국내 인터넷에 막대한 피해를 입힌 사이버 범죄는 특정 조직이 10여 년 간 면밀하게 주도한 것으로 드러났다.
잉카인터넷(대표 주영흠) 시큐리티대응센터(ISARC)는 국내에 다년 간 유포된 한국 맞춤형 악성파일 유사성과 연관관계를 조사했다. 이 결과 10년 전 유포된 것과 현재 악성파일이 공통된 코드를 사용하는 것을 발견했다. 동일한 악성파일 알고리즘이 지속적으로 이용됐다.
잉카인터넷은 최소 하나 이상의 조직이나 그룹이 조직적으로 국내를 노린 사이버 범죄를 벌였다고 분석했다. 2004~2006년 사이에 주로 이용된 온라인 게임 계정 탈취 악성파일은 ‘Earthworm’, ‘Turtle’ 이라는 고유한 변수이름을 내부적으로 이용했는데, 2007년~2012년 사이 국내에 유포된 대표적인 악성 파일들에서도 해당 변수가 공통적으로 사용됐다. 명령제어서버(C&C)에서 추가 악성파일을 다운로드 할 때 사용하는 명령어나 파일 등록기법이 모두 동일했다.
2012년 전후부터 한국 이용자를 겨냥한 인터넷 뱅킹용 악성파일이 본격적으로 발견이 됐는데 기존 온라인 게임 계정 탈취 악성파일이 보유하던 내부 바이너리명(MYDLL)도 같았다. 주요 악성 프로그램 기능 구조도 거의 동일했다.
문종현 잉카인터넷 시큐리티대응센터 대응팀장은 “사이버 범죄조직이 매우 은밀하면서도 지속적으로 10년 넘게 공격활동을 해온 것을 확인했다”며 “인터넷 이용자는 보안제품을 설치하고 매일 최신 버전으로 업데이트해야 피해를 최소화할 수 있다”고 말했다.
김인순기자 insoon@etnews.com