“소니 해킹 멀웨어, 한국 공격했던 서버와 연관있어”
수정 2014-12-08 14:53
입력 2014-12-08 00:00
시만텍 “멀웨어 데스토버, 트로이목마 볼그머와 사용 서버 동일”
데스토버는 최근 소니 해킹과 관련해 미국 연방수사국(FBI)이 경보를 발효할 정도로 파괴적인 멀웨어다.
데스토버의 일부 샘플이 보고된 C& 서버는 과거 한국을 표적으로 공격하기 위해 설계된 트로이목마 볼그머가 사용한 서버와 동일한 것으로 조사됐다.
시만텍은 “C&C 서버를 공유한다는 것은 두 공격의 배후에 동일한 조직이 있는 것을 뜻한다고 볼 수 있다”고 분석했다.
특히 주목할 것은 데스토버와 C&C서버를 공유하는 볼그머 버전은 한국 내 특정 대상을 표적 공격하도록 설정됐으며 한국어를 지원하는 컴퓨터에서만 공격이 진행된다는 점이다.
감염된 컴퓨터의 지역이 ‘한국’이 아닌 경우 실행을 종료하도록 설정됐다.
데스토버는 또 2013년 한국을 겨냥해 국내 은행, 방송국 서버 및 통신사 홈페이지를 마비시킨 ‘조크라’ 공격 당시 나타난 일부 기법과 컴포넌트 명칭이 동일한 것으로 나타났다.
그러나 데스토버와 조크라의 연관성을 증명해주는 확실한 증거가 없어 모방공격의 가능성 또한 배제할 수 없다.
윤광택 시만텍 SSET 총괄 이사는 “최근 미국에서 큰 이슈가 된 해킹 사건과 과거 한국에서 발생한 사이버 공격이 연관돼 있다는 것이 주목할 만하다”며 “시만텍은 한국 및 전세계 대응센터를 통해 앞으로도 발 빠르게 공격을 감지하고 분석해 대응방안을 제공하도록 노력할 것”이라고 말했다.
연합뉴스
Copyright ⓒ 서울신문 All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
