔진을 기반으로 한다고 설명했다.
트렌드마이크로는 북한 백신이 자사 엔진을 불법 복제했다고 밝혔다. 트렌드마이크로는 북한이 어떻게 엔진을 획득했는지 자세한 방법은 설명하지 못했다. 체크포인트 연구원은 트렌드마이크로가 아니라 파트너 회사 가운데 한 곳이 북한 백신 개발자와 협력했을 가능성이 있다고 봤다.
트렌드마이크로 측은 “실리왁찐에서 나온 스캔 엔진 'VSAPI'는 10년 전 버전을 리패키징했다”면서 “최초에 어떻게 북으로 넘어갔는지 확실치 않다”고 답했다. 이 관계자는 “북한과 사업을 하지 않았다”면서 “문제가 된 엔진은 오래된 제품으로 수년간 다양한 주문자상표부착생산(OEM) 방식 거래에서 보안 제품에 들어간 버전”이라고 덧붙였다. 그는 “북한의 불법 복제가 트렌드마이크로 고객에 중대한 위험을 초래하지 않는다”고 강조했다.
분석 결과 실리왁찐은 트렌드마이크로 엔진이 차단한 특정 파일 하나는 무시했다. 체크포인트는 “해당 파일이 어떤 역할을 하는지 확인되지 않는다”면서 “북한 정권이 사용자에게 위험하다고 경고하지 않으려는 의도가 있다”고 설명했다. 트렌드마이크로가 위험하다고 경고하는 파일은 북한은 그냥 건너뛰기 때문이다.
해당 파일 서명은 알려진 악성코드 변종과 직접 관련이 없다. 해당 기능이 실리왁찐을 설치한 PC에서 정보를 빼돌리는 백도어일 가능성도 있다. 체크포인트는 실리왁찐 바이너리에서 평양광명정보기술사(PGI)와 STS 테크 서비스라는 기업명을 발견했다. 제작 회사일 가능성이 짙다.
실리왁찐 실행 화면을 보면 악성코드를 일컫는 '바이러스'를 '비루스'로 표현했다. 검사와 격리 기능이 들어있다.
체크포인트는 언론인 마틴 윌리엄스에게서 백신 복사본을 얻었다. 윌리엄스는 2014년 강용학이라는 일본 기술 전문가로부터 수상한 이메일을 받았다. 이메일에 일반 안티바이러스처럼 작동하는 실리왁찐 파일이 포함됐다. 백신 외에 '자쿠(Jaku)'라 불리는 악성코드도 첨부됐다. 체크포인트는 자쿠가 북한과 관련됐다고 분석했다. 자쿠는 1만9000명을 감염시킨 봇넷이다. 주로 한국과 일본 국제 비정부기구, 엔지니어링 기업, 학계, 과학자, 공무원 등을 표적으로 했다.
자쿠 악성코드에 쓰인 전자 서명은 '닝보 가오신구 즈뎬 전력 주식회사'가 발행했다. 다크호텔 캠페인에서도 같은 인증서가 쓰였다.
김인순 보안 전문기자 insoon@etnews.com