지난 3월 국내 주요 금융사와 언론사 등을 마비시켰던 ‘3·20 사이버 테러’와 유사한 방식의 악성코드가 발견됐다.
5일 보안기업 안랩에 따르면 한국인터넷진흥원(KISA)은 지난달 31일 보안업체로부터 악성코드가 유포된 사이트가 있다는 정보를 입수해 악성코드를 채집·분석한 것으로 드러났다. 이 악성코드는 3개 사이트를 경유지로 이용해서 한 사이트에 접속하면 두 차례 타 사이트로 접속이 유도된 후 해당 PC에 악성코드가 감염되도록 설계됐다.
이러한 사례가 발견된 것은 3·20 사이버테러 이후 처음이며, 현재까지 정보유출 목적의 악성코드 4종이 발견된 것으로 알려졌다.
안랩 관계자는 “이번 악성코드의 제작자를 구분할 수 있었던 것은 악성코드가 해당 제작자가 공격 시 즐겨 사용하는 형태를 유지하고 있고, 공격자와 악성코드의 통신 시 사용하는 고유한 패턴이 동일했기 때문”이라며 “이번의 경우 정부 차원의 신속한 선행조치로 C&C 서버(악성코드 제작자와 악성코드 간 통신을 위한 서버)가 차단돼 이 서버를 통해 악성코드 감염이 확산되지 않은 것으로 분석하고 있다. 현재 서버 침해를 당한 업체는 해당 내용 확인 즉시 보안조치 완료됐으며, 백신 역시 해당 악성코드에 대응할 수 있도록 업데이트를 완료했다”고 밝혔다.
한편 이번 악성코드 유포자는 아직 확인되지 않았으며, 안랩 등 보안업체들은 추가 발생이 우려되는 변종 악성코드에 대한 모니터링을 강화했다.
정재훈기자 jjhoon@yeongnam.com
정재훈 기자
서울본부 선임기자 정재훈입니다. 대통령실과 국회 여당을 출입하고 있습니다.영남일보(www.yeongnam.com), 무단전재 및 수집, 재배포금지