지난 6월 25일 청와대와 정부 기관 등을 공격한 조직이 을지훈련을 앞두고 활동을 재개한 정황이 드러난 가운데, 이번에는 분산서비스거부공격(DDoS, 디도스)용 악성코드를 유포한 것으로 나타났다.
보안 업체인 하우리(대표 김희천)는 20일 오전 6·25 사이버 테러 조직이 DDoS 악성코드를 추가 유포한 것을 탐지했다고 밝혔다.
회사는 이 같은 내용을 확인하고 관계 당국과 공유해 즉각 보안 업데이트를 조치토록 했다고 덧붙였다.
하우리는 을지훈련을 일주일가량 앞둔 지난 7일 6·25 사이버 테러 조직이 활동을 재개한 정황을 포착했다.
회사에 따르면 이들은 지난 6월 25일 사이버 테러처럼 익명 네트워크인 `토르`를 토대로 사이버 공격을 단행할 수 있는 기반(Tor C&C 봇넷)을 구축하고 있었다.
이에 집중 모니터링을 한 결과, 20일 오전 9시 23분에 감시 대상 서버 1대가 열렸고, 11시 13분에는 또 다른 서버로부터 디도스 악성코드가 다운로드 됐다.
이 디도스 악성코드는 조기 발견돼 유포 범위가 넓지 않고 보안 업데이트로 피해를 주지 못한 것으로 알려졌다. 공격 명령을 내리는 서버도 현재 접속이 차단된 상태다.
하지만 을지훈련에 맞춰 실제 사이버 공격이 시도된 만큼 2차, 3차 공격 가능성을 배제할 수 없다.
최상명 하우리 선행연구 팀장은 “지속적인 모니터링을 통한 조기 탐지가 중요한 상황”이라고 말했다.
정부는 지난 6월 25일 사이버 공격 배후로 북한을 지목한 바 있다.
한편 이번 악성코드 유포가 을지훈련에 대한 북한의 비난 성명이 나온 시점과 겹쳐 주목된다. 북한의 대남기구인 조국평화통일위원회는 20일 박근혜 대통령이 을지훈련 첫날 청와대 `지하벙커`에서 회의를 하고 확고한 안보태세 확립을 주문한 것에 대해 “공공연한 도발행위”라고 비난했다.
윤건일기자 benyun@etnews.com
