태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2009.07.13 08:10


http://news.chosun.com/site/data/html_dir/2009/07/13/2009071300122.html?Dep0=chosunmain&Dep1=news&Dep2=headline2&Dep3=h2_01

10년전 단종 프로그램에도 파일 파괴 명령 내렸다
국내 '스파이 해커'도 도왔을 가능성

민간 보안업체가 '7·7 사이버 테러'에 사용된 악성 코드를 분석한 결과, 지난 20여년 동안 한국에서 개발된 각종 소프트웨어 프로그램에 대해 정통한 인물이 해커일 가능성이 큰 것으로 나타났다. 이는 국정원의 북한 배후설을 기술적으로 뒷받침하는 내용이어서 주목된다.

12일 안철수연구소와 하우리 등 민간보안업체 분석에 따르면, 10일 0시부터 작동이 시작된 PC 파괴 악성코드는 37개 종류의 파일을 삭제하도록 돼 있다. 삭제 대상인 37개 파일 중에는 금성소프트웨어(현 효성그룹의 홍진데이터서비스)가 1980년대 후반 개발한 문서작성 프로그램 '하나워드'와 삼성전자가 개발한 '훈민정음'이 포함돼 있는 것으로 확인됐다. '하나워드'는 1990년대 중반까지 군이나 행정기관에서 주로 사용했으며 단종된 지 10년이 넘었다. 훈민정음 역시 일반인은 거의 사용하지 않는 삼성그룹 내부의 문서작성용 프로그램이다.

보안업체 잉카인터넷 문종현 팀장은 "일반인이 거의 사용하지 않거나 10년 전에 사라진 국산 문서작성용 파일을 골라 삭제하도록 명령을 내린 것을 보면 해커가 한국을 꿰뚫어 보고 있는 인물이라고 봐야 한다"고 말했다.

또 다른 전문가는 "분석결과 악성코드는 한글을 기반으로 한 시스템에서 만들어졌다"면서 "이는 해커가 북한인이거나 남한 내부에 협력자가 있을 개연성이 높다는 의미"라고 말했다.

하지만 디도스 공격세력에 대한 수사는 쉽지 않을 전망이다. 우선 이번 디도스 공격에 사용된 악성코드는 침입 경로를 지우도록 설계돼 있고 4차 공격에 사용된 악성코드는 좀비 PC를 파괴하는 방식으로 흔적을 지웠다.

국정원은 이번 사이버 테러가 북한에 의해 저질러졌을 것으로 보고 있지만 IP(인터넷접속위치) 추적을 통해 밝히는 것은 쉽지 않다. 북한은 현재 국제 인터넷 기구로부터 할당받은 도메인(.kp)을 사용하지 않고 있다. 2007년 kp 도메인을 독일 주재 북한대사관에서 할당받은 것으로 알려졌지만, 지금은 독일인이 보유하고 있다. 북한은 이에 따라 인터넷을 사용할 경우, 주로 중국에서 전용회선을 끌어와 쓰거나 외국에서 사용하는 경우가 많다. 전문가들은 "북한이 사이버 테러 배후 세력이라고 해도 중국 등 제3국의 IP를 사용했을 것"이라고 말했다.

하지만 실체 파악을 위한 수사가 급진전될 가능성도 있다. 경찰은 이번 공격에 사용된 27대의 컴퓨터를 확보해 해커를 추적 중이며 국정원은 그동안 북한과 사이버전쟁을 벌이면서 북한인이 확실한 해외 IP를 다수 확보한 것으로 알려졌다. 국정원은 북한인이 확실한 해커 윤모씨의 IP가 중국 선양(瀋陽)에서 사용된 단서 등을 확인했다고 밝혔다.

국정원은 또 '국내 조력자'가 있을 가능성도 배제하지 않고 수사 중인 것으로 알려졌다. 북한 소식지 열린북한통신의 하태경 대표는 "지난 5월 국내 은행의 인터넷 뱅킹망을 뚫고 들어와 현금을 빼간 사건도 북한 해커의 소행으로 본다"며 "실제 돈을 인출하려면 남한에 협조자가 분명히 있었을 것"이라고 했다.

정부 소식통은 "이번 공격에서도 수만대의 '좀비 PC'가 만들어지는 과정에서 국내의 북한 협조 세력이 개입했을 수도 있어 이들에 대한 수사도 벌이고 있다"면서 "이들의 실체가 드러날 경우, 북한의 배후설은 쉽게 입증될 수 있을 것"이라고 말했다.

한편 7·7 사이버테러는 주말을 고비로 소강상태로 접어들었으며 12일 오후 9시 현재 자동 데이터 파괴에 따른 PC 손상 신고는 993건으로 집계됐다. 또 기획재정부는 사이버테러의 대응책으로 내년 구축하려던 재정·경제 사이버보안센터를 연내 구축하기로 했다.

사용자 삽입 이미지


Posted by viruslab
보안관련소식2009.07.11 19:17


http://news.chosun.com/site/data/html_dir/2009/07/11/2009071100105.html

개인적으로 조선일보는 이번 DDoS 공격에 매우 무력했던 것을 다시 한번 되짚어보면 좋겠다.

사용자 삽입 이미지



Posted by viruslab