북한 추정 사이버공격의 공격방식과 악성 프로그램도 유사하다는 분석 제기
[보안뉴스 김경애 기자] 하나투어의 고객정보 유출에 악용됐던 악성코드와 통신하는 C&C 서버(명령제어 서버)의 IP 대역이 이보다 앞서 해킹된 SI업체 홈페이지의 IP 대역과 유사한 것으로 조사됐다. 더군다나 기존 북한 추정 사이버공격의 공격방식과 동원된 악성 프로그램도 거의 동일하다는 의견이 제기되면서 연쇄적인 사이버공격의 일부가 수면 위로 드러나기 시작한 것 아닌지 관심이 모아지고 있다.
[이미지=iclickart]
지난 18일 본지가 SI업체 해킹 이슈 건을 취재하던 중 입수한 정보에 따르면 하나투어 해킹에 사용된 악성코드가 SI업체의 특정 IP와 통신했다. 취재결과 특정 IP는 SI업체의 고객사로 드러났다. 이는 고객사가 하나투어 악성코드 공격에 C&C 서버로 악용됐다는 얘기다.
▲하나투어 악성코드와 통신한 SI업체 고객사 IP 주소 화면[이미지=보안뉴스 입수]
이어 하나투어에 비트코인을 요구하며 개인정보 유출 사실을 협박할 때 사용된 악성프로그램 역시 2016년 보안업체 모듈로 위장해 공격한 악성프로그램과 유사한 것으로 분석됐다. 금융보안 모듈로 위장한 해당 악성프로그램은 2016년 1월 제작됐으며, 하나투어에 유포된 악성프로그램은 지난 6월 제작된 것으로 알려졌다.
▲악성프로그램 제작 타임정황[이미지=보안뉴스 입수]
더군다나 2016년 국방부, 보안업체 A사와 B사, ATM사, 금융권 관련 웹사이트 공격에 사용된 악성코드와 매우 유사해 하나투어 해킹에 악용된 악성코드에 관심이 모아지고 있다. 이에 따라 일련의 해킹사건들이 동일 조직의 소행인지 여부와 관련 사건들의 연관성에 대해 철저한 수사가 필요할 것으로 보인다.
사실 확인을 위해 본지가 한국인터넷진흥원을 취재한 결과, 침해사고분석단 이동근 단장은 “하나투어와 SI업체 IP 대역의 유사점과 연관성에 대해서는 현재 조사 중에 있다”며 “북한 사이버공격의 연관성도 유관기관과 함께 조사하고 있다”고 말했다.
이처럼 최근 발생한 개인정보 유출 및 내부정보 탈취 등의 잇따른 해킹사고를 보면 예사롭지 않다. 단순히 SI업체 해킹, 하나투어 개인정보 유출이 하나의 큰 계획 아래 다방면으로 진행되는 대규모 사이버공격의 일환일 수 있다는 우려가 커지고 있다.
익명을 요청한 한 보안전문가는 “하나투어 공격에 사용됐던 악성코드가 기존 특정그룹에서 주로 사용됐던 악성코드인 건 사실이지만, 특정그룹과 어떤 관련성이 있는지는 보다 철저히 조사해 정확한 수사결과가 발표돼야 한다”고 당부했다.
또 다른 보안전문가는 “하나투어에서 발견된 악성코드와 유사한 악성코드는 꾸준히 발견되고 있으며, 최근 활동이 증가하고 있다”며 “다양한 분야로 공격이 감행되고 있을 가능성이 큰 만큼 기업에서는 보안에 각별히 신경써야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>