7.7 사이버테러를 벌인 해커가 ’좀비PC’ 내 파일 목록을 빼낸 것으로 분석되면서 그 의도에 관심이 모아진다.
악성코드에 심어진 스파이웨어 기능으로 전 세계 59개국 총 416개 서버에 바탕화면과 내문서, 최근 문서파일, 즐겨찾기 목록 등이 전송됐다. 다만, 파일 전체가 유출된 것은 아니라 목록만 유출됐기 때문에 실질적인 데이터 유출은 없는 것으로 추정되고 있다. 이 기능은 분산서비스거부(DDoS) 공격 이전에 실행된 것으로 나타났다.
이에 대해 보안전문가들은 해커의 의중을 더욱 헤아리기 어렵게 만든 사안이라면서 고개를 갸우뚱거리고 있다. 지금까지 파악된 것은 파일목록 유출, DDoS 공격, PC 파일 파괴 등의 순서로 진행됐는데, 3가지 공격 사이에 연결고리를 추정하기가 어렵다는 것이다.
DDoS 공격 이후 PC 파일을 파괴하도록 프로그램을 설계한 것 자체에도 다양한 분석이 쏟아졌는데, 더욱 추정을 어렵게 만든다는 것이다. 우선 일각에서는 파일목록을 빼가는 기능을 심어둔 이유가 본격적인 데이터 유출을 위한 사전탐지 작업이라는 분석이 나오고 있다. 파일목록만 빼가는 방식은 전에도 발생한 해킹 수법으로, 파일목록을 분석한 뒤 필요한 파일만 다시 가져가기 위해 이 같은 방법을 사용한 것으로 분석되고 있다.
그러나 아직 샘플 분석을 통해 경찰은 파일목록 외에 파일이 유출된 흔적을 찾지 못하고 있는데다, 파일 유출을 위한 프로그램도 발견하지 못했다. 안철수연구소 조시행 상무는 “파일목록을 가져간 해킹수법은 전에도 발생한 사례가 있었다”면서 “그러나 지금까지 파일을 실제 가져간 사례는 증명되지 않았다”고 말했다. 이는 해커가 PC로부터 특별한 정보를 빼내기 위한 목적을 가졌다고 단정 지을 수 없는 이유다. 정보를 빼내기 위해서는 이 같은 해킹 수법 외에 실효성 있는 수법이 많기 때문이다.
즐겨찾기 목록을 빼내간 데 대해서는 PC 이용자들이 자주 찾아 접속하는 웹사이트를 분석하기 위한 것 아니냐는 추측도 나오고 있다.
이용자의 이용 실태를 파악해 방문자 수가 많은 웹사이트를 추린 뒤 이를 해킹해 쉽게 악성코드를 유포하려 했다는 것이다.
이번 스파이웨어 기능이 DDoS 공격과 PC 파괴 공격에 사용된 기능을 업데이트한 뒤 스스로 파괴됐다는 점에서도 보안전문가들은 설왕설래하고 있다. DDoS 공격과 PC 파괴에 사용된 파일의 경우 ’자폭’ 기능이 설정되지 않았는데 유독 스파이웨어 기능만 사라지게 만든 이유를 모르겠다는 것이다. 한 보안전문가는 “보통 해킹은 흔적을 지우기 위해 자폭 기능을 설정하는 경우가 있는데, 이번에는 자폭 기능도 제각각이어서 해커의 의도를 도무지 알 수 없다”고 말했다. 그는 또 “논리적으로 공격 이유를 추정하기에 너무 미스테리한 부분들이 많다”면서 “현재 나온 정보로는 근접한 추측을 내놓기도 어려운 상황”이라고 말했다.
[연합뉴스]