정보기술(IT)과 과학기술 분야 국내 연구기관·대기업 290여곳이 정보탈취형 악성코드에 감염됐다. 국가 연구기관과 대기업 단말기가 대규모로 감염된 사례는 이번이 처음이다.
20일 다크웹 분석 업체 에스투더블유랩에 따르면 국내 290여곳을 포함한 세계 1만여개 기업과 기관이 정보탈취형 악성코드 '폼북'에 감염됐다. 회사 측은 감염 사실을 해당 기업과 기관에 통보했다. 동시에 19일 오전 국가정보원에 감염자 목록을 공유, 보안 조치를 하도록 했다.
국가정보원에 보고된 목록에 따르면 감염된 곳에는 한국과학기술정보연구원(KISTI)을 비롯해 삼성SDS, 롯데정보통신, 현대오토에버 등 주요 시스템통합(SI) 대기업이 포함됐다. 한국원자력안전기술원(KINS) 인터넷 프로토콜(IP)도 목록에 포함됐다.
폼북은 지난 2016년부터 다크웹 해킹포럼에서 판매돼 온 서비스형 멀웨어(MaaS)다. 개인용컴퓨터(PC)에 입력하는 정보를 그대로 탈취하는 '키로깅'부터 화면 캡처, 브라우저에 저장된 계정 정보 탈취 등 감염된 단말을 '좀비 단말'로 만든다. 국내에선 지난 3월 말 '문재인 대통령 신상정보'라는 파일명으로 유포된 바 있으며, 금융권에서도 일부 유포됐다.
에스투더블유랩은 다크웹 분석 과정에서 폼북에 감염된 단말 목록이 게재된 웹사이트를 발견했다. 이 웹사이트는 해킹 조직이 폼북에 감염된 단말을 추적하고 모니터링하기 위해 개설한 이른바 '봇넷 트래커'인 것으로 분석됐다. 감염된 단말 IP와 사용자명, 봇넷 최종 활성화 시점 등 정보를 실시간 확인하면서 추가 공격을 위한 표적을 빠르게 선별하기 위한 용도다.
에스투더블유랩은 단말 IP를 분석해 국내외 감염 기업과 기관을 파악했다. 삼성SDS·롯데정보통신·현대오토에버 등 SI 대기업을 비롯해 금융사와 대학교 다수, 국가정보자원관리원까지 포함됐다. 특히 감염된 기관 가운데 KISTI는 국가과학기술연구망(KREONET·크레오넷)을 운영하는 국가 연구기관으로, 25개 정부출연연구기관 보안관제 등 국가 사이버보안을 책임지는 기관이다. KINS IP도 이곳에 포함, 국가 기반시설에 대한 추가 공격 가능성도 우려되는 상황이다.
폼북 감염은 스피어피싱 등 피싱 이메일 유포로 이뤄졌을 것으로 추정된다. 곽경주 에스투더블유랩 수석연구원은 “폼북 봇넷이 활성화됐다는 건 악성코드가 내부 침투에 성공했다는 것”이라면서 “악성코드 설치 일자, 최종 활성화 일자 등을 분석하면 보안 솔루션 등 앞단 진입 지점이 뚫렸다는 점은 분명하다”고 설명했다. 곽 수석연구원은 “모든 공격을 막을 순 없지만 뚫렸다는 사실 자체로 위험한 것”이라면서 “감염 단말 가운데 오랜 기간 활성화된 단말을 분석하고 있다”고 덧붙였다.
폼북에 감염된 단말 가운데에서는 지난 1월부터 활성화된 해외 단말도 발견됐다. 약 6개월 동안 침투된 상태였다는 의미다. 국내 감염 기업과 기관에서도 그동안 명령제어(C2) 서버 정보가 외부에 공개되지 않았기 때문에 감염 사실을 수개월 동안 알아차리지 못했을 공산이 크다. 에스투더블유랩은 공격자 C2 서버 분석을 통해 어떤 주기로 통신하고 정보를 유출했는지 분석하고 있다.
분석이 이뤄진 지난 17일 오후 폼북에 감염된 국내 단말은 180여대로 집계됐지만 20일 오전 290여대로 늘었다. 금요일 휴무 또는 주말 직전에 사내 PC가 꺼졌다가 월요일 업무가 시작되면서 봇넷이 활성화됐기 때문으로 분석된다. 20일 오전 기준으로 감염 단말은 중복을 제거하고 총 292개로 집계됐다. 현재 에스투더블유랩은 국내 분석을 마치고 국외 IP까지 분석 대상을 확대하고 있다.
그동안 알려지지 않은 C2 서버 정보가 나오면서 국내 감염 기업과 기관이 신속 대응에 나서야 할 것으로 보인다.
공격 배후와 해킹 조직은 아직 확인되지 않았다. 에스투더블유랩은 다크웹에서 활동하고 있는 범죄 조직 추적을 위해 국제형사경찰기구 인터폴과 공조하고 있다.
서상덕 에스투더블유랩 대표는 “다크웹이 관제 사각지대에 있고, 공격 루트로 진화하고 있다”면서 “표적이 될 수 있는 주요 대상은 집중 모니터링이 필요하다”고 말했다.
한편 삼성SDS 측은 “삼성SDS가 보안관제 서비스를 하는 고객사 사례”라면서 “고객사 계약직 직원이 감염된 개인 PC를 회사망에 접속하자마자 즉시 탐지한 후 차단했다”고 말했다.
오다인기자 ohdain@etnews.com