시만텍코리아(대표 조원영)는 최근 소니 해킹에 쓰인 백도어.데스토버(Backdoor.Destover)가 과거 한국을 겨냥한 표적 공격과 연관됐다고 8일 밝혔다.
데스토버는 미국 FBI가 경보를 발효할 정도로 파괴적인 악성코드다. 데스토버의 일부 샘플이 보고된 C&C(Command-and-control) 서버는 과거 한국을 타깃으로 공격하기 위해 설계된 트로이목마 볼그머(Trojan.Volgmer)가 사용한 서버와 동일한 것으로 조사됐다. C&C 서버를 공유한다는 것은 두 공격의 배후에 동일한 조직이 있는 것으로 볼 수 있다는 것이 시만텍의 분석이다.
볼그머는 공격 목표물을 가진 악성코드다. 공격의 첫 번째 단계에서 정찰(reconnaissance) 도구와 같이 제한적 범위에서 사용됐다. 시스템 정보 취득과 실행을 위한 추가 파일 다운로드를 위해 사용되었을 가능성도 있다. 특히 주목할 것은 데스토버와 C&C서버를 공유하는 볼그머 버전은 한국 내 특정 대상을 표적 공격하도록 설정됐으며 한국어를 지원하는 컴퓨터에서만 공격이 진행된다.
시만텍의 SSET(Symantec Security Expert Team)를 총괄하는 윤광택 이사는 “현재 미국에서 큰 이슈가 되고 있는 해킹 사건과 과거 한국에서 발생한 사이버 공격이 연관되어 있다는 점에서 주목할 만하다”며 “시만텍은 한국 및 세계 대응센터에서 빠르게 공격을 감지하고, 신속한 분석해 대응방안을 제공할 것”이라고 말했다.
김인순기자 insoon@etnews.com